M&Aのデューデリジェンスに対応するライセンス・コンプライアンスとソフトウェア・セキュリティ

M&Aトランザクションのソフトウェア・リスクを特定

ソフトウェアが取引に含まれる場合、コードの内容を把握していることが重要です。ターゲット・コードベースに含まれている可能性があるオープンソース・リスク、セキュリティの欠陥、コード品質の問題を早期に把握することにより、取引の価値が損なわれるのを防ぎます。合併・買収に際して問題を未検出のまま放置することにより、以下のような事態が引き起こされる可能性があります。

  • 専有の知的財産が侵害される。
  • 重要なデータをリスクにさらす。
  • 事業全体および統合作業に支障をきたす。
  • 取引および統合のスケジュールを長引かせる。
  • 是正コストが増大する。

シノプシスでは、オープンソースのライセンス・コンプライアンス、ソフトウェア・セキュリティ、コード品質の各ソリューションを用意し、財務と評判の面で買収の両当事者の成功を支援します。

ご存知でしたか?

1,000件を超えるBlack Duck監査の実績により、ソフトウェアの買収に伴う以下のリスクの可能性を明らかにします。


  • 99%

    スキャンされたアプリケーションにオープンソース・コンポーネントが含まれている割合

  • 68%

    ライセンスの競合または未知のライセンスが存在するアプリケーションの割合

  • 298

    検出された1アプリケーション当たりのオープンソース・コンポーネントの平均数

  • 60%

    既知のセキュリティ脆弱性が1つ以上存在するアプリケーションの割合


オープンソースのセキュリティおよびリスク解析レポート

 お問い合わせ

下のフォームにご記入ください。

250 / 250

お客様の声をお聞きください

PointClickCareが新会社をポートフォリオに加えるに際してのリスクの把握にBlack Duck監査を活用した事例をご紹介します。

M&Aに関する監査サービス

Black Duck監査では、以下の監査サービスにより、ターゲット・コードベースに含まれるオープンソースおよびサードパーティーのあらゆるコンポーネント、ライセンス、脆弱性を特定し、評価することができます。

ライセンス・コンプライアンス監査

オープンソース/サードパーティ製コードの監査

オープンソース/サードパーティ製コードの監査では、Black Duck KnowledgeBase™を活用して、対象コードベースのオープンソースの完全な部品表(BoM)を提示し、すべてのオープンソース・コンポーネントと関連するライセンス契約、およびコンフリクト解析を示します。

オープンソースのリスク評価

オープンソース・リスク評価(OSRA)では、オープンソースとサードパーティ製コードの監査に基づき、既知のセキュリティ脆弱性やメンテナンス・リスクなど、コードベース内のオープンソース・リスクの拡張ビューを表示します。このビューは、高水準のアクションプランを提供し、調査と可能な対策の優先順位を示します。

WebサービスとAPIのリスク監査

Webサービス・リスク監査(WSRA)では、アプリケーションで使用されている外部Webサービスの一覧と、法律上およびデータ・プライバシー上の潜在的なリスクに関する分析をご提供します。Webサービスのリスクをガバナンス、データ・プライバシー保護、品質の3つの主要カテゴリーについて即座に評価できる概要レポートもご用意します。

詳細はこちら

 

オープンソース・リスク評価

ペネトレーション・テスト監査

ペネトレーション・テスト(エシカル・ハッキング)監査では、アプリケーションをフル稼働状態で検査することにより、ソフトウェア資産のセキュリティの堅牢性を評価します。この監査では、セキュリティ・コントロール(WAFや入力妥当性検証など)をバイパスする探索的リスク解析を行ったり、ビジネス・ロジックやユーザー認証の悪用を試行し、システムにアクセスして損害をもたらすハッカーの行動の実例を示します。

静的アプリケーション・セキュリティ・テスト監査

SAST監査では、ツールを利用した自動スキャンとソースコード・レビューを組み合わせて、SQLインジェクション、クロスサイト・スクリプティング、バッファ・オーバーフロー、その他のOWASP Top 10などの重大なソフトウェア・セキュリティ脆弱性を体系的に検出します。

セキュリティ・コントロール・デザイン解析

セキュリティ・コントロール・デザイン解析(SCDA)では、パスワード保存、ID/アクセス管理、暗号の使用などの主要なセキュリティ・コントロールの設計を業界のベストプラクティスとの比較により評価し、構成ミス、脆弱性、誤用、欠落が存在しないことを確認します。SCDAは、アプリケーションまたはコードのテストや解析なしで、アプリケーションの設計に潜むセキュリティ・コントロール関連のシステム不具合を検出します。

詳細はこちら

 

 

コード品質監査

定量的コード品質監査

定量的コード品質監査では、静的解析ツールとマニュアル・コードレビューを組み合わせてコードの品質を解析し、結果を業界ベンチマークと比較して自社開発コードの品質、再利用可能性、拡張性、保守性を評価します。

定性的コード品質監査

定性的コード品質監査では、ソフトウェア開発ライフサイクル(SDLC)を構成するプロセスとプラクティスの徹底した解析を行い、品質向上とコスト削減を実現する方法をご提案します。

暗号化監査

暗号化監査では、取得したソフトウェアの合法的な移転に影響や制限を加える可能性がある暗号化テクノロジーを特定し、独自開発のソフトウェア、オープンソース・ソフトウェア、サードパーティー・ソフトウェアの暗号化機能の詳細な解析を行います。

詳細はこちら

ソフトウェアを負債ではなく資産にする

被買収側の立場であっても、戦略的買収の対象候補を評価する場合でも、デジタル資産のベンチマーク評価を行うためにも、ソフトウェア資産の構成とインテグリティを精査することが合併・買収の成功にとって不可欠です。

451 ResearchがM&Aに伴うオープンソースの脅威への対処について語る

M&Aに関するBlack Duck監査の詳細はこちら