セキュリティおよびリスク管理者向け
Forrester Wave™:ソフトウェアコンポジション解
析、2017 年第 1 四半期
プロバイダー6 社の注目ポイントと市場における位置づけ 著者: Amy DeMartine 2017 年 2 月 23 日本報告書の概要
弊社は、ソフトウェアコンポジション解析 (SCA) プロバイダーのうち最有力の 6 社 (Black Duck Software、Flexera Software、Sonatype、 Synopsys、Veracode、WhiteSource Software) を 選定して、38 項目の評価による調査、分析、ス コア評価を行いました。本報告書は、プロバイ ダー各社の実力を明らかにするものであり、セ キュリティ担当者の皆様にとって、ソリューシ ョンを選定する際の有用な判断基準となります。重要ポイント
Black Duck が首位、WhiteSource が僅差で次点
本調査では、Black Duck Software が首位となり ましたが、WhiteSource Software も競争力のあ るソリューションを提供しています。Sonatype、 Synopsys、Flexera、Veracode のソリューション も適切ながら限定的なものでした。 主要差別化要因:SCAファンダメンタル SCA プロバイダーは、ライセンスリスク管理や脆弱 性を識別する能力が強みです。さらに、ポリシ ー 管理やソフトウェア開発ツール統合などのサポ ート 機能も、SCA プロバイダーの価値を高めます。
セキュリティおよびリスク管理者向け
Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期
プロバイダー6 社の注目ポイントと市場における位置づけ著者: Amy DeMartine
共著者: Christopher McClean、Trevor Lyness、Peggy Dostie 2017 年 2 月 23 日
目次
2 オープンソースのリスクにはソリュー ションの自動化が必要 3 ソフトウェアコンポジション解析評価概要 評価したベンダーと選考基準 5 ベンダー評価 市場のリーダー 優良企業 有望企業 チャレンジャー 9 補足資料関連する調査報告書
Secure Applications At The Speed Of DevOps TechRadar™ : Application Security, Q2 2015 Vendor Landscape: Software Composition Analysis
2017年 2 月 23 日
オープンソースのリスクにはソリューションの自動化が必要
顧客が期待するのは、ソリューションが自分に合った適切な方法で動作することです。そうでなければ、 顧客は離れてしまうでしょう。1 企業は、新たなアプリケーションの作成や既存のアプリケーションの修
正の迅速化に注力しています。過去 2 年間で、Google Play と Apple App Store のアプリケーションはい ずれも 130 万から 200 万以上に増加しました。2 › › › › セキュリティおよびリスク管理者向け Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期 プロバイダー 6 社の注目ポイントと市場における位置づけ 開発期間の短縮のために開発者が行うのは、オープンソースのコンポーネントを土台として、新しいコード の割合が 10 ∼ 20% 程度のアプリケーションを作成することです。3 残念ながら、このようなコンポーネン トの多くでは、ライセンス契約について、マイナス要因が存在しています。オープンソースのダウンロード リクエストのうち、脆弱性が確認されているコンポーネントへのリクエストの割合は 1/16 に上ります。4 セ キュリティ専門家はこのようなリスクを抑えるために、SCA ツールに目を向け始めています。SCA ツール には以下のような利点があります。5 多くの情報によって、脆弱性をすばやく判別し、修復も容易に。ソースコードの脆弱性を判別するデータ として最も有名なのは、NIST の全米脆弱性データベース (NVD) です。しかし、NVD のみに依存してい る企業では、まだデータベースに入っていない新たな脆弱性のリスクが見えなくなることがあります。 大切なのはスピードです。SCA ツールはクラウドソーシングを含む複数のソースから脆弱性を収集し て、検証されたものをマークします。また優れた SCA ベンダーはリサーチチームを保有しており、NVD の提供よりも詳しい情報を追加し、開発者に修正に関する最新のアドバイスを行います。 自動スキャニングでライセンスリスクを強調。企業は SCA ツールを活用することで、ライセンスリス クに関する認識の向上が図れるため、オープンライセンス契約の裏にある重大なリスクを軽減するこ とができるようになります。たとえば、開発者が特定のライセンスを使用していると宣言すると、SCA ツールはその宣言が実際に使用されているライセンスと一致するかを報告します。また SCA ツール は、アプリケーション内の全コンポーネントのライセンス義務をスキャンして、互換性に関する問題 を確認することができます。最後に、企業は、SCA ツールを活用することで、使用リスクが高いと判断 されたライセンスを利用するコンポーネントの使用を実質的にブロックすることや、代替に関するア ドバイスを提供することができます。 柔軟なポリシー運用による、更なるビジネスニーズへの適合。ソフトウェアコンポジションポリシーの 中には、モバイルアプリなど特定のアプリケーションのみに適用されるものや、特定の事業やアプリケ ーションに適用されるものがあります。SCA ツールは、ポリシーのグループ分けに携わるセキュリティ 専門家と開発者の負担を減らすことができます。さらに、優れた SCA ツールでは、セキュリティ専門家 がライセンスとコンポーネントの両方に対して、選択された特性に基づいて、ホワイトリスト化または ブラックリスト化するためのポリシーをすばやく定義することができます。 製品統合が既存の開発プロセスをサポート。開発者が使用可能なデータをできるだけ早く受け取れる よう、セキュリティテストプロセスはソフトウェア開発ライフサイクル (SDLC) とシームレスに統合 すべきです。これらの優れた SCA ツールは、コード保存場所または統合開発環境 (IDE) のどちらかに 統合され、脆弱性またはリスクがあるコンポーネントがある場合、開発者に警告を送るか、作業を停止 させます。またこれらの SCA ツールは、ポリシー例外リクエストについて、適切な法律またはセキュ リティ専門家に確認と承認ワークフローを開始することで、遅延の軽減を可能にします。
2017年 2 月 23 日 › › ベンダーが市場にどう対応しているかを評価する戦略基準。当社の戦略評価には、製品戦略、市場ア プローチ、実行ロードマップ、トレーニングが含まれています。 › 市場安定性を反映する市場存在感基準。市場存在感を採点するために、インストール数、成長率、 企業利益性を分析しました。 評価したベンダーと選考基準
SCA 調査の対象として選んだベンダーは、Black Duck Software、Flexera Software、Sonatype、 Synopsys、Veracode、WhiteSource Software の 6 社です。各ベンダーは次の条件を満たしています (図 1 参照)。 › › Forrester 顧客からの関心が高い/Forrester 顧客にとって適切なベンダー。対象のベンダー・製品 は、 Forrester の顧客が質問やインタビューの間に頻繁に話題にしたものです。または、技術機能お よび市場存在感を理由に、Forrester の判断で本評価の対象としたベンダーもあります。 セキュリティおよびリスク管理者向け Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期 プロバイダー 6 社の注目ポイントと市場における位置づけ
ソフトウェアコンポジション解析評価概要
本調査では、SCA 市場の状況を把握し、ベンダーの相対的な位置づけを明確にするため、最大手の大規模 SCA ベンダーの長所と短所を評価しました。過去の調査結果の再検討、ユーザーニーズ調査、およびベン ダーと専門家への聞き取り調査の実施後に、包括的な 38 項目の評価基準を作成しました。項目は、以下の 3 カテゴリに分類されます。 現在の製品ポートフォリオに対して幅広い機能を評価する基準。 現在の製品ポートフォリオを評価するために、ライセンスリスク、脆弱性識別、脆弱性の予防管理、ポ リシー管理、ソフトウェア開発ライフサイクル (SDLC) 統合、リスクレポーティング、ベンダー自己分 析、製品導入の領域で、主要な機能性を分析しました。 エンタープライズクラスの包括的 SCA ツールを提供するベンダー。評価対象となっているベンダー は全て、法律の専門家、アプリケーション開発者、セキュリティ専門家などの役割に合わせた SCA 機 能を提供しています。ライセンスリスク管理、脆弱性識別、ポリシー管理、ソフトウェア配信ライフサ イクル統合の機能のうち大半を持っているベンダーが対象となりました。2017年 2 月 23 日 ベンダー 評価対象製品 評価対象製品バージョン o t ベンダー選考基準 るベンダーと製品について議論します。あるいは参加しているベンダーは、技術的機能および市場存在感 図 1 評価対象ベンダー: 製品情報および選択基準 Forrester顧客からの関心が高い/Forrester顧客にとって適切なベンダー。対象のベンダー・製品 は、Forrester の顧客が質問やインタビューの間に頻繁に話題にしたものです。または、技術機能および市 場存在感を理由に、Forrester の判断で本評価の対象としているベンダーもあります。 セキュリティおよびリスク管理者向け Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期 プロバイダー 6 社の注目ポイントと市場における位置づけ エンタープライズクラスの包括的 SCA ツールを提供するベンダー。評価対象となっているベンダーは全て、 法律の専門家、アプリケーション開発者、セキュリティ専門家などの役割に合わせた SCA 機能を提供してい ます。ライセンスリスク管理、脆弱性識別、ポリシー管理、ソフトウェア開発ライフサイクル統合の機能のうち 大半を持っているベンダーが対象となりました。
2017 年 2 月 23 日
WhiteSourceSoftware
Black Duck Software Sonatype Flexera Synopsys Veracode 市場存在感
ベンダー評価
SCA市場に関する本評価は、あくまで基準のひとつです。各企業には、さらに詳細な製品評価を参照 し、Forrester WaveのExcelベンダー比較ツールを使用し、自社のニーズに合わせて基準の重み付けを 調整することをお勧めします (図 2 参照)。 チャレンジャー 有望企業 強い 優良企業 市場のリーダー 現在提供 している 製品 弱い 弱い 戦略 強い 図 2 Forrester Wave™: ソフトウェアコンポジション解析、2017 年第 1 四半期 製品評価の詳細、機能の 比較、カスタマイズ可能 なランク付けをご希望の 場 合 は 、 Forrester.com からForrester Wave ツー ルをダウンロードしてく ださい。 セキュリティおよびリスク管理者向け Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期 プロバイダー 6 社の注目ポイントと市場における位置づけ2017 年 2 月 23 日 図 2 Forrester Wave™ : ソフトウェアコンポジション解析、2017 年第 1 四半期 ( 続き ) 点数は0 (弱い) から 5 (強い) までの尺度に基づいています。 Flexer a Sonatype Syno psys Forrester に よる重みづけ 50% 20% 20% 5% 15% 25% 5% 5% 5% 50% 30% 25% 15% 30% 0% 60% 10% 30% 3.56 3.05 3.75 4.35 3.20 3.80 5.00 1.00 5.00 3.65 5.00 2.00 1.00 5.00 3.80 5.00 2.00 2.00 2.01 2.70 1.35 2.30 3.20 1.60 0.00 1.00 3.00 1.78 2.10 1.00 0.00 3.00 3.14 2.40 2.00 5.00 3.22 2.70 3.20 1.65 3.40 3.20 3.00 5.00 5.00 0.91 1.20 1.00 0.00 1.00 3.30 5.00 3.00 0.00 1.49 2.00 1.35 1.95 0.80 2.00 0.00 1.00 1.00 2.64 4.80 3.00 1.00 1.00 2.40 2.00 3.00 3.00 Verac ode 1.34 0.00 1.75 1.70 1.00 1.80 3.00 0.00 3.00 1.91 3.20 2.00 1.00 1.00 2.30 3.00 5.00 0.00 4.00 2.85 4.05 4.35 4.00 4.60 3.00 5.00 5.00 2.66 3.20 5.00 1.00 1.00 2.60 3.00 5.00 1.00 現在提供している製品 ライセンスリスク管理 脆弱性識別 脆弱性予防管理ポリシー 管理 SDLC 統合 リスクレポーティング ベンダー自己分析 製品導入オプション 戦略 製品戦略 市場アプローチ 実行ロードマップ トレーニング 市場存在感 インストール数 成長率 企業利益性 WhiteS ource Softw are Black Duck S oftw are セキュリティおよびリスク管理者向け Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期 プロバイダー 6 社の注目ポイントと市場における位置づけ
2017 年 2 月 23 日 セキュリティおよびリスク管理者向け Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期 プロバイダー6 社の注目ポイントと市場における位置づけ 市場のリーダー › 優良企業 › 有望企業 ›
Black Duck Software は包括的ソースコードを基盤としたソフトウェア。Black Duck Hub が対応し ているソースコード言語形式は 80 以上あり、これによってライセンスリスク管理と脆弱性識別に関 する開発者のさまざまな設定をスキャンします。さらに、ユーザーは希望すればアプリケーションソ フトウェア部品管理表 (BOM) を受け取ることができます。Black Duck は毎時間更新される脆弱性デ ータから新たなオープンソース脆弱性を監視しています。ユーザーはユーザーインタフェース / 電子 メール /SMS および自動的に生成された JIRA チケットを通じて、新たに識別された BOM の脆弱性 の通知を受け取ります。Black Duck Software には、非常に強固なリスクレポーティングおよび脆弱性 の予防管理機能がありますが、最大の差別化要因は、ライセンスリスク管理、脆弱性識別、ポリシー管 理の優れたサポートです。 WhiteSource Software はキュレートおよびクラウドソースされたデータの両方を活用。ライセンス リスクや脆弱性の識別や解決には信頼性の高いデータが必要なため、WhiteSource のリサーチチーム は、誤判定を減らせるようキュレートされた情報のみをデータベースに入力しています。一方で、何千 ものユーザーからクラウドソースされたデータも活用することで、解決策のアドバイスの強化や、ク ラウドソースや脆弱性データソースからの代替品に対するランク付けも行っています。WhiteSource Software には、非常に強固な脆弱性の予防管理、ポリシー管理、SDLC 統合、脆弱性識別機能データソ ースがあります。
Sonatype の製品は SDLC によるリスク情報の早期提供が可能。Sonatype は、Nexus ファミリーのソ フトウェアサプライチェーンソリューションを販売しています。このソリューションは、選択、追跡、ポ リシー施行、ソフトウェアコンポーネントの修正を行うことができます。ユーザーは、このポートフォリ オ内で、自身の使用方法においてどの製品の組み合わせが、適切な機能を提供するのかを理解する必要 があります。Sonatype ツールは統合開発環境 (IDE) と一体化され、コンポーネントの各バージョンと企 業ポリシーとの適合状況を追跡する機能が備わっています。このデータによって、開発者は単に最新バ ージョンを選択するのではなく、SDLC においてライセンスと脆弱性の両方のポリシーに準拠している コンポーネントのバージョンを選択できます。Sonatype は、Java オープンソースコンポーネントの有 効範囲で認知されています。現在は対応言語の拡大を進めています。
年 月 日 セキュリティおよびリスク管理者向け Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期 プロバイダー 社の注目ポイントと市場における位置づけ › Synopsys が SCA 提供のために活用する 2 種類の製品。 は、 年に と を買収して、現在 と の 製品を提供しています。前者は ソースコードとバイナリをスキャンしますが、後者がスキャンするのはバイナリだけです。 は両製品を統合しようとしていますが、現在のところ、ほとんどの顧客は両方を活用しており、 つ の製品の間でポリシーを管理するのは困難です。同社の市場検証時期は早く、 が をセキュリティスキャン機能のバックエンドとして使用することを決めた時点でした。 の 統合とライセンスリスク管理は弱く、脆弱性識別とポリシー管理は非常に弱いです。 チャレンジャー › Veracode の所有コードへの理解を深める静的解析ツール。多くの ベンダーがオープンソー スコンポーネント情報の提供方法として のような大規模なコンポーネントデータベースに頼 っていますが、 に登録されていないソースコードコンポーネントがあれば、ユーザ ーは の静的解析ツールによって潜在的なセキュリティフローを識別できます。現在 はライセンスリスク管理を提供していませんが、同社はこの機能をロードマップの 一部に加えました。 のリスクレポーティングは優れていますが、脆弱性識別とポリシー監 視が非常に弱いです。
アナリストの利用
ソートリーダーの協力を得て、貴社の業務部門と 部門の取り組みに の調査 結果を活かすことで、積極的に意思決定を行うことができます。 アナリストへの問い合わせ 調査結果を実践に活かせ るよう、アナリストがお 手伝いいたしますので、 電話による 分間のセッ ションをご予約ください。 または電子メールでもご 回答いたします。 詳細情報 アナリストによる助言 アナリストが、各企業の ニーズに応じた戦略セッ ション、ワークショップ、 講演会等を通じて、調査 結果を行動につなげるお 手伝いをいたします。 詳細情報 Webinar 貴社のビジネスに影響す る最新の調査についての オンラインセッション にご参加ください。各 セッションは、アナリス トへの質疑応答とスライ ドが含まれ、オンデマン ドで利用できます。 詳細情報iPhone®および iPad®用 Forrester リサーチアプリ
2017 年 2 月 23 日 セキュリティおよびリスク管理者向け Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期 プロバイダー6 社の注目ポイントと市場における位置づけ
補足資料
オンラインリソース 図 2 の Excel ベンダー比較ツールにはオンライン版があり、製品評価の詳細とカスタマイズ可能なラン ク付けをご覧いただけます。 この Forrester Wave で使用したデータソース Forresterは次の2種類のデータソースを組み合わせて、各ソリューションの長所と短所を評価しました。 この Forrester Wave におけるベンダー評価作業の一部は、2016 年 11 月 16 日までにベンダー各社から 提供された資料に基づいて行われました。 › ベンダー調査。Forrester は、評価基準に基づいてベンダーが提供する機能について調査しました。 ベンダー調査結果の分析後に、必要に応じてベンダーへの電話によってベンダー適性の詳細を収集し ました。 › 製品デモンストレーション。Forrester は、製品機能を紹介するデモンストレーションをベンダー各 社に依頼し、製品紹介を通して知った事項に基づいて製品機能を詳しく検証しました。 Forrester Wave の評価方法 一次調査を実施し、当該市場で Forrester の評価基準を満たすベンダーのリストを作成します。最初のベ ンダーリストから、最終選考リストに絞り込みます。ベンダー選出基準は、1) 製品の適性、2) 顧客の成 功、3) Forrester の顧客からの需要です。顧客の照会が少ないベンダーや、製品が本調査の目的に適して いないベンダーは削除しました。 過去の調査結果の再検討、ユーザーニーズ調査、およびベンダーと専門家への聞き取り調査の実施後に、 最初の評価基準を作成します。ベンダーと製品をそれらの基準に照らしあわせて評価するために、実験 評価、アンケート調査、デモンストレーション、顧客の照会先との話し合いを通じて、製品の適性に関 する詳細を集めます。確認のためにベンダーに評価を送り、ベンダーの提供内容や戦略を最大限正確に 判断すべく、評価を調整しました。 大規模なユーザー企業のニーズおよび Forrester Wave 評価で説明した他のシナリオの分析を反映できる よう規定加重値を設定し、明確に定義した尺度でベンダーを採点します。規定加重値はあくまで参考の2017 年 2 月 23 日 セキュリティおよびリスク管理者向け
Forrester Wave™:ソフトウェアコンポジション解析、2017 年第 1 四半期
プロバイダー6 社の注目ポイントと市場における位置づけ
整合性ポリシー
Forrester は、Forrester Wave 評価を含むすべての調査を整合性ポリシーに従って実施しています。詳 細は、http://www.forrester.com/marketing/policies/integrity-policy.html をご覧ください。
注記
1 現在の顧客のモバイル利用度、レビュー利用度、オンライン購入頻度の他、企業が常に顧客に寄り添う対応に関す
る詳細は、Forrester 報告書「Winning In The Age Of The Customer」をご覧ください。」
2 モバイルアプリ使用量およびモバイルアプリの開発に関する詳細は、Forrester 報告書「Build Five-Star Mobile
Apps」をご覧ください。
3 資料:“2015 State of the Software Supply Chain Report:Hidden Speed Bumps on the Road to ‘Continuous,’” Sonatype
(http://cdn2.hubspot.net/hubfs/1958393/White_Papers/2015_State_of_the_Software_Supply_Chain_Report-. pdf?t=1466775053631)
オープンソースソフトウェアリスクの詳細は、Forrester 報告書「The Seven Habits Of Rugged DevOps」をご覧く ださい。
4 資料:“2016 State of the Software Supply Chain,” Sonatype (https://www.sonatype.com/software-supply-chain)
最新アプリケーションによるオープンソース利用の詳細は、Forrester 報告書「Secure Applications At The Speed
Of DevOps」をご覧ください。
5 SCA ツ ー ル の 促 進 要 因 や SCA の 各 役 割 に 関 す る 詳 細 は、Forrester 報 告書「Vendor
