米国における低品質ソフトウェアのコスト問題

“The Cost of Poor Software Quality in the U.S.”というレポートはテキサス大学のKrasner教授によって纏められ、初版は2018年に公開されました。それから2年を経て2020年の米国のソフトウェアの低品質による「コスト」がどのように変化したのか、新しく発行された2020年版のレポートからエグゼクティブ・サマリーを眺めてみることにしましょう。

冒頭に書いた通り、2020年の低品質なソフトウェアに伴う総コストは2.08兆ドルと試算されました。これは、2018年に比べて14%増加しています。増加の根拠はIDCの市場予測によるもので、IT産業の市場規模が拡大を続けているためです。

低品質なソフトウェアのコストが嵩むのは何故か？

まず最初に、Internet of Things (IoT) （あるいは Internet of Everything (IoE)）と呼ばれる複雑なシステムが急速に増加していることが原因として挙げられるでしょう。クラウド、組み込み機器、モバイル端末、PCやセンサーネットワークなどが組み合わせられた現代のシステムは、柔軟に異なるコンポーネントやサブシステムをつなぎ合わせることで必要なサービスやアプリケーションを実現することが可能ですが、一方で、個々のサブシステムやコンポーネントで、統一されたセキュリティレベルを実現することが困難であることによりアタックサーフェスが増えるからです。

2番目に、低品質なソフトウェアを改修するためのコストだけでは済まないからです。ソフトウェアに内在する「脆弱性」により、サイバー攻撃を受ける事案が急速に増加しています。また、レポートにも書いてありますが、表面化していない、統計に現れないコストがあると想定されます。

NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所）によれば、一般的なソフトウェアには1000行当たり、平均で25個のエラーがあるとしています。つまり、「稼働するシステム」の劇的な増加により問題が悪化し続けているのです。

アタックサーフェスの増加は他にも原因があるでしょう。たとえば、次のようなものです：

• デジタル・トランスフォーメーション（DX)：ビジネス・オペレーションの大部分を占めている営業から提供（出荷）まで、実際にはソフトウェアによって業務手続きが統合、管理されています。したがって、問題が発生するとバリューチェーン全体に影響が及ぶことになります。
• システム・オブ・システムズ： システム・オブ・システムズというのは、システムが複数の異なるシステムで構成されていても、個々のシステム自体は、単独で機能するものを指しています。たとえば、コンビニにあるプリンター。スマホのアプリなどからリモートで印刷を行うこともできますが、店舗に設置されている個々のプリンターはSDカードなどからも印刷することができるわけです。これはシステム間の通信やタスクの受け渡しあるいは運用で問題が発生する場合があります。
• 競争の加熱： ビジネス上の競争が加熱することでプレッシャーが高まります。特にオンライン・ビジネスでは、ビジネスのスピードが市場における勝敗を決することが少なくないため、運用上のリスクや保守費用よりもスピードを優先させてしまいがちです。そして問題が発生した際に対処できるよう対策がなされていない場合、大きなコストを産む可能性があります。

脆弱性を悪用するサイバー犯罪やサイバー攻撃は増加の一途を辿っています。アクセンチュアのレポートによると、サイバー犯罪によるコストは2018年には平均で年間260万ドルとのこと。また、別のレポートでは、ランサムウェアによるコストは、2021年には6兆ドルと試算されています。