(前NTTデータ フェロー システム科学研究所長)山本 修一郎
今回の記事で、本連載も100回を迎えることができた。これも読者のみなさんのご支援の賜物であると深く感謝している。
さて本稿では前回に引き続き、名古屋大学におけるこれまでの研究に基づいて考案した保証ケースの分解パターンについて紹介したい。その前に、最近、和解が報道されたトヨタの訴訟問題を事例にとり、現代システムが抱えるリスクについて保証ケースの観点から述べる。
現代のシステムリスクとは
最近、米国での大規模リコール訴訟に対してトヨタが940億円で和解したという報道があった[1]。この金額は、米国の自動車業界で過去最大だそうである。この訴訟では、トヨタ車のエンジンを制御する電子スロットルに「意図しない急加速」があるということが問題になっていた。しかし、すでにNASAによる第三者検証によって、トヨタ車の電子スロットルに欠陥がなかったことが確認されている。にもかかわらず、今後訴訟が長引くことによるイメージ低下を避けるために、トヨタが和解金の支払いを決断したとのことである。またトヨタは、投資家との間で「トヨタ株低下による損害」訴訟についても20億円で和解している。
NASAによる第三者検証は、この事件が問題になった後で、「電子スロットルに欠陥がないこと」を証明する客観的な証拠をトヨタ側が提示できなかったために、米当局の指示によって実施された点が重要である。この事実は、もしトヨタ側が法廷で「電子スロットルに欠陥がないこと」を証明する客観的な証拠として保証ケースを提示できていれば、もっとうまく、そして早く経済的に和解できた可能性が高いことを示唆している。
その場合、開発段階で作成する保証ケースでは「電子スロットルに欠陥がないこと」を主張として、主張が成立するための客観的な証拠を作成して確認することになる。法廷でこの主張が証明できるかと問われたときに、この保証ケースを提示すればよかったのである。しかし、現実には、このような米国社会が納得するような客観的な証拠が提示できなかったために、NASAによる第三者検証が必要になったわけだ。
以上をまとめると、表1のようになる。
表1 現代のシステムリスク
これまではシステムリスクというと、システム開発に関わる信頼性についてしか考慮していなかった。しかも、徹底的な試験を実施しておけば、システムを高信頼化できることから、第三者検証のような活動を、冗長であるとして軽視してきたのが実態である。しかしトヨタの事例からわかるように、試験が充実しているからというだけでは、開発活動の妥当性を客観的に説明することができないというリスクがある。これらのことは、本連載の第70回ですでに指摘していたことである。都合の悪いことは起きないと思っているところに限って、いつか厄介な事態が発生するものである。
また、問題事象が発生したときに、組織が問題の本質を理解することなく、不適切な判断に基づいて対応することによって、ビジネスの継続性に重大な支障をきたすという、組織内部や顧客とのコミュニケーションのリスクが発生する。
さらに、顧客による想定外の訴訟を起こすというリスクもある。トヨタの事例では、この3つのリスクが複合して、ブランドが大きな経済的損失を被った。ここでの重要な教訓は次の2点である。
◆システム開発段階で第三者検証確認を実施することにより、適切な開発活動を実施していることを客観的に証明できる証拠を残すこと。
◆この結果に基づいて、問題事象が発生した場合に、適切なコミュニケーションによって、顧客に対して説明責任を遂行できること。
これによって、システムを開発した企業は、ビジネスの継続性を達成できるのである。
保証ケースによるリスク対策の考え方
それでは、このような現代のシステムが抱えるリスクを保証ケースでどのように回避できるのだろうか?
1つの考え方を表2に示した。
表2 保証ケースを活用した現代システムのリスク対策例
まず、顧客対応リスクへの対策を保証ケースによって確認することができる。また、ビジネス継続性リスクへの対策を保証ケースによって確認することができる。さらに保証ケースにより、要求プロセス、設計プロセス、実装プロセス、試験プロセスの妥当性を客観的に第三者が確認できるようになる。
ここで、開発プロセスが分割発注されている場合でも、保証ケースを工程ごとに作成することができることを注意しておく。つまり、各工程の活動が正しく実施されていることを示す証拠がないと、本来、工程完了判断できないはずである。したがって、当事者以外の第三者が見ても納得できるような証拠書類として、開発文書が記録されていることを確認することになる。
リスク対策の経済効果
ここで、リスク対策の経済的な効果をまとめると、図1のようになる。リスク対策のためには経費が必要である。当然、貧弱な対策よりも豊富な対策の方がより多くの経費がかかる。一方、リスク対策を軽視すれば、経済的に大きな損失が発生する可能性がある。そこで重要になるのが、適切なリスク対策を選択することである。
適切なリスク対策を選択するためには、リスクを識別して、甚大な被害をもたらす可能性のあるリスクに対して対策を用意したことを確認する必要がある。このために、保証ケースを用いることができる。
図1 リスク対策の経済効果
続きは本誌でご覧頂けます。→本誌を購入する
ご購入のお申込みは電話(03-3507-0560)でも承っております。
- 60:要求とアーキテクチャ
- 61:要求と保守・運用
- 62:オープンソースソフトウェアと要求
- 63:要求工学のオープンな演習の試み
- 64:Web2.0と要求管理
- 65:ソフト製品開発の要求コミュニケーション
- 66:フィードバック型V字モデル
- 67:日本の要求定義の現状と要求工学への期待
- 68:活動理論と要求
- 69:ビジネスゴールと要求
- 緊急:今、なぜ第三者検証が必要か
- 71:BABOK2.0の知識構成
- 72:比較要求モデル論
- 73:第18回要求工学国際会議
- 74:クラウド時代の要求
- 75:運用要求定義
- 76:非機能要求とアーキテクチャ
- 77:バランス・スコアカードの本質
- 78:ゴール指向で考える競争戦略ストーリー
- 79:要求変化
- 80:物語指向要求記述
- 81:要求テンプレート
- 82:移行要求
- 83:要求抽出コミュニケーション
- 84:要求の構造化
- 85:アーキテクチャ設計のための要求定義
- 86:BABOKとREBOK
- 87:要求文の曖昧さの摘出法
- 88:システムとソフトウェアの保証ケースの動向
- 89:保証ケースのためのリスク分析手法
- 90:サービス保証ケース手法
- 91:保証ケースのレビュ手法
- 92:要求工学手法の再利用
- 93:SysML要求図をGSNと比較する
- 94:保証ケース作成上の落とし穴
- 95:ISO 26262に基づく安全性ケースの適用事例
- 96:大規模複雑なITシステムの要求
- 97:要求の創造
- 98:アーキテクチャと要求
- 99:保証ケース議論分解パターン
- 100:保証ケースの議論分解パターン[応用編]
- 101:要求発展型開発プロセスの事例
- 102:参照モデルに対する保証ケース
- 103:参SEMATの概要
- 104:参SEMATの活用
- 105:SEMATと保証ケース
- 106:Assure 2013の概要
- 107:要求の完全性
- 108:要求に基づくテストの十分性
- 109:システムの安全検証知識体系
- 110:機能要求の分類
- 111:IREB
- 112:IREB要求の抽出・確認・管理
- 113:IREB要求の文書化
- 114:安全要求の分析
- 115:Archimate 2.0のゴール指向要求
- 116:ゴール指向要求モデルの保証手法
- 117:要求テンプレートに基づく要求の作成手法
- 118:ビジネスゴールのテンプレート
- 119:持続可能性要求
- 120:操作性要求
- 121:安全性証跡の追跡性
- 122:要求仕様の保証性
- 123:システミグラムとドメインクラス図
- 124:機能的操作特性
- 125:セキュリティ要求管理
- 126:ソフトウェアプロダクトライン要求
- 127:システミグラムと安全分析
- 128:ITモダナイゼーションとITイノベーションにおける要求合意
- 129:ビジネスモデルに基づく要求
- 130:ビジネスゴール構造化記法
- 131:保証ケース導入上の課題
- 132:要求のまとめ方
- 133:要求整理学
- 134:要求分析手法の適切性
- 135:CROS法の適用例
- 136:保証ケース作成支援ツールの概要