1. はじめに
「JIS Q 9005:2023 品質マネジメントシステム―持続的成功の指針」で品質部門の役割として次の二点が挙げられていますが、前者についてもうちょっと細かく読み解いてみます。
- 価値提供のための運営基盤の整備及び推進
- CQO の確実な任務遂行のための支援活動
2. JIS Q 9005がフォーカスする価値
JIS Q 9005がフォーカスする価値は顧客価値と社会的価値の二本立てです。規格の用語及び定義から該当部分を引用します。
3.1
品質(quality)
考慮の対象に関する特性の集まりが,ニーズ又は期待を満たす程度
...
注釈2 組織の存在理由は,製品・サービスを通じて顧客及び社会に価値を提供することにある。この規格は,提供された価値に対する顧客及び社会の評価としての品質に焦点を当てている。(強調筆者)
3.3
顧客価値(customer value)
製品・サービスを通して,顧客が認識する価値
3.4
社会的価値(social value)
製品・サービス及びその提供に関わる活動を通して社会に与える影響に対して,社会が認識する価値
社会的価値は顧客以外の利害関係者が認識する価値です。法令・規制の遵守や、製品・サービスおよびこれらの提供活動によって社会に与える中長期的なプラス面・マイナス面の影響といったものです。
類似の用語として品質管理用語 JSQC-Std 01-001:2023の「社会的品質」も参考になるでしょう。
3.7 社会的品質
製品・サービス(2.1)又はその提供プロセスが第三者のニーズ(2.6)を満たす程度.
注記 1 第三者とは,供給者と顧客以外の不特定多数を指す.
注記 2 社会的品質は,品質要素の一つである.
注記 3 社会的品質には,環境保全性,倫理性などが含まれる.
現代品質管理総論(飯塚 悦功 著)によると社会的品質を「1970年代初めに生じた公害を契機として…ユーザーを満足させるだけではなく,同時に第三者(社会)にも迷惑をかけない」という観点でとらえた品質と説明がありますがJIS Q 9005は社会課題解決への貢献も考慮することが望ましいとしています。守りのCSRだけでなく攻めのCSRもということです。
3. 顧客価値の取り組み
3.1 段階的な品質の作り込み
企画品質、設計品質、製造品質(適合品質ともいう)と段階的に品質を作り込み、市場品質として顧客が価値を受け取ります。市場品質は使用品質だけでなく事前サービス品質(例:購入前の相談)、事後サービス品質(例:購入後の相談、不具合対応)などもあります。
- 企画品質:商品企画段階で決める品質で、消費者が要求している品質を見極め、製品コンセプトに盛り込む品質です。
- 設計品質:設計図、および作業の仕様書・手順書において規定された品質で、設計者が技術、製造、コスト、販売等を考慮して決めたものです。
- 製造品質:実際に製造されたものの品質です。
- 使用品質:消費者に製品が渡って、実際に消費者がその商品を使用したときの品質です。
出典:設計ミス防止に対する品質管理のポイント【リニューアル】(一般財団法人 機械振興協会)
JIS Q 9005:2023のQMSモデルを引用し、ソフトウェアの企画品質、設計品質、製造品質、市場品質を作り込む工程を示します。ハードウェアと異なりソフトウェアはいわゆる製造工程がなく、購買(オープンソースなどサードパーティのソフトウェアの組み込み)、製造・サービス提供(リリース計画の策定、プロセスの妥当性確認など)、検査・試験が設計・開発工程に載ってくるため、設計・開発工程が設計品質と製造品質の両方を担います。
JIS Q 9005のQMSモデルがそのままだと扱いにくい場合、そもそもJIS Q 9005は認証規格ではなくガイドラインですので便利で役立つナレッジ集として活用して次のようにアレンジするのも一案です。
3.2 ソフトウェア開発は設計・実装・テストが三位一体
フロントローディングして要件定義や仕様をレビューし成果物の完成度を上げるのは企画品質や設計品質の作り込みです。仕様と実動作の差異をテストエンジニアがバグで起票して修正するのは適合品質の作り込みです。ソフトウェア開発は設計・実装・テストが三位一体で進行します。
3.3 市場品質
市場品質は市場品質問題の対応だけではありません。「本日から、品質部門配属になりました 第33回 『市場品質の保証)』(その2)(超ISO企業研究会)」では以下5点が挙げられています。
- 営業・販売(購入前のサービス)
- 付帯サービス(使用・利用前、使用・利用中、使用・利用後のサービス)
- 不具合が発生した場合の対応
- 「市場品質」を製品・サービス実現、販売・サービス及び品質保証プロセスのPDCAサイクルに組み込む
- 組織全体の問題として取り組む
品質部門は企画部門、設計部門、営業部門、マーケティング部門、カスタマサポート部門などと協働しながら段階的に品質を作り込んでゆきます。また、その仕組みを構築し運用する役割を担います。
4. 社会的価値の取り組み
ソフトウェア品質シンポジウム2023の「これからの品質保証部門のあり方」の発表で品証部門に求められる活動として「コト作りのハブ」が掲げられ、CSRやサイバーセキュリティ規格への対応、サイバー攻撃に備えた組織づくりといった社会的価値に軸足を置いた取り組みが紹介されました。
組織によって品証部門、品管部門と呼び方がまちまちのためここでは代表して品質部門とし、品質部門の社会的価値の取り組み例としてプロダクトセキュリティの話題を取り上げます。
4.1 プロダクトセキュリティの動向
IoT機器の普及にともないIoT機器の脆弱性をねらったサイバー攻撃も発生し、大規模なものではマルウェア「MIRAI」に感染した数十万台のIoT機器による620ギガビット/秒を超えるBrian Krebs氏のセキュリティブログへのDDoS攻撃(2016年9月20日)が知られています1。
このような状況もあってプロダクトのセキュリティ施策として1)法制化、2)国際標準化が進められています2。プロダクトに対してセキュリティ要件が課されたり、英国では2024年4月29日に施行が予定されているPSTI法(Product Security and Telecommunication Infrastructure Act)で実質的にPSIRT3の構築が求められています4。また、EUではサイバーレジリエンス法の草案でEU市場に上市するデジタル製品に対するSBOM(Software Bill of Materials、ソフトウェア部品表)に関する要求事項があります5。
4.2 PSIRT
PSIRT構築の手引きであるPSIRT Services Framework Version 1.1 日本語版によると組織構造として分散モデル、集中モデル、ハイブリッドモデルが示されています。また、ステークホルダーは以下に挙げるように多岐にわたります6。
- 組織内部
- 設計部門、製造部門、品証部門、営業部門、法務部門、広報部門、ユーザ対応部門、リスク管理部門、CSIRT、製品事業責任者、経営層など
- 組織外部
- 脆弱性情報提供者、セキュリティ評価業者、製品業界ISAC、脆弱性情報管理者、ユーザ(エンドユーザ、納品先)、サプライヤ・外注先など
必ずしも品質部門がPSIRTを主導するとは限らないものの、PSIRTに品質部門が取り組んでいることがxSIRT構築事例に関するヒアリング結果(内閣サイバーセキュリティセンター)から伺えます。
- 情報セキュリティ統括部門のPSIRT、本社部門のPSIRT、事業所のPSIRTから構成される。本社部門のPSIRTはセキュリティ技術開発者が兼務、事業所のPSIRTは品質管理部門が兼務している。(自動車部品)
- BU(ビジネスユニット)制を採用しており、グループ・コーポレートと各BUから構成される。CSIRTはグループ・コーポレートに属しグループ全体を対象として活動しており、PSIRTはものづくり本部、D/SSIRTは品質保証本部に配置、PSIRTはBU毎に設置している。グループ全体のセキュリティを統括する情報セキュリティリスク統括本部はCISOにぶら下がった組織となっている。セキュリティセンターは、サービス&ビジネスプラットフォーム内の事業本部に属し、脆弱性に関する情報収集・共有とインシデント対応の支援という技術的対応に特化して活動しており、ルール作り等の統制活動は品質保証・IT部門にて行っている。セキュリティセンター、その下部組織に事業部セキュリティチーム、さらにその下に開発・運用部門といった組織構造となっている。(電気機器)
- セキュリティのチェックのタイミングは、各スプリント中とリリース直前(4スプリント完了後)に設けている。スプリント中のチェックは設計レビューと、成果物に対してテストを行う。リリース直前にもテストを行う。製品開発サイクルにて、プロダクトマネジメント要件が決まったらプログラマー、品質保証エンジニア、PSIRTが連携して対応、懸念があればその時点で説明するなどしている。(デジタルサービス)
- 工場におけるPSIRT担当者は品質保証部門と併任である。セキュリティのエキスパートを雇用する動きは現状ない。脆弱性情報の分析は社内研究所に支援を受けている。外部コンサルに開発支援を頼むこともある。(自動車部品)
- 製品のセキュリティ確保のためには、品質保証部門と情報セキュリティ部門が連携した、セキュリティ技術面の対応ができる体制の構築が必要だが、技術がわかる人材、実働できる人材の確保、育成が課題となっている。(電気機器)
4.3 SBOM
SBOMはソフトウェアの脆弱性管理手法の一つで2023年7月に経済産業省から「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」が公開されました。
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引 Ver. 1.0」p.57にて次のように品質部門の役割が登場します。PSIRTまたはそれに類する部門を抱える組織ではPSIRTが、PSIRTに相当する部門が存在しない場合は品質部門がSBOMを管理することが望ましいと示されています。
SBOMの管理体制について、脆弱性管理という観点を踏まえると、組織内のPSIRT又はそれに類する部門が主導してSBOMの管理を行うのが望ましい。...PSIRTに相当する部門が存在しない場合でも、脆弱性管理は一定のポリシーの下で実施されることが必要であり、例えば、品質管理部門にてSBOMを管理することが望まれる。会社横断で品質管理を担うチームが存在するようであれば、品質管理の一貫として、成果物としてのSBOMの定義や管理、SBOM活用による脆弱性の対応を行うことで、一定のポリシーの下での運用が可能になる。...
5. おわりに
「品質保証(QA)とは。定義の三大流派と定義揺れの弊害(goyoki 著)」によると「近年のソフトウェア業界では、テスト関連活動を担うエンジニアを「QAエンジニア」と呼ぶようになっています。」ということです。ソフトウェア業界方面で「QAエンジニア」が求められるのは
- 適合品質だけでなく設計品質や企画品質も
- 外部品質だけでなく内部品質やプロセス品質も7
というように源流管理を目指している、あるいはソフトウェア開発が進化して源流管理をしやすくなってきている、ということなのかなと眺めています。
ただ、本稿で見たように品質部門は企画品質や設計品質、適合品質だけでなく市場品質や社会的品質の取り組みもあります。また、第一世代のQAエンジニアは自分自身で手を動かして成果を出すだけでなく第二世代のQAエンジニアがその専門性を発揮できるように全体像を描いてレールを敷くことが求められます。QAエンジニアは「価値提供のための運営基盤の整備及び推進」の役割を担います。
A. 補足
JIS Z 8101:1981 品質管理用語
-
設計品質
製造の目標としてねらった品質。狙いの品質もいう。
これに対して使用者が要求する品質又は品質に対する使用者の要求度合いを使用品質(fitness for use)という。
設計品質を企画するときは、使用品質を十分に考察する必要がある。 -
製造品質
設計品質をねらって製造した製品の実際の品質。できばえの品質、適合の品質ともいう。
-
設計の品質
製品に対して設計者が指定する特性のことを指す。...ソフトウェア開発における設計の品質には、要求モデルにおいて具体化された機能やフィーチャーに、設計がどのくらい合致しているかが含まれる。 -
適合の品質
実装が設計にどのくらいしたがっているか、結果としてそのシステムが要件や性能目標にどのくらい合致しているかに着目する。
-
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:なぜPSIRTが製造業で必要なのか | PwC Japanグループ ↩
-
PSIRT Services Framework と PSIRT Maturity Document(JPCERT CC)、PSIRTはProduct Security Incident Response Teamの略称で、組織が提供する製品の脆弱性に起因するリスクに対応するための組織内機能です。 ↩
-
英国Product Security and Telecommunication Infrastructure Act(PSTI法)成立~英国市場での製品セキュリティ対応カウントダウン始まる~ | PwC Japanグループ ↩
-
「PSIRT徹底解説」製品セキュリティ統括組織PSIRTの全貌を解き明かす:PSIRTの全体像 | PwC Japanグループ ↩
-
内部品質、外部品質はJIS X 0129-1:2003(ISO/IEC 9126-1:2001)に登場するソフトウェアの品質です。JIS X 0129-1:2003は2023年8月21日に廃止され後継のJIS X 25010:2013では内部品質と外部品質を合わせて製品品質となりましたが、知っていると何かの役に立つと思います。 ↩