SonarQube vs Fortify：AppSec対決（そしてより良い代替案）

はじめに

適切なアプリケーションセキュリティツールの選択は、まったく異なる哲学の対決のように感じられることがある。SonarQubeとFortifyは、両極端に位置する2つの人気選択肢だ。本比較では、それぞれの実際の性能を分析し、なぜ新しい代替ツールが注目を集める可能性があるのかを明らかにする。

TL;DR

SonarQubeとFortifyは静的コード解析向けに構築されたレガシーツールですが、いずれもトレードオフが存在します。SonarQubeは使いやすさでは優れるものの深度に制限があり、Fortifyはエンタープライズレベルのカバー率を提供する反面、習得が難しく設定が煩雑です。Aikido 現代的な代替案を提供します：深いコード解析と迅速なセットアップ、最小限の誤検知、シームレスなCI/CD統合を組み合わせることで、現代のエンジニアリングチームにより適したソリューションを実現しています。

各ツールの概要

SonarQube

SonarQubeは、主に静的コード解析とコード品質検査で知られるオープンコアプラットフォームです。開発者は、バグやコードの臭い、時折発生するセキュリティ問題について即座にフィードバックを提供する洗練されたUIとIDEプラグイン（SonarLint）を高く評価しています。数十の言語をサポートし、CIパイプラインへの統合も容易です。 SonarQubeにはセキュリティルール（OWASP Top 10、CWEチェックなど）も含まれていますが、そのルーツはコード品質にあります。つまり高度なセキュリティテストは得意分野ではありません。組織はコード保守性の向上のためにSonarQubeを導入し、次第に軽量なSASTツールとして「拡張」していくケースが一般的です。これはある程度は機能しますが、本格的なアプリケーションセキュリティチームは、深い脆弱性カバレッジという点でSonarQubeの限界に直面することが多いのです。

強化する

Fortify（OpenText Fortify、旧称HP/Micro Focus Fortify）は、脆弱性発見に特化した老舗のアプリケーションセキュリティスイートです。主力製品である静的コードアナライザは、数千の独自ルールとデータフロー分析を用いてソースコードをくまなく検査し、OWASP Top 10の問題をはじめとする脆弱性を検出します。 Fortifyのアプローチは包括的であり、SASTだけでなくソフトウェア構成分析（サードパーティライブラリの脆弱性）や動的テスト（DAST）のオプションもエコシステムの一部として提供します。このツールは企業セキュリティチーム向けに設計されており、その特徴が顕著に表れています。 Fortifyは簡易ツールでは見逃されるセキュリティ問題を発見し、ガバナンスのための詳細なレポートとダッシュボードを提供します。しかし、その強力な機能には代償が伴います：Fortifyの導入や日常的な運用は決して容易ではありません。急峻な学習曲線、重いシステム要件、そして迅速な開発チームよりもセキュリティ監査担当者向けに設計されたワークフローを覚悟すべきです。これは典型的な「大企業向け」セキュリティスキャナーであり、徹底的で堅牢ですが、往々にして煩雑です。

機能ごとの比較

セキュリティスキャン機能

SonarQubeはコード分析の一環として静的アプリケーションセキュリティテスト（SAST）を実行します。OWASPやCWEにマッピングされたルールセットを用いて、一般的なコーディング上の欠陥や一部のセキュリティ上の問題点（例：SQLインジェクションパターン、XSS）を検出します。ただし、そのセキュリティルールセットはかなり基本的なものであり、専用のセキュリティツールと比較すると深度とカバレッジが限定的です。 SonarQubeは動的テストや包括的なソフトウェア構成分析をネイティブには含みませんが、レポート内で脆弱な依存関係をいくつか特定することは可能です。その焦点は依然として自社開発コードにあります。

一方、Fortifyはセキュリティを基盤から構築しています。FortifyのSASTエンジンは深いデータフロー分析（コード内でのデータ移動の追跡）を行い、SonarQubeが見逃す可能性のある複雑な脆弱性を検出します。また、脆弱なオープンソースライブラリを検出するソフトウェア構成分析（SCA）を提供し、Fortifyの製品群には実行時テスト用のDASTツールも含まれます。 要するに、Fortifyはセキュリティスキャンの全領域をカバーすることを目指しています。その代償として、Fortifyは過剰に厳格になりがちです。あらゆる潜在的な未検証入力や不安全な設定を特定し、結局は悪用できないエッジケースまで頻繁にフラグを立てます。 （そう、コード内のどこかに「password」という単語を見つけるとパニックを起こすほどです。）SonarQubeもFortifyも、インフラストラクチャ・アズ・コードのテンプレートやコンテナイメージスキャンといった新たな領域には本格的に対応しておらず、両者にとってこれらは依然として死角です。これらのスキャンが必要な場合は、追加ツールまたはより統合されたプラットフォーム（例：Aikido ）が必要となります。

統合とDevOpsワークフロー

SonarQube は、最新の DevOps ツールチェーンに組み込む場合にその真価を発揮します。CI/CD 統合のために作られたようなツールであり、ビルドパイプライン（Jenkins、GitHub Actions、GitLab CI など）の一段階として、最小限の手間で SonarQube 分析を実行することができます。 結果を自動的にアップロードするための公式プラグインと簡単な設定があります。SonarQube には、新しいコードに重大な問題が発生した場合にビルドを中断する Quality Gates などの機能もあります。また、Sonar は開発者向けに開発が開始されたため、ブランチごとの分析や PR アノテーションなどの優れた機能も備わっています。つまり、SonarQube は、リンターやテストスイートとほぼ同じくらい簡単に DevOps ワークフローに組み込むことができるのです。

Fortifyの統合はより困難です。従来、Fortifyのワークフローでは手動でスキャンを実行し、結果をセキュリティセンターにアップロードする必要があり、まさに「継続的」とは言えませんでした。実際、初期のFortifyの制限事項は、容易なパイプライン自動化の欠如（手動でのファイルアップロードやカスタムスクリプトが必要）でした。現在ではFortifyをCIパイプラインに統合できますが、プラグアンドプレイほど簡単ではありません。 通常、Fortifyスキャナーをインストールし、コードがビルドされていることを確認（Fortifyは適切に分析するために、すべての依存関係を含むビルドの成功を要求することが多い）した後、スキャンを実行してアップロード用の結果を生成する必要があります。

現在、Jenkins などのツール用のプラグインがありますが、その設定には時間がかかります。 あるユーザーは、Fortifyは「スキャンするためにビルドが必要」であり、パイプラインに組み込むにはより多くの労力がかかると指摘しています。要約すると、Fortify は DevOps に適合しますが、SonarQube ほど高速な CI/CD サイクルにネイティブに対応しているとは感じられません。SonarQube は気楽なチームプレーヤーであるのに対し、Fortify はいくつかのハードルを飛び越えなければならないかもしれません。

精度と性能

静的解析の精度は二面性を持つ：真の問題を捕捉すること（真陽性）と誤警報を回避することである。SonarQubeは沈黙を保つ方向に偏る傾向がある——容易に発見できる脆弱性を見つけつつ、過度に複雑な脆弱性解析を避けるため、実際の欠陥を見逃す（偽陰性）一方で、狼少年になることも少ない。多くの開発者はこの点を評価している。SonarQube…誤検知を出さない点で優れている」と評価し、開発者が無駄な調査に追われることを防いでいます。一方、Fortifyはその正反対です。あらゆる想定される問題を網羅的に検出するため、ノイズの多い結果を出力します。大規模なコードベースでは、Fortifyが数千件の検出結果を報告することも珍しくなく、そのうち真に重大な問題はほんの一握りです。チームはしばしばFortifyの結果をトリアージし、誤検知や軽微な問題を排除するために多大な時間を費やします。

ある経験豊富なユーザーは率直に、Fortifyについて「このツールは非常にうるさい」と指摘し、実際に「信頼すべき」検出結果を見極める必要があると述べた。この高い誤検知率はアラート疲労を引き起こす可能性があり、開発者はFortifyを無視し始めたり、スキャンをリリースサイクルの後半に先送りしたりするようになる。

パフォーマンスの観点では、スキャン速度も考慮すべき点です。SonarQubeは比較的軽量であり、スキャンはコミットやプルリクエストごとに実行できるほど高速です（中規模プロジェクトでは数分で完了することが多い）。一方、Fortifyのスキャンは負荷が高いです。 大規模プロジェクトでは、適切にチューニングされていない場合、Fortifyによるスキャンに数時間を要することがあります。FortifyのSCAエンジンは深い分析を行い、大量のメモリとCPUを消費するため、多くの場合、強力なサーバーを割り当てる必要があります。 一部の組織では、コミットごとに実行するのではなく、夜間やスプリント終了時にのみFortifyスキャンを実行している事実が示唆的です。各実行が遅い場合、継続的スキャンは非現実的になり得ます。要約すると、SonarQubeは機敏で控えめ（発見数は少ないが関連性の高いものが多い）であるのに対し、Fortifyは徹底的だが重く、処理に高い処理能力（および選別力）を必要とする大量の結果を生成します。

適用範囲と対象範囲

言語とフレームワークのサポート：両ツールとも幅広いプログラミング言語をサポートしていますが、SonarQubeの方が対応言語数で優位です。SonarQube（特に商用版）はJava、C#、Python、JavaScript/TypeScript、C/C++などの主要言語を含む約30以上の言語をカバーし、プラグイン経由でさらにニッチな言語にも対応しています。 Fortifyの言語サポートはエンタープライズ向けSASTとしては広範（Java、C/C++、C#、Python、JavaScript、Ruby、Go、PHPなど、一部のエディションではIBMメインフレーム言語も対応）ですが、実際のところSonarQubeよりもサポート言語が少ないというユーザー報告があります。例えばSonarQubeはSwift、Kotlin、Apex、PL/SQLなどに対しコミュニティまたは公式アナライザーを提供しているのに対し、Fortifyはこれら全てを標準でカバーしていない可能性があります。技術スタックが多言語環境の場合、Fortifyの言語互換性を厳密に確認すべきです。多様な環境ではSonarQubeが優位となる可能性があります。

適用範囲:SonarQubeのスキャン対象はソースコードおよび関連するテストカバレッジ/品質メトリクスに限定されます。稼働中のアプリケーションや設定ファイルは分析対象外です。Fortifyの適用範囲はAppSecの観点でより広範です。Fortifyはバイナリや設定ファイルをスキャンでき、拡張製品を通じてモバイルアプリスキャンやランタイムテストなども扱えます。ただし、いずれも主にアプリケーション層（コードと依存関係）に焦点を当てています。 SonarQubeもFortifyも、クラウドインフラストラクチャテンプレート、Kubernetesマニフェスト、コンテナイメージ、APIエンドポイントのスキャンは行いません。これはクラウドネイティブ領域のカバー範囲に空白が生じることを意味します。例えば、Terraformスクリプト内のハードコードされたシークレットやDockerベースイメージ内のCVEは、いずれのツールでも検出されません。これらをカバーするには、追加ツールまたは統合的なカバレッジを設計したプラットフォームが必要です。

これは、Aikido （コード、クラウド設定、コンテナなどをスキャンするプラットフォーム）のようなソリューションが空白を埋めることを目指す重要な領域です。 コンプライアンス基準の対応範囲に関しては、SonarQubeとFortifyの両方が検出結果を一般的なフレームワーク（OWASP Top 10、CWE、PCI-DSSなど）にマッピングします。Fortifyは従来、企業のコンプライアンス要件を満たすために頻繁に利用されてきました。しかし、SaaS、サーバーレス、クラウドインフラといった現代的なアプリケーション領域の生のカバレッジは、どちらのレガシーツールでも限定的です。

開発者体験（UX、セットアップ、学習曲線）

ここで哲学的な違いが顕著に現れます。SonarQubeは 開発者向けツールとして位置付けられています。そのUIは洗練され親しみやすい：問題はコードの文脈で表示され、明確な修正ガイダンスが付随します。 開発者は問題をクリックするだけで、ハイライト表示された欠陥のあるコードと修正提案を確認できます。SonarQubeの学習曲線は緩やかです。使用言語のコーディング標準を理解していれば、Sonarのインターフェースは直感的に感じられるでしょう。SonarQubeの設定（特にSonarCloudやCommunity Editionサーバーの使用時）は明快で、支援が必要な場合には大規模なコミュニティが存在します。

重要なのは、SonarQubeが開発者のワークフローに統合される点だ。IDEプラグインによるオンザフライ分析、コードレビューで新たな問題を指摘するプルリクエスト装飾などがある。結果として、開発者はSonarQubeを嫌うよりもむしろ受け入れる傾向にある。 あるチームはSonarQubeの「ユーザー体験が非常に気に入っている」と述べ、SonarLintがIDE内で即時フィードバックを提供することを高く評価しました。この即時かつ継続的なフィードバックにより、SonarQubeは外部監査ツールではなく開発ツールキットの一部として感じられるのです。

一方、Fortifyは従来のセキュリティアプライアンスに近い印象を与える。主要インターフェースであるFortify SSC（Software Security Center）は強力だが複雑だ。セキュリティ監査担当者が調査結果を確認するためのデスクトップGUI「Fortify Audit Workbench」も存在する。新規ユーザーはこれらのインターフェースに圧倒されがちだ——セキュリティ知識を前提とした脆弱性データ、フィルタ、専門用語が詰め込まれている。 習得の難易度は高く、あるユーザーは「ツールを理解するには時間がかかる…非常に煩雑で…忍耐強く取り組む必要がある」と述べています。セキュリティ訓練を受けていない開発者は、Fortifyの結果解釈に苦労する可能性があります（例：データフローグラフの理解や、「高リスク」とタグ付けされた項目が実際に懸念すべきものか否かの判断）。

多くの組織では、Fortifyの結果は別のセキュリティチームが処理し、その後開発者に課題を割り当てます。このアプローチは摩擦を生む可能性があります。さらに、Fortifyのセットアップとメンテナンス自体がプロジェクトとなります。 Fortifyサーバーのインストール、認証設定、ルールパックの定期的な更新、スキャン環境にビルド依存関係が全て揃っていることの確認…その作業量は膨大です。実際、Fortify自身のドキュメントやユーザーからも「効果的に使用するには多くの設定と熟考が必要」との声が寄せられています。 要するに、FortifyのUXは専任のセキュリティ専門家向けに設計されているのに対し、SonarQubeのUXは日常的に開発を行う開発者向けに設計されています。技術リーダーにとってこの違いは、Fortifyがより多くのトレーニング、より多くのプロセス変更、そしておそらく管理のための専任要員を必要とする可能性がある一方で、SonarQubeは最小限の手間で開発チームに委ねられることを意味します。

価格と保守

コスト要因はしばしば決定的な障壁となる。SonarQubeはこの点で大きな利点を提供する：セキュリティルールや言語サポートに制限はあるものの、導入には十分な無料のCommunity Editionが用意されている。 有料版（Developer、Enterprise、Data Center）では言語サポートとセキュリティ分析機能が拡張され、価格は一般的に解析対象のコード行数（LOC）に基づいて設定されます。SonarSourceは価格体系を透明性高く公開（LOC別の明確な価格帯）しているため、コスト予測が容易です。例えば中規模コードベースの場合、SonarQube Enterpriseの年間費用は数万ドル台前半となる可能性があります。安価とは言えませんが、同等の範囲ではFortifyよりも依然として低コストなケースが多いです。 チーム規模や予算が限られている場合は、無料版のSonarQubeまたは手頃なDeveloper版から始められます。SonarQube（セルフホスト型）のメンテナンスは比較的容易です。Javaサーバーを時折更新するだけで、Sonarは定期的なアップデートとLTSリリースを提供します。SonarCloud（SaaS版）を利用すれば、インフラのメンテナンスは不要です。

対照的に、Fortifyはその高額な価格設定で知られています。エンタープライズ向けソリューションとして、大規模組織におけるFortifyのライセンス費用は年間で5桁後半から6桁に達することもあります。無料プランは存在せず、SASTのみが必要な場合でもフルパッケージの費用を支払う必要があります。ある情報源は、Fortifyが「エンタープライズレベルでの利用には高価である」と明言しています。 価格は公開されておらず、通常は個別見積もりと交渉が必要（透明性とは程遠い）。ライセンス料以外にも総所有コストを考慮すべきだ：スキャンエンジンとセキュリティセンター用に専用ハードウェアや仮想マシンが必要になる場合があり、さらにエンジニアによる保守時間もかかる。ルールパックの更新や新バージョンへのアップグレードは年に数回実施する必要がある（多くの場合サポート契約と連動）。サポート契約が途切れると、新たな脆弱性に対する重要なルール更新を見逃すリスクがある。

これらすべてが、より多くの費用と時間を要することにつながります。 あるレビュアーが「Fortifyを効果的に使うには『多額の資金と多大な忍耐力』が必要だ」と皮肉ったのも頷ける。要するに、SonarQubeは費用対効果が高く予算計画も容易なのに対し、Fortifyは多額の資金投入と継続的な保守投資を要求するのだ。（「Fortifyの価格は？」と尋ねたことがあるなら、金額ではなく営業トークで返された経験があるだろう。）

Aikido よりシンプルで透明性の高い 透明性の高い価格モデルを提供します – 固定 かつ予測可能 – であり、SnykやSonarQubeよりも規模拡大時に大幅に手頃な価格です。

コンプライアンスとイノベーション

FortifyとSonarQubeは、しばしば異なるステークホルダーに訴求します。 コンプライアンスチェックリストの達成や監査官へのアピールを目的とする場合、Fortifyのレポートと認証は影響力があります。Fortifyはガートナーのマジッククアドラントで定番であり、規制の厳しい業界で頻繁に利用されています。詳細なコンプライアンスレポート（例：すべての発見事項をOWASP、PCI DSS、CWE/SANSなどの基準にマッピング）を提供し、監査に役立ちます。 SonarQubeはOWASP Top 10やその他の基準へのマッピングが可能ですが、伝統的に「コンプライアンスツール」とは見なされておらず、継続的改善を主眼としています。ただしSonarQube Enterpriseにはコンプライアンス目的のセキュリティレポートが含まれており、多くの企業がOWASP Top 10への準拠状況を長期的に追跡するために活用しています。

イノベーションと最新性という点では、SonarSourceとオープンソースコミュニティに支えられたSonarQubeは、新たな言語サポート、開発者中心の機能、UIの改善により急速に進化しています。一方、Fortifyの進化ペースは遅い傾向にあります。実際、近年ではFortifyが新たなトレンドや開発者の期待に追いついていないと指摘するユーザーもいます。 HPからMicro Focus、そしてOpenTextへと所有者が移る中で、Fortifyのロードマップは既存のエンタープライズ顧客向けの安定性を、最先端機能よりも優先する可能性が高まっています。例えば、洗練されたIDE統合やIaC/コンテナのスキャンサポートといった現代の開発者の要望は、Fortifyには非常に遅れて導入されるか、まったく対応されませんでした。

一方、SonarQubeは「セキュリティホットスポット」（開発者をセキュリティレビューに巻き込む機能）などの機能を導入し、開発者ワークフローとの統合を継続的に改善している。2025年のスタートアップ基準では、どちらのツールも極めて「革新的」とは言えないが、SonarQubeは現代的なDevSecOpsの実践により適合しているのに対し、Fortifyは、まあ、アプローチがややレガシーに感じられる。 良いニュースは、両ツールとも成熟しており信頼性が高いこと。悪いニュースは、コード以外の新たなセキュリティ領域を単独で解決できるツールではないことだ。ここが、より新しいソリューションを検討する価値がある点である。

各ツールの長所と短所

SonarQube – 長所：

• 開発者向け：シンプルなUIとワークフロー。最小限のトレーニングで開発者が容易に習得可能。
• 容易な統合：CIパイプラインや開発ツール（IDEプラグイン、プルリクエスト装飾）にシームレスに連携し、真のDevSecOps文化を促進します。
• コード品質＋セキュリティ：コード品質メトリクスとセキュリティ分析を統合し、包括的な視点を提供（品質と基本セキュリティを別々のツールで管理する代わりに、1つのツールで対応）。
• 費用対効果が高い：オープンソースのコア機能に無料プランを提供。有料プランは透明性が高く、一般的にエンタープライズ向けSASTスイートよりも低価格です。

SonarQube – 短所：

• セキュリティ深度が限定的：専用セキュリティツールではないため、専門的なSASTが検出する深刻な脆弱性の多くを見逃す（高い偽陰性率）。
• 偽陰性よりも偽陽性：複雑な脆弱性を検出せずに見逃す傾向がある。SonarQubeが検知できない問題を捕捉するには追加ツールが必要となる。
• 高度な機能には有料版が必要です：主要なセキュリティ機能（汚染分析、インジェクション検出）および追加の言語サポートは、Developer/Enterpriseエディションでのみ利用可能です。
• 範囲が限定的：コードに焦点を当てており、静的解析を超えるアプリケーションセキュリティはカバーしない（組み込みの依存関係スキャンや実行時テストは提供されない）。

‍

強化 – 長所：

• 徹底的なセキュリティスキャン：業界をリードする静的解析の深度 – 複雑な脆弱性を捕捉し、OWASP Top 10、SANS 25、その他を標準装備で網羅。
• 広範なルールセット：数十年にわたる開発により、多くの言語やフレームワークにおけるセキュリティ問題を発見するための膨大なルールとチェック（カスタムルール機能を含む）が構築されました。
• 包括的なアプリケーションセキュリティスイート：SAST、DAST、SCAを一元的に統合するオプション。Fortifyは複数のアプリケーションセキュリティ活動（例：コードとサードパーティライブラリを同時にスキャン）をワンストップで実現します。
• エンタープライズ・レポーティング＆コンプライアンス：経営陣や監査人に適した詳細なレポート、ダッシュボード、コンプライアンス対応状況のマッピングを提供。デューデリジェンスの実証とリスクの経時的な追跡を支援します。

強化 – 短所：

• 偽陽性率が高い（ノイズが多い）：大量のアラートを生成する – その多くは情報提供用か、実際には悪用できないもの。チームはしばしば信号対雑音比（時間のかかるトリアージ）に苦労する。
• 複雑な設定と使用：習得が難しく設定負担が大きい。導入・保守・調整に専用の労力を要する（プラグアンドプレイではない）。
• 開発者にとって使いづらい：重量級のセキュリティツールのような印象 – 開発者はインターフェースや結果に圧倒され、導入障壁を感じる可能性がある。SonarQubeのようなツールから得られる「即時フィードバック」の感覚が欠けている。
• 高価：Fortifyのライセンスとインフラコストは高額です。多くの場合、大企業のみが購入可能であり、仮に導入しても、検出結果の大半が誤検知である場合、投資対効果（ROI）が疑問視される可能性があります。

Aikido ：より優れた選択肢

Aikido 、まさに上記の課題点を解決するために登場した現代的なプラットフォームです。Aikido 両方の長所をAikido ください：コード全体、オープンソース依存関係、クラウド設定などに対する包括的なカバレッジを提供しながらも、シンプルさを念頭に開発者第一の考え方で構築されています。Aikidoスマートなアルゴリズムでノイズを大幅に削減（従来ツール比で最大85%の誤検知削減）。これにより開発者は検出結果を信頼でき、幻の問題に時間を浪費しません。統合面では、CI/CDパイプラインや開発ワークフローに最小限の手間でAikido （セットアップは数週間ではなく数分で完了）。 煩雑なインストールや複雑なプロセスは不要。既存の開発ツールとシームレスに連携する「ただ機能する」セキュリティです。

Aikidoカバー範囲はSonarQubeやFortify単独よりも広く、ソースコード、依存関係、インフラストラクチャ・アズ・コード、コンテナ、さらにはシークレットに至るまでの脆弱性を、すべて統一されたダッシュボードで捕捉します。重要なのは、価格設定が透明で定額制である点です。プロジェクトごとの予期せぬ追加料金や、6桁のエンタープライズ向けハードルは存在しません。 要するに、Aikido AppSecに対する無駄のないアプローチを提供します：堅牢な保護と少ない誤検知、容易な統合、そして正直な価格設定です。SonarQubeとFortifyのトレードオフに疲れた技術リーダーにとって、Aikido まさに「合気道の技」となり、AppSecプログラムをセキュリティチームと開発チーム双方のウィンウィンに変えるAikido 。

無料トライアル を開始 するか、 デモをリクエストしてソリューション全体をご確認ください。