SQuBOKやBSIは何を目指して策定されたのか
セッション序盤で、松岡氏はSQuBOK(Software Quality Body Of Knowledge:ソフトウェア品質知識体系ガイド)が制定された背景について触れる。
1980年にソフトウェア工学とTQM(Total Quality Management)とを結びつける目的から、日本科学技術連盟のなかにソフトウェア生産管理研究委員会(略称:SPC研究委員会)が設立された。2005年頃、委員会はソフトウェア品質学の知識体系の策定を検討し始めた。これが後のSQuBOKにつながる。この知識体系の目的は、ソフトウェア品質向上のために有用な知識を形式知化し、多くの人々に共有することにあった。
2007年に同委員会はSPC(Software Production Control)からSQiP(Software Quality Profession)へと名称を変更。同年にSQuBOKの初版が策定された。当時の策定部会は30名あまりで、実はこのメンバーのなかに松岡氏も含まれているという。
SQuBOKの第2版は2014年に発刊された。そして発刊後、最新のソフトウェア品質技術を定期的に評価する目的から冊子「SQuBOK Review」が作成されるようになった。また、後年の2020年に発刊されたSQuBOKの第3版では、取り扱う技術領域が拡大し策定部会の人数も40名あまりになったという。
「SQuBOKが版を重ねるなかで、扱う技術が変化してきている」と松岡氏は語る。最新版では、AIやIoT、DX、DevOpsなど、初版では取り扱っていなかった技術も扱うようになった。それだけではなく、SQuBOKにおけるセキュリティの扱いも大きく変化している。版を重ねるごとに、よりセキュリティを重要なものとして取り扱うようになったのだ。
松岡氏は次に、アメリカにおけるBSI(Build Security In)という取り組みについて語る。これはDHS(United States Department of Homeland Security:アメリカ合衆国国土安全保障省)とCMI(Carnegie Mellon University:カーネギーメロン大学)よる共同プロジェクトで、2005年10月にリリースされたものだ。BSIはセキュリティに関する知識を形式知化することを目的としている。
この取り組みはSoftware Assuranceと呼ばれる類いのものだ。Software Assuranceとは「脆弱性を管理できているか」「意図どおりに動作するか」という2つの観点でソフトウェア品質を保証するという考え方のことである。
