PR

 今回は,前回,前々回の内容を基に,基盤ソフトウエア選定のガイドラインを考えてみよう。

 基盤ソフトウエアの選定は,セキュリティという観点から見ても保守フェーズでのコストに大きく影響する。このため,必要なコストを捻出できないことを理由に,古く危険なバーションを放置している例が少なくない。

 基盤ソフトウエアの選定は,セキュリティ以外の要件から検討される場合が多いが,セキュリティの観点からは以下の項目が必要条件となる。

  • アプリケーションの稼働年限を仕様として定義する
  • 採用候補の基盤ソフトウエアが稼働年限までのサポートを保証しているか確認する
  • 稼働年限までのサポートが保証されない場合は,途中でサポート切れになった場合の代替策を検討して,予算を確保しておく

 アプリケーション発注者としての立場でも,基盤ソフトウエアを自ら選定する場合の注意点は上記と同じである。これに対して開発会社に提案を求める場合には,基盤ソフトウエアが満たすべき要件をRFP(request for proposal)として明示しなければならない。その内容は以下の例のようになる。

  • アプリケーションの稼働期間は5年とする(あるいは稼働期限を2013年12月末までと明記する)
  • 開発に利用する基盤ソフトウエアは各社が選定,提案すること
  • アプリケーションの稼働期間内の保守方法について以下のどちらかを選択すること
    - 稼働年限までのサポートが保証された基盤ソフトウエア等を採用し,稼働期間中のサポートに要する費用を見積もりに含める
    - 稼働年限までのサポートが保証されないソフトウエアを提案する場合は,途中でサポート切れになった場合の対応策を示したうえで,サポートに要するトータル金額を見積もりに含める

ケーススタディ:商用製品とOSSのコンペ

 ここで,商用製品とOSSのコンペになったケースを想定し,それぞれの見積もり額を考えてみよう。RFPの内容が表1のようなもので,アプリケーションの稼働年限として5年が求められているとする。これに対し,X社が提供する商用ソフトウエアを使うというベンダーA社の提案では,製品の買い取り費用に加えて5年分の保守費用が見積もりに含まれる。一方,ベンダーB社のPHP5による開発提案では,基盤ソフトウエアの買い取り費用および保守費用は発生しない。ただ,アプリケーションのライフサイクルの中でPHP6への移行が必要になった場合を考慮して,アプリケーションをPHP6に移行するための費用を見積もり金額に含めてある(図1)。

表1●RFPおよび提案の例
RFPの内容OS,ミドルウエア,ソフトウエア部品などは選定し提案すること
アプリケーションの稼働期間は5年とする
5年間の保守に必要なトータル金額を見積もりに盛り込むこと
A社の提案開発ツールはX社製品を提案する
5年間のサポートはX社が保証している
B社の提案開発ツールはPHP5を使用
5年間のサポート継続は保証されていないので,PHP6への移行費用を参考見積もりとして提示する

図1●見積もり総額の比較
図1●

 このように比較してみると,アプリケーションのライフサイクル全体で発生するトータル金額を把握することができ,安全なアプリケーションを維持するための予算を確保しやすくなる。トータル金額によるコンペを実施することにより,セキュリティ要件の実現に市場原理を持ち込み,コストを削減できる可能性も広がる。

 最後に,ここまでの説明内容を5W1Hに基づいたガイドラインにまとめておく。

基盤ソフトウエアを自ら選定する場合
いつ(When)見積もり,あるいはシステム化計画時に
どこで(Where)基盤ソフトウエア選定のところで
誰が(Who)プロジェクトマネージャあるいはアーキテクトが
何を(What)保守継続中にセキュリティ・アップデートが可能となることを確認する
なぜ(Why)ソフトウエア基盤のぜい弱性対策をタイムリーに行える製品を選定するために
どうやって(How)アプリケーションの稼働年限の確認

候補となるソフトウエアのライフサイクル・ポリシーの確認と保守費用の見積もり取得

基盤ソフトウエアの保守保証期間が十分でない場合の代替案と概算費用の算出

基盤ソフトウエア選定を開発会社に提案させる場合
いつ(When)RFP作成時に
どこで(Where)基盤ソフトウエア選定基準提示のところで
誰が(Who)RFP作成者が
何を(What)保守継続中にセキュリティ・アップデートが可能となることを保証させる
なぜ(Why)ソフトウエア基盤のぜい弱性対策をタイムリーに行える製品を選定するために
どうやって(How)アプリケーション稼働年限の明示
稼働年限内に基盤ソフトウエアを維持するために必要な方法と費用を提出させる

Webアプリケーションのセキュリティに関する研究,コンサルティングを手掛ける。京セラ コミュニケーションシステムで文書管理を中心とするパッケージ・ソフトの企画・開発ののち,Webセキュリティ関連の業務に従事。2008年4月に独立。