プログラマとプロマネのあいだ

プログラマもやるし、プロマネもやるし、たまに似非アーキとか営業っぽいこともやる

日経コンピュータの連載「動かないコンピュータ」の内容に違和感を感じた件

コンサルタントが相手にするのは、企業の経営層や情シス部門のトップだったりする。という話を真に受けて、そういう人達が読んでるものを読まなくちゃというわけで、最近日経コンピュータを読んでたりします。
まあ、本当のところは、ある研修で「日経コンピュータではプロジェクトの成功率は何%と言われていますか?」という質問に答えられなくて、あわてて購読申し込みしたというわけなのですが。
※30%程度だそうです。


それはさておき、日経コンピュータには名物とも呼べる「動かないコンピュータ」という連載があります。
2012/4/26号では、某通信会社の「パスワード変更機能に不具合 他人のメールが読める状態に」と題した記事だったわけなんですが、不具合の概要→発覚するまでの経緯→事象→原因と記事が進んだところで、とても違和感のある文章に遭遇する。

不具合を受けて、某社はシステム開発におけるミス防止策を強化する。例えば、開発フェーズごとに、仕様の漏れや誤りがないか設計担当と開発担当のダブルチェックを徹底する。チェックを担当する人を増やしたり、確認作業に時間をかけたりする計画だ。テストでの確認項目も増やす予定である。

上の文章でミス防止策として挙げられているのは以下の4つ。

  1. 開発フェーズごとに、仕様の漏れや誤りがないか設計担当と開発担当のダブルチェックを徹底する
  2. チェックを担当する人を増やす
  3. 確認作業に時間をかける
  4. テストでの確認項目を増やす

でも、1〜3は対症療法に過ぎず、チェックや確認の内容が変わっていなければ、かけるコストの割に効果は上がらないように思う。
むしろ、属人的なチェックしか行えていないのであればチェックリストを整備したり、既にチェックリストがあるのであれば、その項目を充実させることに注力すべきだと思う。
4は唯一実効性のありそうなミス防止策なんだけれども、ただ単にテストでの確認項目を増やすのではなく、不具合が発生すると被害が甚大になるセキュリティ観点のテスト項目を増やすなどとした方が良いと思う。


で、もっと他に良いミス防止策ないのって思うのですが、例えば、失敗事例を社内で公開するとか、それをネタに教育するとか、あるいは、セキュリティの専門家を入れるとか、もう少しマシな策はありそうなものですけどね。
あと、今日(もう昨日か)出てた、情報処理推進機構:プレス発表:記事:ソースコードセキュリティ検査ツール「iCodeChecker」の公開みたいのとか。(今回の件に役立つかどうか不明だけど)


再発防止策を徹底することが必要だ。で結ばれているわりには、挙げられている再発防止策がショボすぎるので、もうちょっとなんとかなりませんかねーというお話でした。