ソフトウェアエンジニアリング知識体系SWEBOK V4 解説（鷲崎）

Transcript

1. ソフトウェアエンジニアリング知識 体系SWEBOK V4 解説 鷲崎 弘宜 早稲田大学 / 国立情報学研究所 /

   システム情報 / エクスモ ーション Twitter: @Hiro_Washi washizaki@waseda.jp http://www.washi.cs.waseda.ac.jp/ V20220318-2 2022年3月18日スマートエスイーセミナー: システム＆ソフトウェアおよびビジネスにおける知識体系と国際標準の最新動向 わしざき ひろのり

2. 知識体系 Body Of Knowledge • 妥当と認められ た知識群を整 理・構造化した 全体 •

   専門領域の定 義づけ • ポータル、用語 辞書、文献ガイ ドとしての活用 文献 文献 ・・・ ・・・ BOK ガイド カテゴリ 知識領域 トピック （知識項目） 知識体系へのガイド 知識領域の大分類 （BOKによっては無し） 知識の技術・プロセス 上の分類 最小の知識単位 （技術・プロセス知識） 知識の詳細記述・実体 2

3. 様々なBOKや枠組み 範囲・対象 策定主体 最新版 改訂予定 SWEBOK Guide Software engineering body

   of knowledge IEEE-CS • V3 (2014) • Entire adoption of Agile and DevOps • Software architecture, operation, and security SWECOM Software engineering competence IEEE-CS • V1.0 • SFIA and SWEBOK harmonization SEBOK Systems engineering body of knowledge INCOSE, IEEE Systems Council, SIT • V2.5 • Wiki-based • Continuous update EITBOK Enterprise IT body of knowledge IEEE-CS, ACM IT2017 • Initial version • Wiki-based • Mapped to SFIA and iCD iCD IT skill and task framework IPA • V2017 • Referencing to SFIA, EITBOK, SWEBOK, SQuBOK • Mapping to SFIA skills and iCD tasks SFIA Framework IT skill framework SFIA Foundation • V9 • Continuous update SQuBOK ソフトウェア品質知識 体系 日科技連関連 • V3 2020 BABOK Business Analysis Body of Knowledge IIBA • V3 2015

4. Guide to the Software Engineering Body of Knowledge (SWEBOK ガイド)

   SWEBOKガイド 知識領域 Knowledge Area: KA ・・・ • 背景 – IEEE Computer Society, PEAB Engineering Discipline Committee (Chair: 鷲崎 ’18-) – 1998年開始、2001年 Trial v0.7, v1.0, 2004 年 v2004、2014年 v3.0、2022年 v4.0へ – ISO/IEC JTC1/SC7/WG20 におけるTR化 ISO/IEC TR 19759:2005 （v2004） – http://www.swebok.org/ – http://swebokwiki.org/ • 目的 – 世界中への一貫性ある見解の普及推進、 他分野との境界 – 内容の性格付け、知識体系へのアクセス の促し – 教育カリキュラムおよび技術者認証 の基 礎 • 対象読者 – ソフトウェアエンジニアリングの実務家、研 究者、学習者 – 特に、大学卒業後4年以上の実務経験者 が有すべき知識体系 トピック トピック 推薦書籍 推薦論文 国際規格など 4

5. SWEBOK 2022のビジョン https://www.computer.org/volunteering/boards-and-committees/professional-educational-activities/software-engineering-committee/swebok-evolution • 高信頼・基盤: 社会インフラ としてのソフトウェアと必要な エンジニアリング – アーキテクチャ

   – セキュリティ • 現代的な開発とプラクティス – アジャイル＆DevOps – 運用 • 周辺との関係拡充・整理 – AIとの関係 – 工学基礎系の整理 • 既存領域のアップデート – ソフトウェアエンジニアリング エコノミクスほか 5 注意: 本講演時点における検討事項であり今後変更の可能性があります。 ソフトウェ ア開発・保 守・運用 価値・ビ ジネス AI 工学 基礎系 アーキテ クチャ セキュ リティ アジャイル・DevOps

6. SWEBOK 2014 → 2022（予定） 6 • 要求 • 設計 •

   構築 • テスティング • 保守 • 構成管理 • マネジメント • プロセス • モデル・手法 • 品質 • プロフェッショナル実践 • エコノミクス • 計算基礎 • 数学基礎 • エンジニアリング基礎 • 要求 • アーキテクチャ • 設計 • 構築 • テスティング • 運用 • 保守 • 構成管理 • マネジメント • プロセス • モデル・手法 • 品質 • セキュリティ • プロフェッショナル実践 • エコノミクス • 計算基礎 • 数学・エンジニアリング基礎 アジャイル（& DevOps） 注意: 本講演時点における検討事項であり今後変更の可能性があります。

7. 新設: アーキテクチャ知識領域 7 注意: 本講演時点における検討事項であり今後変更の可能性があります。

8. アーキテクチャ設計の概要 8 ステークホルダ 関心事 関心事 関心事 分析 評価 合成 注意:

   本講演時点における検討事項であり今後変更の可能性があります。

9. 新設: 運用知識領域 9 注意: 本講演時点における検討事項であり今後変更の可能性があります。

10. 運用のプロセスおよび活動 10 運用の計画 運用のデプロイ 運用の制御 注意: 本講演時点における検討事項であり今後変更の可能性があります。

11. 新設: セキュリティ知識領域 11 注意: 本講演時点における検討事項であり今後変更の可能性があります。

12. • 特定の文脈上で頻出のセキュリティ問題と対応する 解決策・経験をまとめたもの ➢ 名前: Role-Based Access Control (RBAC) ➢

    問題: How do we assign rights to people based on their functions or tasks? ➢ 解決: Assign users to roles and give rights to these roles so they can perform their tasks. ➢ 関連パターン: Authorization, ... User id name ProtectionObject id name * * Authorization_rule Right access_type predicate copy_flag checkRights Role id name * * MemberOf セキュリティパターン 注意: 本講演時点における検討事項であり今後変更の可能性があります。

13. セキュリティ構築（実装） 例: CERTセキュアコーディング標準 • 入力を検証 • コンパイラの警告に注意 • セキュリティポリシーを考慮した設計 •

    シンプル • デフォルトで拒否 • 最小特権の原則を遵守 • 他のソフトウェアに送信されるデータをサニタイズ • 防御策の実践 • 効果的な品質保証技術を使用 • ソフトウェア構築のセキュリティ標準を採用 13 Robert C. Seacord, The CERT C Secure Coding Standard, Addison-Wesley Professional, 2008 注意: 本講演時点における検討事項であり今後変更の可能性があります。

14. 横串としてのアジャイル＆DevOps • アーキテクチャ知識領域 – アジャイル開発ではしばしばアーキテクチャ設計フェーズ が明示されず – DevOpsなどの継続的開発におけるアーキテクチャプロセ スの応答性メトリクスへの注目: 変更のリードタイム、デプ

    ロイ頻度、サービス復元平均時間、変更失敗率など • セキュリティ知識領域 アジャイルセキュリティプラクティス [Bell17] – セキュリティがブロッカーではなく、イネーブラーであること – 変化を受け入れ、より速く、より反復的に作業し、セキュリ ティリスクとリスク管理の方法について、段階的に考慮 – セキュリティチームと開発者の関与、有効化、自動化、ア ジャイルチームに追従するためのアジリティ 14 Laura Bell, Michael Brunton-Spall, Rich Smith, Jim Bird, Agile Application Security, O’Reilly,2017 注意: 本講演時点における検討事項であり今後変更の可能性があります。

15. 横串としてのアジャイル＆DevOps （つづき） • 運用知識領域 IEEE Std 2675: IEEE Standard for

    DevOps: Building Reliable and Secure Systems Including Application Build, Package, and Deployment – 原則: ビジネス・ミッションファースト、顧客志向、レフトシフ ト（特にCDやテスト、品質活動の早期からの取り組み）・CX （Continuous Everything）、システム思考 – 組織文化:リーダーシップ、組織構造とダイナミクス、効果 的なコミュニケーションと協調、学習する組織とナレッジマ ネジメント、適応力、レジリエンス、組織変革 – ライフサイクルプロセス: 契約プロセス、組織的なプロジェ クト実現プロセス、技術管理プロセス、技術プロセス 15 注意: 本講演時点における検討事項であり今後変更の可能性があります。

16. まとめと展望 • SWEBOK 2022 – 新設: アーキテクチャ、セキュリティ、運用 – 横串の観点: アジャイル＆DevOps

    – 2022年パブリックレビューを経てリリース予定 • 関連活動へのお誘い – パブリックレビュー予定: SWEBOK Evolution https://www.computer.org/volunteering/boards-and-committees/professional-educational- activities/software-engineering-committee/swebok-evolution – スマートエスイーセミナーほか 16 注意: 本講演時点における検討事項であり今後変更の可能性があります。

17. スマートエスイーのご紹介 https://smartse.jp 社会人リカレント教育 AI・IoT×ビジネス • 正規履修: 履修証明プログラム10科目120時間 • コンソーシアムにて調査研究活動、オンサイト教育展開 17

    全国規模の14大学・ 研究所ネットワーク 26以上の企業・業界 団体(会員企業5000 超)・自治体との連携 + + クラウド センサ・IoT 人工 知能 ビッグ データ 生成 知識 抽出 革新 情報処理 アプリケーション ビジネス 価値 創造 題材・事例 教材・指導 受講生派遣・ 外部評価 進学・共同 研究接続 教材・指導 地区展開 スマートエスイー 通信・物理 協力校