ソフトウェア品質監査制度の運用と課題--ソフトウェア品質をどう担保するか

　IPA（独立行政法人情報処理推進機構）では、産業界におけるソフトウェアの品質説明力の強化を目指して、新たに「ソフトウェア品質監査制度」（制度名については仮称）の確立に向けた取り組みを進めている。

　本特集「ソフトウェア品質をどう担保するか」では、IPA ソフトウェア・エンジニアリング・センター（IPA/SEC）の協力の下、同制度の目的やフレームワーク、具体的な取り組みの内容などについて、4回に渡って解説している。

　今回は、第2回に引き続いて現在提案されているソフトウェア品質監査制度のポイントを紹介した上で、有効な運用を実現するための課題を取り上げる。

影響度に応じた監査レベルの設定

　第2回の記事では、ソフトウェア品質監査制度における特徴的なポイントを3つ紹介した。4つ目のポイントは、5段階の監査レベルを設定し、レベルに応じて審査項目や監査方法を変えるという考え方を導入している点である。

　監査レベルは、対象となる製品やサービスが利用者や国民に与える影響度と、産業や経済に与える影響度の2つの側面を考慮して決定される。利用者・国民に対する影響度は、影響を与える範囲や程度に応じて次の5つのレベルに分けられる。

• レベル0：影響はない／ほとんど影響はない
• レベル1：利用者に限定された軽微な影響
• レベル2：利用者に限定された重大な影響
• レベル3：利用者への重大な影響に加え、利用者以外への軽微な影響
• レベル4：利用者並びに利用者以外への重大な影響／国民への広範囲で重大な影響

　産業・経済に与える影響度は次の5つのレベルに分けられる。

• レベル0：影響はない／ほとんど影響はない
• レベル1：製品・サービス事業に限定された影響
• レベル2：製品・サービスに関わる企業に限定された影響／製品・サービス事業以外の他事業への影響
• レベル3：製品・サービスに関わる産業に限定された影響／製品・サービスに関わる企業以外の同一・類似産業への影響
• レベル4：国内産業への広範囲な影響

　そして、この2側面の影響レベルを組み合わせて図1のように監査レベルを定める。そして図2に示すように、監査レベルに応じて審査の項目数や監査の方法が設定される。

　影響度合いが大きいほど高い品質を求められるため、詳細な監査を実施することで安全性や信頼性を確実に担保するというのが、この方式の目的である。逆に、影響度合いの小さい製品・サービスについては、監査にかかるコストを抑えることができるというメリットがある。

産業または製品別の審査基準の設定

　5つ目のポイントとしては、産業や製品の種類別に審査基準策定機関を設け、それぞれ個別に審査基準を作成することが挙げられる。これは、スマートグリッドやスマートコミュニティのような産業横断で構成されるシステムも、この監査制度の対象に含むことを想定しているからだという。

　たとえばスマートグリッドであれば、電力供給は電力会社の、家電機器は電機業界の、PCやスマートフォンなどの端末はIT業界の守備範囲となる。このように複数の産業分野が接続されてひとつのシステムを構成するような場合、どうやって全体の品質を確保するかが問題になってくる。この問題に対するひとつのアプローチとして、関連するそれぞれの分野で作成した審査基準に適合するかどうかを確認し、全体の品質を確保するという方法が考えられる。

　これを可能にするために、産業分野それぞれにおいて専門的な知識を持った機関を審査基準策定機関として認定し、ガイドラインに則った審査基準を作成する仕組みになっているわけだ。