24
X 25040 : 2014 (ISO/IEC 25040 : 2011)
a) ソフトウェア製品が評価要求事項を満たすことが可能であるという,適切な程度の信用を確立する。
b) 評価要求事項に関連する特定の不備及びこれらの不備の範囲を決めるために必要な追加の評価を識別
する。
c) ソフトウェア製品を利用するときに設定される特別な限界又は条件を識別する。
d) 評価自体の弱点又は欠落,及び必要な追加の評価を識別する。
e) 評価によって網羅できていないソフトウェア製品利用のための追加措置を識別する。
注記 (評価に判定基準を適用する)タスクは,ソフトウェア製品品質の総合的な評価であり,ソフ
トウェアプロセスアセスメント(の総合評価)ではない。要約された品質は,時間,費用など
の他の側面と比較されるので,評価結果は,経営上の判断を支援するために使用することがで
きる。経営上の判断は,ソフトウェア製品の受入れ若しくは拒否,又は提供若しくは提供しな
いことを含む。
6.7 評価の終結
次の項目がこのアクティビティへの入力であることが望ましい。
a) ソフトウェア製品品質評価要求事項の仕様
b) ソフトウェア製品品質評価計画の実際の結果の仕様
c) ソフトウェア製品品質評価方法の仕様
d) 評価結果
次の項目がこのアクティビティの成果物であることが望ましい。
a) ソフトウェア製品品質評価報告
このアクティビティは,6.7.16.7.3に示すタスクからなる。
6.7.1 評価結果の審査
評価者及び依頼者は,評価結果の共同審査を実施しなければならない。
6.7.2 評価報告書の作成
評価報告書がどのくらい使用されることを意図しているかに応じて,次の項目を含むことが望ましい。
a) ソフトウェア製品品質評価要求事項
b) ソフトウェア製品品質要求事項
c) ソフトウェア製品品質評価計画
d) 実施された測定及び分析からの結果
e) 評価計画によって明示された場合,中間結果又は判定の解釈
f) 評価アクティビティでのあらゆる限界,制約,不備又は除外。規定時間を過ぎたソフトウェア製品の
利用,構成,修正,又は保守一般による影響を含む。
g) 評価者及び評価者の資格
h) 任意の評価済みの版の製品とそれに対応する評価への入力との相違。例えば,文書類,経過の相違点
など。
i) 不備に遭遇したときの解決方法又は回避策
j) 評価の繰返し又は再作成を可能にする必要があるその他の情報
k) 評価結果
評価アクティビティの分析の結果として,評価報告書には,次のことを識別するのがよい。
――――― [JIS X 25040 pdf 26] ―――――
25
X 25040 : 2014 (ISO/IEC 25040 : 2011)
a) 各々の不備,あらゆる関連する分析,及びどのようにして,各々の不備を解決されたか。不備の解決
には,次の事実を含んでもよい。
− 評価方法の一つが,その不備が重要ではないという保証を与えている。
− 満足できる“回避策”が,不備の影響を軽減すると認められている。例えば,製品の修正,不必要
な機能の無効化又は削除,リバースエンジニアリングの利用による不足設計要求事項の再生。
− 当初の要求事項は必須事項ではなく,不備も受入れ可能である。
− ソフトウェア製品の利用が特定の条件又は限界によって制御される場合,不備は,受入れ可能であ
る。
− 評価における不備又は差異を解決するために,追加の評価作業が要求される。
b) あらゆる識別された不備を解決するために,実施された追加の評価
− 不備の適用範囲又は影響を決定する。
− 不備はないという信用を確立する。
− 一つの回避策が技術的に実行可能で,及び/又は適切で,受入れ可能であることを検証する。
− 不備を是正するために設計変更を行ったか又は不備が是正された場合に,そのソフトウェアの振る
舞いが正しく受入れ可能であることを検証する。
c) ソフトウェア製品の利用を制限するか,又は制御する必要がある場合,次の制限があるかどうか。
− アプリケーションの必須の要求事項を満たすソフトウェア製品との干渉。
− アプリケーションの設計,予算及び日程計画への影響。
− 追加の評価作業の要求。
− アプリケーションにおける故障の可能性の提出。
d) 評価の適用範囲からの除外,及び/又は各評価結果の制限。例えば,次のものがある。
− この評価は,製品の機能性の詳細な審査は含んではいない。
− このソフトウェア製品は,製品に対して要求された機能性の全ての評価が正常に完了した場合に,
要求されたインテグリティレベルに達していると考えられる。
e) 作成されたソフトウェア製品の評価に対する全体的な結論を承認するための,全ての評価アクティビ
ティの統合された結果。
注記 広範囲な操作履歴は,不備なソフトウェアエンジニアリングプロセスを埋め合わせることも
ある。
評価報告書へのコメントを処置して,報告の最終版に包含しなければならない。
6.7.3 品質評価の審査及び組織へのフィードバックの提供
評価者は,評価の結果,並びに適用された評価プロセス指標及び測定量の妥当性を審査しなければなら
ない。審査からのフィードバックは,評価プロセス及び評価技法(評価モジュール)を改善するために使
われるのがよい。評価モジュールの改善が必要な場合には,後で利用するためにそれらの妥当性を確認す
るために,追加指標のためのデータ収集を含むのがよい。
注記 品質評価審査及びフィードバックは,JIS X 25001に規定している。
6.7.4 評価データの処置の実施
評価が完了したら,依頼者の要求事項に従って,データ及び評価項目は処置しなければならない。
この処置は,データの種別に応じて,次の方法のいずれかで実施されなければならない。
− 評価のために提出した文書は,依頼者に返却するか,明示された期間内は保管するか,又は危険のな
い方法で廃棄しなければならない。
――――― [JIS X 25040 pdf 27] ―――――
26
X 25040 : 2014 (ISO/IEC 25040 : 2011)
− 評価報告書及び評価記録は,明示された期間内は保管しなければならない。
− 他の全てのデータは,明示された期間内は保管するか,又は危険のない方法で廃棄しなければならな
い。
幾つかのデータについて,明示された保管期間が過ぎた場合には,データは,明示された期間,再度保
管するか,又は危険のない方法で廃棄しなければならない。
――――― [JIS X 25040 pdf 28] ―――――
27
X 25040 : 2014 (ISO/IEC 25040 : 2011)
附属書A
(参考)
評価水準
評価される場合の品質副特性及び測定量との関係も含めて,品質特性の全体的な仕様について意見の一
致を得ることは難しいので,評価要求事項は,選択された品質特性に対する評価水準を明示してもよい。
評価水準は,ISO/IEC 15026で規定されたソフトウェアインテグリティレベルに関係している。ソフト
ウェアインテグリティレベルは,評価のために提示されたソフトウェア製品に割り当てられる場合,この
ソフトウェアインテグリティレベルは,評価要求事項を選択するために使用してもよい。特に,ソフトウ
ェアインテグリティレベルに関連する厳密さの度合いは,評価技法を選択する手引として使用してもよい。
一方では,評価水準は,与えられた特性に依頼者が加えた重要性に関係している。選ばれた水準は,ソ
フトウェア製品の想定された使用法及び環境(例えば,安全条件,セキュリティ制約,経済面のリスク,
アプリケーション制約など)に関して意味があることが望ましい。
他方では,評価水準は,適用される評価技法及び達成された評価結果に関して,評価の深さ又は厳密さ
を定義する。結果として,異なる水準での評価は,ソフトウェア製品の品質における信頼の異なる水準を
与える。その水準は,各特性とは独立して選ぶことができる。
この附属書には,A,B,C及びDと呼ぶ四つの水準を提案している。水準は,最高水準のA及び最低
水準のDの階層からなっている。水準Aでは,(尽力及び時間の尺度の合理的な量を考慮して)最も厳し
い評価技法は,最も高い信頼の提供に適用される。徐々に水準Dまで下がって,あまり厳しくない方法が
使用され,その結果として,通常,より少ない尽力が評価に向けられる。
各ソフトウェア特性に対して,評価水準は,大きな製品の異なる構成要素に対して変化してもよい(例
えば,高信頼性要求事項を必要とする影響が重大な構成要素がシステムの他の構成要素から切り離されて
いるように)。
この附属書のA.1は,製品の使用の状況に応じて,評価水準を選択するための手引を提供している。A.2
は,評価技法を選択することを支援する。
A.1 評価水準の選択
評価水準は,関連する品質特性のそれぞれと独立して選択してもよい。水準を選択する場合,幾つかの
側面を考えることが望ましい。例えば,適切な場合,重要な側面は,製品に対する安全性,経済,セキュ
リティ,環境及び市場に関係した側面である。
関連する品質特性に対して,製品の不適合によってこの特性に関係する要求事項に影響を与えるリスク
及び重大性は,高品質から得られる便益と同様に,関連する側面全てに対して総合評価することが望まし
い。これらの側面の幾つかに対して,表A.1表A.4は,リスクと選択された水準との関係を示す。幾つ
かの側面を考慮する必要がある場合,最も厳しい水準を選択することが望ましい。
経済面のリスク及び市場便益について,評価の費用を考慮することが望ましい。
――――― [JIS X 25040 pdf 29] ―――――
28
X 25040 : 2014 (ISO/IEC 25040 : 2011)
表A.1−安全性側面に対する評価水準の例
評価水準 重大性
水準A 多くの人の死亡
水準B 人命への危険な存在
水準C 資産への損害,人への損傷の危険な兆候
水準D 資産への小さな損害,人へのリスクなし
表A.2−経済的側面に対する評価水準の例
評価水準 重大性
水準A 財務破綻(企業が存続しない。)
水準B 大きな経済面の損失(企業が存続の危機にさらされる。)
水準C かなりの経済面の損失(企業が影響を受ける。)
水準D 無視できる経済面の損失
表A.3−セキュリティ側面に対する評価水準の例
評価水準 重大性
水準A 戦略的なデータ及びサービスの防御
水準B 影響が重大なデータ及びサービスの防御
水準C エラーリスクに対する防御
水準D 識別された特定のリスクがない
表A.4−環境関連側面に対する評価水準の例
評価水準 重大性
水準A 回復不可能な環境被害
水準B 回復可能な環境被害
水準C 局所の被害
水準D 環境リスクがない
A.2 評価水準からの評価技法の選択
幾つかの評価要求事項を満たすために評価仕様を詳しく示すため,測定量を明示する必要がある。測定
量は,品質特性及び評価水準に従って選ばれた評価技法に基づいている。次に,各品質特性について,あ
まり要求されない水準からより要求される水準まで順位付けられた評価技法の一覧を提供する。
機能性
− 機能試験又はブラックボックス試験
− チェックリストで示された開発文書の検査
− 試験網羅性基準による単体試験
信頼性
− 特定のプログラム言語機能の利用の検証
− ソフトウェア設計及びコードの耐故障構造の分析
− 信頼度成長モデル
使用性
− ユーザーインタフェース及び文書の検査
――――― [JIS X 25040 pdf 30] ―――――
次のページ PDF 31
JIS X 25040:2014の引用国際規格 ISO 一覧
- ISO/IEC 25040:2011(IDT)