ソフトウェア品質監査制度（仮称）～制度概要と監査の枠組み～ › files › 000004009.pdf · 実施基準：監査のプロセスについて基本的な枠組みに関する原則

Information-technology Promotion Agency, Japan

SoftwareEngineeringCenter

Software Engineering Center© 2012, Information-technology Promotion Agency, Japan

ソフトウェア品質監査制度（仮称）

～制度概要と監査の枠組み～

2012年5月9日独立行政法人情報処理推進機構

技術本部ソフトウェア・エンジニアリング・センター統合系プロジェクト研究員田中和夫

SECSoftware Engineeringfor Mo･No･Zu･Ku･Ri

Software Engineering Center 2© 2012, Information-technology Promotion Agency, Japan

本日お話する内容

背景

ソフトウェア品質監査制度の概要

監査の枠組み

制度に関わる文書類

模擬実験の紹介




背景



製品出荷後の不具合発生製品率の推移

IPA 「2011年度ソフトウェア産業の実態把握に関する調査」及び経済産業省組込みシステム産業の実態把握調査

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

2005会計年度

2006会計年度

2007会計年度

2008会計年度

2009会計年度

2010会計年度

なし 10％未満 10～20％未満 20～30％未満 30％以上



複雑化するシステム（統合システム）



国民生活に直結する情報システムの信頼性




ソフトウェア品質監査制度の概要



ソフトウェア品質監査制度（仮称）の概要

利用者【国民】（第一者）

事業者（第二者）

監査機関（第三者）

【国民生活の安全・安心】第三者である監査機関の意見を参考に製品・サービスを安心して利用できる

監査対象：ソフトウェアが重要な役割を担う製品・サービス（例：スマートコミュニティ、自動車など）

独立検証機関設計書など

【監査のための証拠】製品・サービスのテスト結果、設計書、開発手順などの証拠

必要に応じて専門家にテストを依頼し、そのテスト結果を確認

監査を受けることで製品・サービスの顧客信頼度向上

万が一の事故の場合でも品質の説明ができる証拠がある

監査結果

【監査機関の意見】＝合理的保証＊１

事業者の主張は適正です。

*1事業者の主張を合理的に保証（assuarance）するもので、障害や事故が発生しないということを保証（guarantee）するものではない。

記述書

【事業者の主張】＝品質説明この製品・サービスは一定の条件下において安全に使えます。

• 製品・サービスの安全、安心に係る品質目標

• 品質目標を達成するために必要な手段

• 手段を実施した証拠• 品質目標、手段、証拠のトレー

サビリティ

製品・サービス



本制度と品質説明力

監査を受けて保証された製品監査を受けても保証されない製品の例

品質目標品質目標明確な

品質目標

不明瞭な品質目標

考慮漏れ

不明瞭な品質目標明確な

品質目標

品質目標

設計書設計書設計書

テスト結果

管理されたプログ

ラム

設計書設計書設計書

テスト結果

プログラム

証拠

◆どんな設計をしたら品質目標を達成できるか◆どんなテストをしたら

目標達成を確認できるか

？？？？？品質目標を

達成する手段



制度フレームワーク（案）



これまでの振り返りと現在、今後

2010年度 2011年度 2012年度 2013年度

調査企画検討

制度設計文書案作成

制度構築実施準備

実施

監査基準

監査実務ガイドライン

審査基準定義書

審査基準策定ガイドライン

審査基準適用ガイドライン

審査基準リファレンスガイド

制度フレームワーク案

制度規定文書

認定基準規定文書

実施体制の検討・構築

適用分野の検討等

監査人候補の選抜・育成

各文書案の修正

模擬実験・実証実験

制度全体の定義・規程

監査人の行動規範監査実務の指針

審査基準の策定指針審査基準の適用指針

各機関・文書等の認定規程




監査の枠組み



どちらの店に行きますか？～前提～

妻と結婚して10年目の結婚記念日が近づいています。

最近夫婦仲が冷え込んでいるのを何とかしたいと

思っているあなたは、記念日に高級レストランを予約することを

決意しました。

しかし、下手な店に連れて行くと、

妻との関係がさらに悪化してしまうかもしれません。

高級レストランには行ったことがなく、その手の情報にも疎いあなたは

予算に合った4つの店を見つけ、それぞれについて下調べをしました。



どちらの店に行きますか？

Ａレストラン

Ｂレストラン

Ｃレストラン

Ｄレストラン

インターネットで調べても、情報がない。

インターネットで調べると、お店のホームページがあった。そこでは、料理長のこだわり食材を紹介している。

インターネットで調べると、若手タレントのブログでは「美味しい」と評価している書き込みがあった。

「料理研究家が自腹を切っても行きたい店」として雑誌に紹介されており、グルメな上司に聞いたら「あの店は美味いよ！」と言われた。



情報と信頼性の関係

情報がある

Ａレストラン

情報が外部者から提供されている

ＹＥＳＮＯ

Ｂレストラン

情報が専門家等から提供されている

ＹＥＳＮＯ

ＣレストランＤレストラン

ＹＥＳＮＯ

信頼度◎ 信頼度○ 信頼度△ 信頼度×



会計監査の枠組み

遵守すべきルール

会計記録

処理

会計取引・事象・事実

財務諸表（主題情報）

情報の利用者

監査報告書

監査実施

会計処理

経営者監査人

証憑書類会計伝票帳簿等

販売仕入支払等

財務諸表において表示されている財政状況、経営成績およびキャッシュフローの状況

意見表明主題

企業会計原則・基準

社内規程

監査基準

• 財務諸表の作成過程• 会計処理の実態等

• 弁護士• 不動産鑑定士• 年金数理人• 情報処理技術者等

専門家

監査で保証してもらいたいこと（利用者が知りたいこと）

専門家の利用

主題を見える化したもの

運用状況

整備状況



ソフトウェア品質監査の枠組み

監査実施

記録・文書

処理

記述書（主題情報）

想定利用者

ライフサイクル・プロセス

審査基準

事業責任者監査人

社内規程

遵守すべきルール

製品・サービス企画書、要件定義書等

システム企画・開発・

運用・保守等の文書

企画から廃却までのライフサイクルを通じた、製品・サービスの安全・安心に係る品質

意見表明主題

製品・サービス企画、要件定義等

監査報告書

監査基準

運用状況

整備状況

• 独立検証機関• 弁護士• 会計士• 技術士• システム・アナリスト等

専門家

専門家の利用

審査基準に照らし、主題に適合しているという事業者の主張を記載したもの

監査で保証してもらいたいこと（利用者が知りたいこと）

• 記述書の作成過程• ライフサイクル・プロセスの実態• 製品・サービス自体の品質等

企画要件定義・・・




制度に関わる文書類



監査基準と監査実務ガイドライン

監査基準

監査実務ガイドライン

■監査実務ガイドライン• 監査基準で定める原則の解説や留意事項、監査実務を実施する際

の留意事項等を示したもの。• 監査基準のような一般的な規定ではなく、詳細な指針を示したもの。

■監査基準• 監査人が監査を行う場合に遵守しなければならない行動規範を示したもの。• 監査基準の構成要素は次のとおり。一般基準：監査人としての基本的な人的資質、適格性要件に関する原則実施基準：監査のプロセスについて基本的な枠組みに関する原則報告基準：監査結果のレポーティングについて基本的な枠組みに関する原則

第一目的第二一般基準

一目的、権限と責任二専門能力三独立性四事実相違表示五注意義務六品質管理七守秘義務

第四報告基準一基本原則二監査報告書の提出三監査報告書の記載区分四肯定的意見の記載事項五意見に関する除外六監査範囲の制約七追記情報八監査報告についての責任

監査基準の目次

第三実施基準一基本原則二監査計画の立案三監査の実施四監査調書の作成と保存五監査業務の体制六他の監査人等の利用

KK-001

独立行政法人情報処理推進機構



監査実務ガイドラインの構成

はじめに本ガイドラインの目的、「ソフトウェア品質監査制度（仮

称）」の概要

本監査業務の構成要素と定義監査人、監査責任者、職業的専門家、監査人の職業

倫理と誠実性、事業責任者、被監査先、監査の依頼者、想定利用者、独立検証機関、監査機関、主題及び主題情報、主題を評価又は測定するための規準、監査レベル、監査リスク、十分かつ適切な証拠、監査報告書

監査業務の契約締結に関する留意点監査実施の前提、受嘱の要件、受嘱における留意事

項、契約書等に盛り込むことが想定される項目、合意した実施条件の変更

独立性の担保独立性の原則、独立性に対する脅威への適切な処置

等

リスク評価監査リスクとは、リスク評価手続、法的リスク及び社会

的リスク、評価したリスクへの対応

監査上の重要性

監査計画の立案監査計画策定の留意事項、計画の修正、主題及び業

務環境の理解とリスク評価、想定される製品・サービスの利用者、利用状況及び利用目的への考慮、監査計画で定めるべき事項

監査手続の実施職業的専門家としての懐疑心、監査レベルと監査手続

、十分かつ適切な監査証拠の入手、監査証拠として利用する情報、他の監査人等の利用

監査調書の作成監査調書の作成

事業責任者の記述書、確認書の入手事業責任者の記述書の入手、事業責任者の記述書の

記載項目、事業責任者確認書の入手、事業責任者確認書の記載項目、事業責任者確認書の陳述の評価

後発事象

監査報告書の記載留意事項、報告書の種類、監査報告書作成上の留意

点

監査品質管理監査品質管理の方針、定めるべき監査品質管理に関

する方針と手続、監査品質管理に関する責任、職業倫理及び独立性、監査契約の締結、監査人の採用・教育・訓練、評価及び選任、監査業務の管理、監査品質管理システムのモニタリング

文例監査報告書の文例、事業責任者の記述書文例、事業

責任者の確認書文例

監査基準で定める原則の解説や留意事項、監査実務を実施する際の留意事項等を示したもので監査基準のような一般的な規定ではなく、詳細な指針を示したもの。



1. 序論1.1 目的1.2 前提知識1.2.1 対象製品・システムの固有事項1.2.2 共通記述パターン2. 本審査基準の適用範囲等2.1 適用範囲2.2 引用規格・関連規格3. 審査基準の構成3.1 審査基準の全体構成3.1.1 組織能力3.1.2 品質ライフサイクル

4. 審査項目4.1 組織能力に関する項目4.2 品質ライフサイクルに関する項目4.2.1 企画品質4.2.2 開発品質4.2.3 製造品質4.2.4 販売流通品質4.2.5 運用保守サービス品質4.2.6 廃却品質

5. 本審査基準とメンテナンス5.1 審査基準の更新とメンテナンス5.1.1 技術の進歩に応じた見直し基準5.1.2 利用環境の変化に応じた見直し基準5.1.3 定期的な見直し基準5.2 審査基準の制約等付録A. 用語の定義B. 記号および略語C. 付属書D. 参考文献

審査基準定義書等の審査基準に関する文書

審査基準定義書

審査基準策定ガイドライン

審査基準適用ガイドライン

審査基準社内規程

審査基準の目次例

審査基準に関する原則と定義の規定

審査基準策定機関が審査基準を策定する際に利用する指針

事業者が審査を行う際に利用する指針

製品分野毎に審査基準策定機関が策定した審査基準

審査基準に適合した社内の開発規程等

審査基準リファレンス

モデル審査基準の事例




模擬実験の紹介



実施中の模擬実験

パッケージソフトウェア品質認証制度のフィージビリティ評価及び監査制度導入によるコスト評価

独立検証機関による形式手法を用いた第三者検証のコスト評価

ICカードを用いた社会情報基盤システムにおける、安全性とセキュリティの同時認証に関する実証実験

ＣＯ２無線測定センサーを対象とした監査レベル別コスト評価

ソフトウェア品質監査制度（仮称）導入に伴い発生する開発工程負荷の評価・分析

カーナビゲーションシステムにおける利用品質（安全性）に対する監査内容の提案とコスト算出

既製システムをソフトウェア品質監査制度（仮称）に適用する場合のフィージビリティスタディ

製品利用情報を分類する際に係るコスト評価

製品マニュアルと製品テスト結果のトレーサビリティ確保に係るコスト評価

車載システム開発時に使用するソフトウェアツールに対してISO 26262の安全要求事項を満たす為に必要な具体的な作業項目の考察

モデルベース開発ツールを活用した際のフィージビリティの効果検証

トレーサビリティ確保におけるソフト開発データからの効果検証

9団体・12プロジェクトの模擬実験を実施中



模擬実験の分布

大分類実験の種類小分類実験で焦点を当てる本制度の特色実施数

アフィージビリティ評価

A 分野/企業横断的なシステムや製品 1

B 市販のパッケージソフトウェアやフリーソフトウェアを用いたシステムや製品 1

C その他(A,B以外、制度フレームワーク案から読み取れるもの) 1

イコスト評価

A 独立検証機関の、監査や審査への参画の許容 2

B 利用品質の確認や向上への、利用者情報や利用情報の活用 3

C 監査の指摘事項反映の影響を抑える、開発と監査の並行実施(同期監査) 0

D 機密情報漏洩リスク低減のための、開発者内部と外部の審査官の間の連携 0

E その他(A～D以外、制度フレームワーク案から読み取れるもの) 5

ウギャップ分析

A 既存の認証制度や監査制度を補完 2

B その他(A以外、制度フレームワーク案から読み取れるもの) 0

エその他 - 制度フレームワーク案から読み取れるもの 0




利用価値のある、よりよい制度にするために皆様の貴重なご意見・ご質問をお待ちしております。詳細は、ブース担当の研究員までお願いします。

ご清聴ありがとうございました。

Documents

ソフトウェア品質監査制度（仮称） ～制度概要と監査の枠組み～ › files › 000004009.pdf · 実施基準：監査のプロセスについて基本的な枠組みに関する原則

ソフトウェア品質監査制度（仮称）～制度概要と監査の枠組み～ › files › 000004009.pdf · 実施基準：監査のプロセスについて基本的な枠組みに関する原則