本特集「非機能要求の鉄則3カ条」の最後は「定期的に見直す。見直せる運用にしておく」である。
あたりまえのことではあるが、情報システムも社会や企業が担う事業を構成する一部である。社会や事業の状況が変われば、情報システムに求められる要件もまた変わる。実装すべき機能要求も非機能要求も当然ながら変化していく。とくに社会の変化が激しい昨今においては、システム構築の計画時と稼動時では事業を取り巻く状況が劇的に変わっていることも少なくない。必要と思っていた機能/非機能が過剰であったり、検討時には想像もしていなかった機能/非機能が求められたりする。
状況の変化、時代の変化に取り残されない情報システムを構築するために、非機能要求の検討において留意すべき点について考えていきたい。
社会の要請や事業環境が変われば非機能要求も変わる
文字通り日本中を激震させた東日本大震災は、情報システムのあり方に大きな変化をもたらした。最も顕著な動きとして、BCP(Business Continuity Plan:事業継続計画)対策として仮想化およびクラウドサービスに対する注目度が大幅に高まったことが挙げられる。
今でこそ国内においても、クラウドサービスを活用する企業が増えてきたが、震災以前のクラウドサービスのイメージは、どちらかというと「コストは抑えられるかもしれないが、セキュリティや可用性に難がある」というものが多かった。特に、大事な業務データをクラウド事業者が提供するクラウド環境に置く、基幹システムをクラウド環境で運用する、などは、セキュリティ上ありえないとする考え方が多数派であった。しかし、オンプレミス(社内据置)の情報システムは災害時に必ずしもシステムの安全性を担保するものではなく、むしろクラウド事業者の提供する堅牢なクラウド環境でシステムを構築/運用したほうが、そうしたリスクを低減できる場合があることを、ユーザ企業もSIerも震災で身をもって知ったのである。
また震災は情報システムにおける可用性や運用/保守性の考え方も大きく変えるきっかけになったと言っていい。非機能要求においてはよく「24時間/365日止まらないシステム」という言葉が使われるが、震災以降、24時間/365日稼働するシステムを実現するということがいかに難しく、また、事業継続という意味ではいかに重要かということを、これもまた身をもって知った企業が多いはずだ。予期しないシステムダウンが起こったときの対処法は、いまや非機能要求検討時の重要項目となっている。
もうひとつ、社会からの要請の変化により非機能要求として求められる要求が変化した最近の例として「標的型攻撃」の激化によるセキュリティの見直しが挙げられる。ご存知の方も多いと思うが、標的型攻撃とは名前の通り、特定の個人や組織に標的を定め、情報を盗み出すまで執拗にさまざまなサイバーアタックを仕掛けるものだ。なかでも2011年に明らかになった官庁や防衛産業の企業に対する標的型攻撃は、攻撃対象企業だけでなく、関連企業や組織も含めて狙われる可能性が高いことを示したことで世間を震撼させた。
もっとも非機能要求の見直しが定期的に必要な理由は、震災やセキュリティ事件など社会的要請の高い出来事だけによるものではない。大きな事件が起こらなくとも、事業を取り巻く環境は刻一刻と変化する。たとえば利用者の増加によるライセンス費用や、蓄積データの増加など小さな変化の積み重ねが思いがけない無駄やリスクを抱えることにつながることもある。定期的な見直しはシステムの安全な稼働のためにも必要不可欠なプロセスと言っていい。また、そのためには、関連するデータの把握が重要になってくる。
