「ソフトウェアの購入選定」で最も重要な要素は価格、機能、それとも……？

調査によればソフトウェア購入企業が製品を選定する際、ある要素が最も重要だと分かった。ソフトウェアを開発する企業はユーザー企業が何を求めているのかを把握しなければならない。

[David Jones，Cybersecurity Dive]

　オンラインマーケットプレースでベンダーとユーザー企業を仲介するCapterraが2023年3月20日に発表したレポートによると、ソフトウェア購入プロセスにおいて最も影響力がある1つの要素が見つかった。導入コストや運用コスト、多彩な機能では「ない」。

この要素がソフト選定を決めていた

　Capterraによれば、米国企業の約半数でソフトウェアの購入プロセスにおいて最も影響力のある要素は「セキュリティ」だった（注1）。このレポートは、ソフトウェア購入の決定権を持つ289人の回答者を対象とした調査に基づく。

　ユーザー企業は優れた設計と直感性を備えた安全なソフトウェアに割増料金を支払うことをいとわない。さらに45％の企業はセキュリティ上の懸念が生じた場合にソフトウェアの使用を中止していた。

　回答者の4分の3以上がソフトウェアを選択する際に、データバックアップを必須機能と考えていた。その他の重要な機能として、セキュリティ通知の他、転送中や保管中のデータを暗号化する機能などが挙がった。

政策やそれに呼応する大手ITベンダーがどう変わったのか

　Capterraのレポートは、米バイデン政権が「国家サイバーセキュリティ戦略」を発表した数週間後（注2）に発表された。米国のソフトウェア業界にとって重要な時期と重なっている。レポートには、ソフトウェア製品の開発に新しい姿勢が業界として必要だとある。それは「セキュア・バイ・デザイン」の導入だ。ソフトウェア開発がほぼ終わってからセキュリティについてテストするのではなく、企画や設計の段階からセキュリティを確保するための取り組みだ。

　バイデン政権はこの点をはっきりと指摘しており、ソフトウェア製品が顧客に届けられる前にセキュリティの欠陥をテストし、改善するよう、セキュリティの責任を開発側にシフトする計画だと述べた（注3）。

　Google（注4）やIBM（注5）など大手テクノロジー企業は、安全なソフトウェアを作る責任を業界に課すという呼び掛けを公に受け入れている。

ユーザー企業の行動はどう変わったのか

　Capterraの調査でも、ソフトウェアがセキュリティのニーズを満たしていない場合、ユーザー企業は購入の意思決定を変更する傾向が高くなっていることを示した。

　Capterraのザック・ケイパーズ氏（シニアセキュリティアナリスト）は、「ベンダーとの間でセキュリティ上の問題を経験した顧客は、競争の激しい現在のソフトウェア環境において、他社製品を探すことを検討する可能性が高い」と語った。

　また、この報告書では、ユーザー企業がソフトウェアの購入を決定する際に、必須機能としてソフトウェア部品表（SBOM）を要求する傾向が強まっていることが明らかになった。SBOMとはソフトウェアの構成要素を一覧化したものだ。脆弱（ぜいじゃく）性が残っているライブラリなどが購入を検討中のソフトウェアに含まれていないかどうかを、SBOMを確認することで把握できる。

出典：Security drives software purchases for half of US companies（Cybersecurity Dive）

注1：Businesses Say Security is the Top Factor When Buying Software-Here’s What They’re Looking For

注2：White House releases national cyber strategy, shifting security burden（Cybersecurity Dive）

注3：Who is liable for flawed software? New guidance upends the security standard（Cybersecurity Dive）

注4：Google backs federal push for tech to embrace ‘secure by design’（Cybersecurity Dive）

注5：Who is liable for flawed software? New guidance upends the security standard（Cybersecurity Dive）