SOLUTION
シノプシスがアプリケーション・セキュリティ・テストに関するガートナー社マジック・クアドラント評価 2022で6年連続“リーダー”に
2022.4.22 4:29 pm
実行能力とビジョンの完全性を評価され、全体的なポジショニングで4年連続最高位を獲得
シノプシスは本日、アプリケーション・セキュリティ・テスト(AST)分野でのガートナー社マジック・クアドラント評価 2022(*1)で“リーダー”に指名されたと発表した。6年連続の指名(*2)となる。ガートナー社が、14社のASTベンダ各社を調査し、ビジョンの完全性と実行能力の観点で評価した結果、シノプシスは4年連続の最高位を獲得した。
開発業務の複雑化と短期化、損害の大きいセキュリティ攻撃の増加に伴い、セキュリティ部門と開発部門は、ソフトウェア開発プロセスの一部としてセキュリティ・テストを組み込んで自動化していく方向を目指している。
評価レポート著者のコメントによると “エンタープライズDevSecOps(開発担当者、セキュリティ、運用担当者が連携して協力する開発手法)とクラウド・ベース・アプリケーションへの取り組みが、ASTマーケットの進化を促している。開発企業/団体は、開発効率を不用意に低下させることなく、価値ある発見を高い確度で提供してくれるソリューションを求めているのである。彼らが期待しているのは、セキュリティ専門家ではなく開発者が頻繁かつ開発プロセスの早い段階で実行できるソリューションである。したがって今回の調査は、ソフトウェア・デリバリーのワークフロー全体において、より自動化された手法で統合可能な高精度なテスト機能を多岐に渡るアプリケーションに向けて迅速に提供して欲しいという彼らのニーズに応えている企業かどうか、という点に重きを置いて実施された。”
シノプシス ソフトウェア・インテグリティ・グループ ジェネラルマネージャー Jason Schmittは、次のように述べている。
「最近目立つようになっている脆弱性やソフトウェア・サプライチェーン攻撃の状況から、ソフトウェア・リスクを適切に管理する作業は、極めて複雑化していることが明らかです。企業/団体は、SDLCやこれまで以上に広範囲に拡がったソフトウェア・サプライチェーン全体に渡ってリスクに対処できる相互運用性の高いアプリケーション・セキュリティ統合ソリューションを必要としています。求められているのは、開発ワークフローをスローダウンさせることなく弱点修正作業の優先順位付けを可能にしてくれるソリューションです。
これに対応するため、当社は昨年、大規模な開発投資を行いました。静的アプリケーション・セキュリティ・テスト(SAST)ソリューション Coverity®ならびにソフトウェア・コンポジション解析(SCA)ソリューション Black Duck®向けの新機能 Rapid Scanの発表、開発者主導のテストを可能にするIDEプラグインのスダンドアロン版であるCode Sight™ Standard Editionの提供開始、セキュリティ部門/開発部門が使用しているASTツール群で検出したセキュリティ上の問題点の関連付け/優先順位付けを可能にするオープン・プラットフォームを提供するCode Dx社の買収などです。当社がAST分野のリーダーとして毎年ガートナー社から認められてきたという事実は、開発現場で高まるニーズに応えるための当社の戦略の正しさと能力の高さを実証するものです」
過去1年間に、シノプシスのソフトウェア・インテグリティ・グループは、ビジネスの成長と推進力に資するいくつかの新しいソリューションやイニシアティブを発表している。主なものは下記の通りである。
- 2021年6月、Code Dx社を買収した。Code Dx社は、シノプシスの多岐に渡るソリューションならびに100社を超すサード・パーティー各社の有償あるいはオープンソースのツールが検知したソフトウェア脆弱性の収集/関連付け/重複排除/優先順位付けの自動化ならびに高速化を可能にするアプリケーション・セキュリティ・リスク・マネージメント・ソリューションを提供しており、アワード受賞歴も持っている。Code Dxソリューションは、実行されたアプリケーション・セキュリティ・テストを記録し、企業/団体のソフトウェアに起因するリスクを独自の手法で検出するための統合的なリスク・レポーティング機能を提供する。
- 2021年7月、SASTソリューション CoverityならびにSCAソリューション Black Duckに搭載される新機能 Rapid Scanの提供開始を発表した。Rapid Scan機能の活用により、開発プロセスに負荷をかけることなく、短時間で自社開発やオープンソースのコードに潜む脆弱性を検出することが可能になる。Rapid Scanは、開発初期段階での適用に最適で、特にクラウド・ネイティブなアプリケーションや、手動プロセスではなくコードを使用してインフラストラクチャの管理/供給を行うIaC(Infrastructure as Code)の開発に適している。
- 2022年2月、統合開発環境(IDE)向けのCode Sightプラグインのスタンドアロン版、Code Sight™ Standard Editionの一般提供開始を発表した。このソリューションを活用することにより、開発者は、コーディングが完了する前の段階で、ソースコードやオープンソースの依存関係、IaCファイルなどに潜むセキュリティ上の不具合箇所を短時間で検出/修正することが可能となる。
- 2021年10月、高まるソフトウェア・サプライチェーン・セキュリティのニーズに応えるため、SCAソリューション Black Duckの機能強化を発表した。これにより、Black Duckユーザーは、米国標準技術研究所(NIST)が標準規格として認証したSPDX 2.2フォーマットに準拠したソフトウェア部品表(SBOM)の作成が可能となる。サイバーセキュリティ向上に関する大統領令(Executive Order 14028)の順守を目指すソフトウェア・ベンダにとって非常に重要な機能である。
- シノプシスがクローバル展開するチャネル・パートナー・ネットワークの拡充と、パートナー・プログラムのメリットならびに運営サポートの強化を通じて、チャネル・パートナーを支援するため、“パートナー・ファースト”の市場開拓戦略への取り組みを継続している。このイニシアティブの結果、当社の顧客企業にソリューションやサービスを提供する代理店/マネージド・サービス・プロバイダ/システム・インテグレータ/コンサルディング会社のエコシステムの強化につながり、当社の間接販売売り上げは大幅に増加し続けている。シノプシスは、2022 CRN Partner Program Guideで五つ星の評価を得ている。
*1 ガートナー社マジック・クアドラント評価
ガートナー社のマジック・クアドラントは、特定市場における同社のリサーチの集大成であり、成長市場で競合しているベンダを、「特定市場指向型」「概念先行型」「チャレンジャー」「リーダー」の4つのクアドラント(象限)のいずれかで取り上げ、各社の相対的な位置付けを広い視野から提示している。ビジョンの完全性と実行能力という2つの面からベンダを評価することにより、ライフサイクルの中盤に位置する市場をユーザー企業が理解できるようサポートすることを目的としている。
参照:https://www.gartner.com/jp/research/methodologies/magic-quadrants-research
*2 2022年4月18日刊 、ガートナー社 “Magic Quadrant for Application Security Testing” (Dale Gardner、Mark Horvath、Dionisio Zumerle著)