膨大な手戻りコストを最大200分の1にするシフトレフト、セキュリティ・バイ・デザイン――これから始める企業が知っておきたい処方箋とは：品質保証のプロに聞く（2）

セキュリティを含むソフトウェアの品質保証はビジネスに欠かせない前提条件だ。要件定義や設計段階から品質を作り込むシフトレフトやセキュリティ・バイ・デザインの考え方については、企業の理解が徐々に深まって「常識」として浸透しつつあるが、広く実践されていないのが現状だ。本稿では、品質保証、セキュリティ対策のプロフェッショナルの対談から、今の開発現場が直面する課題を浮き彫りにし、その解決策を探る。

PR／＠IT

PR

プロジェクト終盤やリリース後の改修コストは初期段階で対応した場合の200倍

　デジタル化やDX（デジタルトランスフォーメーション）推進が急務となっている今、ソフトウェアの品質保証（QA）はビジネスに欠かせない前提条件だ。デジタルサービスで障害が起こると、ビジネスそのものが停止しかねず、サービスの根幹を支えるソフトウェアの品質はビジネスの継続性にも直結している。

　そのQAの枠組みに脆弱（ぜいじゃく）性対策などのセキュリティも含まれるようになって久しい。国際規格「ISO/IEC 25010」などで規定されているソフトウェア品質特性でもセキュリティは開発者が順守すべき主要な品質特性8つの中の1つとなっている。加えて、経済産業省やデジタル庁が脆弱性診断を推奨、もしくは一部業種に義務化するなど、システム障害を防ぐのと同様にサイバー攻撃のリスクを減らすことも、プロジェクト管理者／リーダーの重要な責務だ。

　こうした中、セキュリティを含むソフトウェアのQAにおいては、上流の要件定義から品質を作り込んでいく“シフトレフト”の重要性が高まっている。その理由は明確で、問題を発見して改修するタイミングが遅れるにつれて改修コストが指数関数的に大きく膨らんでしまうからだ。

　「要件定義の段階で考慮できずに、プロジェクト終盤のテスト工程や製品リリース後に品質の問題が露呈した場合、そのタイミングで必要となる改修コストは、ごく初期段階で対策した場合の200倍になるとも言われます。早め早めに手を打っていく“シフトレフト”は、もはや常識になっています」と語るのは、ポールトゥウィンでQAソリューションの責任者を務める木川広基氏だ。

ポールトゥウィンの木川広基氏（事業本部 QAソリューション事業部 シニアマネージャー）

　ゲームデバッグ専門で創業し、そこでの経験やノウハウを生かしてソフトウェアテスト事業に進出、急成長を遂げるポールトゥウィン。もともとソフトウェアテストは下流工程で人的リソースを投入して実施するパターンが多かったが、最近は顧客企業から「もっと上流から入ってほしい」と言われることが増えているという。

　「お客さまにはよく、品質向上の受益者はプロジェクトに関わる全員であり、QA部門だけでなく開発ライフサイクルに関わる全ての人で“シフトレフトの体制”を作ることが重要ですとお伝えしています」（木川氏）

　システム開発やサイバーセキュリティなどに特化し、2025年4月にグループ子会社として誕生したSynXのサイバーセキュリティグループに所属する芳崎大紀氏も次のように語る。「セキュリティインシデントが発生した場合も、復旧や損害賠償などに要するコストは計り知れず、企業としての信頼を失うなど、経営を揺るがす事態にもなりかねません。シフトレフト、特にセキュリティについては、設計段階から意識することで脆弱性を削減しようとするセキュリティ・バイ・デザインのアプローチが主流になっています」

　SynXでは、「脆弱性診断」「ペネストレーションテスト」といったサービスを提供しているが、こうした診断・テストで脆弱性をゼロにすることは困難だという。「例えば、ホワイトハッカーによる疑似攻撃でセキュリティの対策状況やリスクを評価するペネストレーションテストでは、通常、開発手法やツールの選定など上流工程には関知しません。このため、例えば開発で利用したオープンソースソフトウェア自体に問題が潜んでいたとしても、その時点で明らかになっていなければ見逃してしまいます」（芳崎氏）

　こうした診断・テスト時の課題を解決するには設計段階から品質を作り込むしかない。デジタル庁など政府機関が、セキュリティ・バイ・デザインを促すガイドラインを強化している一因と言えるだろう。

シフトレフトやセキュリティ・バイ・デザインの実践を阻む壁

　シフトレフトやセキュリティ・バイ・デザインの考え方については、徐々に企業の理解が深まって「常識」として浸透しつつあるが、広く実践されていないのが現状だ。その背景には、人材不足は言うまでもなく、QAやセキュリティ対策を投資ではなくコストと見なす文化も要因として挙がることが多い。

　木川氏は「開発ライフサイクル全体で品質リスクに対するスキームを確立し対処することは、品質の成熟度だけでなく開発生産性の向上にもつながります。QAやセキュリティ対策をコストではなく、同じリソースでより高品質なプロダクトをたくさんリリースできるようにするための投資と捉えるべきです」と意識改革を呼び掛ける。

　芳崎氏は「事件や事故が起こっていない状況では、将来のリスクを自分事として捉えられず、『自社に限ってそんなことはないだろう』と考える“正常性バイアス”が働いているのではないでしょうか」と分析した上で、セキュリティ対策特有の難しさを課題に挙げる。

　「セキュリティ・バイ・デザインの実践は、企業・組織としてセキュリティ対策に取り組めることが前提になります。プロダクトに対してだけでなく、人（従業員）への対策も必要で、アクセス管理をしっかりする、ログを管理して細かく確認する、攻撃されたときの対処フローを策定して定期的に演習するなど対策は多岐にわたります。膨大な工数と時間をかけて地道に取り組む覚悟が求められるのです」

SynXの芳崎大紀氏（事業本部 サイバーセキュリティグループ セキュリティアドバイザー）

「何から始めたらいいか分からない」企業に役立つ支援サービスの在り方

　両氏は、顧客とコミュニケーションを重ねる中で「シフトレフトを進めたいが、どうすればいいか分からない」といった声をよく耳にするという。特に、後工程でのテストや診断しか実施したことのない企業にとって、要件定義や設計の段階からセキュリティも意識して品質を作り込んでいくとなると、組織や業務への影響が大きく、コストも膨大になりそうで、思わず尻込みしてしまうのは当然とも言える。

　何から始めたらいいか分からないという企業には、シフトレフトへの“第一歩”となる支援サービスの利用が有効な手段の一つだ。ポールトゥウィンでは、長年培ってきたQAの知見を基に、顧客企業の開発ライフサイクル全体を診断して品質リスクを可視化するサービス「ドクターQA」を提供している。その名の通り“かかりつけ医”として、アセスメント（問診）から入り、課題整理・リスク評価（診察・診断）を経て、最終的に品質改善策（処方箋）を提案する。その上で、品質コンサルティングやプロジェクトマネジメント、テスト自動化といった同社のサービスでも支援する。

　その特長は、理想論に終始することなく、プロジェクトのスピード感や予算を把握した上で、顧客ごとにテーラリングされた現実的な処方箋を提示する点にある。診察では、処方箋の実践に向けて豊富な実績を誇る同社のPMO（Project Management Office）やQMO（Quality Management Office）が定性的に支援する。

　診断・診察の結果セキュリティが課題に挙がってきた場合は、この領域を専門とするSynXと連携して品質の作り込みを支援する。具体的には、前述の脆弱性診断やペネストレーションテストなど、リリース直前に実施してリスクを最小化するサービスの他、コンサルティングや教育支援などセキュリティ・バイ・デザインに効果を発揮する伴走支援サービスも提供している。

　「ポールトゥウィンのソフトウェアテストサービスを利用しているお客さまが、脆弱性診断を追加で依頼されるケースがあります。グループ内で連携することでお客さまの負担を最小化し、スムーズに対応する点は評価いただいています」（芳崎氏）

品質を主語にするシフトレフトが一般的になる今後、競争力を強化するには

　こうした伴走支援サービスはシフトレフトだけでなくQA内製化にも資する。ドクターQAのようなサービスを利用すれば、QAに関する正しいノウハウを効率的に学習、蓄積でき、社内から専門人材を育成・確保して品質管理の内製化が可能になる。一方で、開発を外部委託する企業にとってはSIer（システムインテグレーター）との関係性の維持も気になるところだろう。

　開発をSIerに委託する企業に対しては「SIerをきちんとマネージして品質を確保する」方策を指南し、開発を受託するSIerに対しては「QA組織を構築して競争力を高める」アドバイスを提供するという。

　「ポールトゥウィンのソフトウェアテストサービス事業は30年以上の歴史があり、取引先3500社以上、消化テスト項目4920万以上、不具合検出数197万以上の実績を誇ります。これまで磨き上げてきたQAのスキルやノウハウが評価され、お客さまは、自社で開発体制を持つ企業だけでなく、開発体制を持たず外部に開発を委託している企業や、こうした企業から開発を受託するSIerにまで広がっています」（木川氏）

　シフトレフトやセキュリティ・バイ・デザインを実践しようと模索する企業に両氏はエールを送る。

　「今後のソフトウェア開発では、品質を主語にするシフトレフトが一般的になっていくでしょう。QA組織だけで品質を保証するのは限界に来ているからです。要件定義や設計段階から品質を作り込む受益者はプロジェクト、プロダクトに関わる全ての人です。ポールトゥウィングループは献身的に取り組んでいきます」（木川氏）

　「かつてなくサイバー攻撃の脅威が高まっている今、他社に先駆けてセキュリティ・バイ・デザインを実践することは、企業として競争力の強化にもつながります。お客さまの事情やニーズに合わせた解決策がきっと見つかりますので、まずは気軽にご相談いただき、ポールトゥウィングループのノウハウ・スキルを役立てていただければと思います」（芳崎氏）