2007-08-09

情報システムの信頼性向上のための緊急点検結果と今後の対応について

経産省から「情報システムの信頼性向上のための緊急点検結果と今後の対応について」というドキュメントが出ている。甘利大臣からの指示によるものだそうで。

内容を見てみると、いつもの経産省のアンケートだ。結局のところ設問は「十分かどうか」「一般的かどうか」を問う内容になっている。

これは何を意味しているのだろうか。“確信犯”的な品質事故を起こしている組織をあぶり出したいのだろうか。すなわち、自分たちで十分ないし一般的ではない、と分かっているのにリリースして運用している組織をあぶり出したいのだろうか。しかし、このアンケートで明らかになるのは、確信犯で信頼性リスクのあるシステムを作ったがやっぱりマズいと思っている組織だけであろう。いわば、危機感を持っている組織だけである。

本当に明らかにしなくてはならないのは、自分たちが信頼性リスクのあるシステムを作っているのに気づいていない組織、すなわち危機感を持っていない組織なのではないか。だからアンケートの内容ももっと具体的でなければならないし、アンケートに答えられるように「信頼性リテラシー」を向上しなくてはならない。そもそも、信頼性基準や出荷基準の決め方について、もっともっと議論しなければならない。

しかし信頼性基準のようなものは、なかなか企業の外に出てこない。だからこそSECなどで国家プロジェクトとして実施すべきなんだろう。ただ気をつけないと、何か数値的な基準を集めて統計処理をすれば適正な信頼性基準が求められるなどという絵空事的アプローチになってしまう。

信頼性基準や出荷基準というのは、開発の集大成的な評価である。だからこそ、開発のレベルも、テストやレビューのレベルも、プロセスのレベルも、組織のレベルも、開発対象のレベルも、全てが重要となる。すなわち国家として信頼性基準の議論をするというのは、日本のソフトウェア開発のレベルという壮大な議論に真っ向から取り組むということに他ならない。それでいて現場目線から離れると意味が無くなってしまうという、難しい議論だ。

実はNGT/VSTPの隠された狙いは、そこにある。テストのモデリングをし、観点から網羅基準までシームレスに展開し、品質リスクの確定を行うことで、テストから見た出荷基準の策定を可視化するのだ。現状ではモデリングにトライする組織が増えてきた段階だが、最終的にはテスト設計から出荷基準の策定をシームレスにつなぎ、かつ開発で把握すべき品質リスクを全V&V工程でヘッジしながら出荷基準と品質リスクのバランスそのものを明示したい。でもまぁ、ここまでやるには、10年かかるかな。札幌で少し話そうかしら。

と、ここまで書いて読み返してみると、ハゲタカな文章になっている気がするなぁ。ちょっと反省。確かに、出荷基準はテストだけで決めるべきものではなく、他に色々な側面を十分に考慮しなくてはならない。書いてあるけど、再度強調。

あ、そうか。NGTでテスト観点そのものをモデリングしたように、出荷判定を決めるために着目すべき観点そのものをモデリングすればよいのか...。どこかの企業で一緒に考えてくれませんかね。もしくはJaSST東京で議論するのもよいかも。

0 件のコメント: