2022年度版CPSQレポート：続、米国における低品質ソフトウェアのコスト問題

2020年に日本語訳をリリースしたCPSQレポートの2022年度版が発行されました。果たして米国のCPSQ（Cost of Poor Software Quality）は改善したのでしょうか？

2020年のレポートにはIT先進国と思われている米国の課題が提起されていました。そして、「品質よりもビジネスのスピードを優先する」などの課題によって、1.31兆ドルの「技術的負債（TD:Technical Doubt）」が生み出され、その要因として以下の五つの負債の組み合わせであることを示していました。

これらが積み上がってしまうのは、コードに潜むTD（技術的負債）を返済できずにいるか、返済に時間がかかるために負債が増加してしまうことが原因です。

そして、2022年に算定したTDは1.52兆ドルとなり、2年間で16%の増加となっています。特に、今回のレポートで強調されている問題領域は以下の三点です。

1. 既存のソフトウェアの脆弱性によるサイバー犯罪の被害額が急増
2. 基盤となるサードパーティ・コンポーネント（特にオープンソース・ソフトウェア/OSS) に関するソフトウェア・サプライチェーンの問題が大幅に増加
3. TDの増大による影響が、既存のコード ベースに変更を加える際の最大の障害 

これらの課題の背景として、いくつかの大規模なサイバーインシデントが挙げられていますが、米国は2020〜2022年までの間に、「SolarWinds」、「コロニアルパイプライン」、「Log4j」などの脆弱性や脆弱性によって引き起こされたサイバーインシデントなどがあり、それに伴って運用ソフトウェアの「失敗事例」が増加し、負債の積み増しとCPSQの低下が進んだということになります。これは、日本でも起こりうることですが、レポートでは、増加するサイバー犯罪のコストと能力のあるソフトウェアエンジニアの不足に対処するために、2020年のレポートで示した対処法に加えて、新たに6つの推奨事項を示しています。

• ソフトウェアの品質基準、関連する測定手法、新たに登場したツールの使用 
• システムに含まれるすべてのサードパーティ/OSS コンポーネントの品質の分析と評価。動作中、それらを注意深く監視し、適時にパッチを適用 
• 継続的な品質エンジニアリングのベストプラクティスとツールを含まないDevOpsおよびCI/CDモデルは避け、代わりにDevQualOpsモデルを採用する 
• 継続的なTDの修復をSDLCに統合 
• ソフトウェア・エンジニアの専門性、知識、ツールに投資する 
• 開発者がISO/IEC 5055の「重要なコードとアーキテクチャの弱点」に関する知識を認定を受けることを検討する（OMGが2023年後半から2024年に「Dependable Developer」認定試験を提供開始する時点で） 

日本では、ユーザー企業が自らITリソースを増加する傾向が明らかになりつつありますが、十分な技術を備えた人員の不足は米国以上に深刻だと言われています。しかし、ビジネスを加速し、異なる規制や特性を備えた多様化する世界においてはビジネスの「スピード」を低下させることなく、セキュリティも含めた「品質」を管理する能力を組織が備える必要があります。

このレポートを読むことで、課題と解決策についてのアイデアを得ることができると思います。