はじめに

今月は、米国カーネギーメロン大学（CMU）のソフトウェア工学研究所（SEI）が開発したソフトウェアプロセス等の成熟度に関するモデルCMM®について取り上げる。
ITシステムの政府調達においてベンダーを価格以外でどのように評価すべきかについては、米国でも古くから提起されてきた問題であった。こうした中で米国国防総省が設立したSEIによって開発されたCMM®は、政府調達もさることながら、広くグローバルIT企業のソフトウェアプロセス改善（SPI）／ソフトウェアプロセスアセスメント（SPA）のために参照すべきモデルとして用いられるようになってきている。いわば、製造業におけるTQM（総合的品質管理）のソフトウェア版とでも言うことができよう。
このたび、CMM®を開発したCMUのSEIを訪問する機会を得たので、これを機にCMM®の概要について整理してみることとしたという次第である。
なお、本稿の執筆に当たっては、ワシントンコア社の小林千代さんに情報収集等で御協力をいただいた。


１．CMM®とは

CMM®（Capability Maturity Model®）は、米国カーネギーメロン大学（CMU）のソフトウェア工学研究所（SEI）によって開発されたソフトウェアプロセス等の成熟度に関するモデルである。
最初に開発されたソフトウェアを開発する組織向けのSW-CMM®に加えて、人材管理向けのP-CMM®、ソフトウェア調達向けのSA-CMM®、システムエンジニアリング向けのSE-CMM®、統合製品開発向けのIPD-CMM®が開発されており、さらにこれらを統合したCMMI®が開発されている。

といってもこれだけで直ちに理解できる人は多くはないであろう。もう少し詳しい概要は、例えば経済産業省が主催したソフトウェア開発・調達プロセス改善協議会の報告書「ソフトウェアプロセスの改善に向けて〜SPIへの今後の取組み〜」（平成14年4月19日）やIPA（情報処理振興事業協会）から三菱総研への委託調査の報告書「国内及び海外におけるソフトウェアプロセス改善活動の状況に関する動向調査」（平成14年3月）にまとめられている。ここではこれらも参考にしつつ、SW-CMM®を例にしてもう少し具体的なイメージについてごく簡単に触れておくこととする。

まず、ソフトウェアプロセスの成熟度とは何かということであるが、これはソフトウェアプロセス（ソフトウェア及び関連成果物を作成･保守するための一連のステップ）がどの程度明確に定義され、管理され、測定され、制御され、効果的であるかを測定する尺度とされている。そして、SW-CMM®では、図表1のような5つの成熟度段階を提示している。

図表1　SW-CMM®におけるレベル（段階）

（出典）”The Capability Maturity Model,” CMU/SEI, Addison Wesley, 1994に基づく。

そして、レベル2〜5の各成熟度段階に達するために満たされるべき事項として、図表2のようにいくつかのキープロセスエリア（KPA）が設定されており、各KPAでは、その効果的な実行と制度化のために最も貢献する活動等がキープラクティスとして定義されている。

図表２　各段階のキープロセスエリアの目的と概要

（出典）”The Capability Maturity Model,” CMU/SEI, Addison Wesley, 1994に基づく。

このようにソフトウェアプロセスの成熟度を定義する前提には、ソフトウェアの品質はその開発プロセスの質によって左右されるという基本的思想がある。SW-CMM®は、実際のソフトウェア開発での成功事例（ベストプラクティス）におけるソフトウェアプロセスの有効性の議論に基づいて策定されており、ソフトウェアプロセスの成熟度段階が上がるに従って、そのプロセスで開発される成果物の品質、コスト、納期について、平均実績値と目標値との乖離が少なくなり、プロジェクト間の実績のばらつきが小さくなり、より高い目標値の達成が可能になると期待される。

なお、SW-CMM®はあくまでモデルであり、ソフトウェアプロセスについて何を（What）すべきかを提示してはいるが、それを具体的にどのように（How）実施すべきかについては示していない。その成熟度段階を上げること自体を目的とするのではなく、ソフトウェアプロセス改善（SPI）／ソフトウェアプロセスアセスメント（SPA）のために参照すべきモデルの一つとして捉えるべきであると思われる。


２．カーネギーメロン大学（CMU）のソフトウェア工学研究所（SEI）について

ここで、カーネギーメロン大学（CMU）のソフトウェア工学研究所（SEI）についてごく簡単に触れておきたい。

SEIは、国防総省からの資金拠出を受けて1984年にCMU内に設置された研究所（FFRDC： Federally Funded R&D Center）である。したがって、SEIの管理運営は国防総省からの委託に基づきCMUが行っているが、活動内容は国防総省のニーズに沿ったものとされている。
SEIのミッションは、国防総省が開発・調達・維持するソフトウェア集約型システムのコスト、スケジュール及び品質を予測可能で改善されたものとするため、ソフトウェア工学の実践において技術的リーダーシップを提供することにある。
SEIは技術的プログラムとして、CMM®の開発普及を始めとするソフトウェア工学プロセス管理の研究のほか、サイバーセキュリティ関連の研究や緊急対応支援組織CERT®/CCの運営、商用既製品（COTS）の利用に関する研究などを実施している。
現在、SEIはペンシルバニア州ピッツバーグの他、米国内2か所及びドイツにオフィスを持ち、400人の職員を抱えている。

SEIの活動の特徴としては、「現場主義」「実践主義」といったことを挙げることができそうだ。SEIはその活動モデルとして、「Create（研究開発）−Apply（現場での実践）−Amplify（普及啓蒙）」を掲げており、ApplyやAmplifyのための組織も設けて研究開発成果の（有償での）実践・普及を図る一方で、その結果を研究開発にフィードバックする形をとっている。こうした点が、ソフトウェア工学分野においてSEIが確固たる地位を築く要因の一つになっていると思われる。


３．CMM®の普及状況

では、実際にCMM®は政府調達等においてどの程度利用されているのであろうか。
米国では、政府調達に関してはFAR（Federal Acquisition Regulations）という規則が制定されているが、このFARではIT調達については入札価格以外の要素も含めたBest Valueで評価するとの考え方が採り入れられているものの、具体的な評価基準については案件ごとのRFP（見積り提出要求）において明確にすることとされており、FARレベルでCMM®が位置付けられているわけではない。

2002年8月12日付けのGovernment Computer News誌の記事によると、「国防総省における兵器システムのような主要システムの調達ポリシーでは、契約者はいわゆる“CMM®レベル3相当”であることが要求され、その認定がない入札者はリスク軽減計画を入札とともに提出しなければならない」との記述があり、軍事調達においてはCMM®が事実上の評価基準として活用されていることが窺える。実際、軍事関連の大手契約者は少なくともレベル4、多くの場合レベル5を取得していることを公表している。
一方で、同記事によると、「文民調達担当者は巨額のプロジェクトであっても格付けにはそれほど厳格ではない」、「問題案件や失敗案件のほとんどが属する、1億ドル前後の典型的な国防総省のITプロジェクトは、レベル3相当要求の対象外である」といった記述があり、通常の非軍事のIT政府調達においてはCMM®の利用は限られているようだ。

同記事によると、SEIが公表している2002年3月時点のCMM®導入組織は1,638で、うち政府機関及びその契約者は31％に過ぎないとのことであり、CMM®は政府調達にかかわらず民間部門でプロセス改善等のためにある程度活用されているものと思われる。
なお、SEIはそのウェブサイト（http://seir.sei.cmu.edu/pml/）においてCMM®のレベル取得を公表している企業のリストを作成しているが、このリストは2003年4月をもって凍結され以後更新されていない。


４．CMMI®の現状

さて、以上SW-CMM®を中心にCMM®の概要や普及状況について見てきたわけであるが、実はSEIは2003年12月をもってSW-CMM®のサポートを終了することになっている。そこで、以下に、SW-CMM®にシステムエンジニアリング向けのSE-CMM®などを統合したCMMI®の現状について記しておくこととする。

SEIによって1997年から検討が行われてきたCMMI®は、2002年1月にVersion 1.1としてとりあえず確定されており、また、そのソフトウェア開発組織向けバージョンであるCMMI®-SWが2002年8月に公開されている。
SEIはまた、CMMI®を用いたプロセス改善の実践のためのベンチマークSCAMPISM（プロセス改善のための標準CMMI®評定手法）を策定しており、SCAMPISMによる評定を行うことのできるリードアプレイザ（主任評定者）のトレーニングコースの提供等を通じて、CMMI®の普及を図っている。
SEIによると、2003年8月31日現在のCMMI®関連の普及状況は図表3の通りである。既に9,000名を越える人がSEI又はトランジッションパートナーが開催するCMMI®入門コースを受講し、224名がSCAMPISM主任評定者として認定されているなど、着々とCMMI®の普及に向けた取組みが進められていることが窺える。

また、企業・組織の評定実施状況についてであるが、2003年8月18日付けのAviation Week & Space Technology誌の記事によると、これまでロッキードマーチン、ノースロップグラマン、ボーイング、レイセオンなど国防総省関連の契約者39社がCMMI®のレベルを取得しているという。また、これらを含む約70の企業・組織がCMMI®のレベル5取得を目指して競い合っているが、多くはまだレベル3しか達成していないという。
このように、CMMI®はレベル取得企業数の面ではSW-CMM®などに比べればまだ始まったばかりという状況であるが、上記の記事によると、SW-CMM®のトレーニング受講者が10年という期間で1万7,000人だったのに対しCMMI®のトレーニングは2年間で8,000人が受講したとのことであり、もちろんSEIによるSW-CMM®等のサポートの終了もあって、今後急速にCMMI®が普及することが想定される。


おわりに

日本の製造業の品質管理が世界に冠たるを見るにつけ、なぜ同じことがソフトウェアの世界で起こっていないのかという素朴な疑問が生じる。SEI幹部は、日本が1980年代にSoftware Factory構想（シグマ計画）を打ち出したことで製造業だけでなくソフトウェアでもやられてしまうという危機感があったと話していた。発想自体は悪くなかったのだが．．．、ということであろうか。
それにしても米国は、CMM®のようなモデル化がうまい。もちろん、モデル化がうまいということと、実際に出来上がる製品の品質が良いこととは別問題であり、単に製品の品質で勝負するという観点からは、モデルはあくまでもモデルとして参考にするということで良いであろう。しかし、まさに自動車などの製造業において見られるように、サプライチェーンのグローバル化に伴い、どうしても国際的に通用する品質管理モデルが必要となる。日本のソフトウェア産業、情報サービス産業がグローバル化するためには、CMM®のような国際的に通用するモデルの導入は避けて通れない道であろう。
（了）

（参考文献）
ソフトウェア開発・調達プロセス改善協議会「ソフトウェアプロセスの改善に向けて〜SPIへの今後の取組み〜」（平成14年4月19日）
（http://www.meti.go.jp/kohosys/press/0002639/0/020419spi.pdf）
三菱総研「国内及び海外におけるソフトウェアプロセス改善活動の状況に関する動向調査」（平成14年3月）（http://www.ipa.go.jp/NBP/13nendo/13SPI/H13SPI-report.pdf）
CMU/SEIウェブサイト（http://www.sei.cmu.edu/）
Government Computer News「Feds must weigh worht of vendors’ CMM® claims」
（8/12/02）（http://www.gcn.com/21_23/news/19576-1.html）
Aviation Week & Space Technology「Next Wave: Integrated Processes」（8/18/03）

（参照URL）
http://www.ipa.go.jp/NBP/13nendo/13SPI/H13SPI-report.pdf（図表1、2関連）

本稿に対する御質問、御意見、御要望がございましたら、Ryohei_Arata@jetro.go.jpまでお願いします。