外部認証比較の概要

30.1.1. 比較の目的

TQSはティエニピア内部で定義した自社認証規格であり、ソフトウェアのコードレベルの品質を直接検証します。しかし、ソフトウェア品質とセキュリティに関する認証体系はTQS以外にも、国際標準や国内法定認証など様々な形態が存在します。

本章では、TQSと主要な外部認証を体系的に比較し、以下の目的を達成します。

• ポジショニングの明確化: TQSが既存の認証とどのような点で異なり、どの領域を補完するかを定義します。
• 相互補完関係の解明: TQSは既存の認証を代替するものではなく、既存の認証がカバーできないコードレベルの検証を担当します。各認証との組み合わせ戦略を提示します。
• 導入意思決定の支援: プロジェクトチームがビジネス要件に応じて、TQSと外部認証をどのように組み合わせるかを判断できる根拠を提供します。

既存の認証は「何をすべきか」をポリシーとプロセスレベルで検証します。TQSは「実際にどのように実装したか」をコード、設定、ビルドパイプラインレベルで検証します。この根本的な違いがTQSの核心的なポジショニングです。

---

30.1.2. 比較対象の選定基準

比較対象の認証は、以下の基準に基づいて選定しました。

選定基準	説明
ソフトウェア関連性	ソフトウェアの開発、運用、セキュリティと直接関連する認証を優先します。
国内外の代表性	国際的に通用する認証と国内法定義務認証をどちらも含みます。
実務頻度	国内ソフトウェア企業が実際に取得する、または要求される頻度が高い認証を選定します。
検証領域の多様性	セキュリティ、品質、プロセス成熟度、サービス運用統制など、異なる検証領域を網羅します。

上記の基準に基づいて選定した比較対象は以下の通りです。

認証	選定理由
ISO 27001	情報セキュリティ分野の国際標準、国内外で最も広く知られたセキュリティ認証
ISMS-P	韓国国内法定義務認証、情報保護および個人情報保護管理体系の統合認証
ISO 9001	品質マネジメント分野の国際標準、すべての産業に適用可能な汎用品質認証
CMMI	ソフトウェアプロセス成熟度評価モデル、大規模SI/公共プロジェクトで要求
SOC 2	SaaS/クラウドサービス対象のサービス運用統制認証、B2B市場での信頼確保用

---

30.1.3. 比較フレームワーク

各認証を一貫した基準で比較するために、以下の比較軸を定義します。

比較軸	説明	評価基準
認証目的	当該認証が達成しようとする核心的な目標	セキュリティ/品質/プロセス/コードのどの領域に集中しているか
認証範囲	認証が適用される対象の単位	組織全体 / 部門 / サービス / プロジェクト+バージョン
検証レベル	検証が行われる深さ	ポリシーレベル / プロセスレベル / コードレベル
審査方法	認証取得のための審査手順	書類審査 / 現場審査 / 自動化検証 / コードレビュー
主要成果物	認証過程で要求される核心的な文書および証拠	ポリシー文書 / プロセス文書 / ソースコード / ビルド結果
認証費用	認証取得にかかる費用水準	無料 / 低コスト / 中コスト / 高コスト
更新周期	認証の有効期間および更新方式	年1回 / 3年 / バージョン単位など
認証機関	認証を付与する主体	国際機関 / 政府機関 / 民間機関 / 自社（内部）
法的義務	法令による取得義務の有無	義務 / 任意
所要期間	認証準備から取得までにかかる期間	数日 / 数週間 / 数ヶ月

---

30.1.4. 総合比較表

以下の表は、比較対象の認証とTQSを比較フレームワークに基づいて総合的に整理したものです。

比較軸	ISO 27001	ISMS-P	ISO 9001	CMMI	SOC 2	TQS
認証目的	情報セキュリティマネジメントシステムの構築および運用	情報保護および個人情報保護管理体系の構築	品質マネジメントシステムの構築および継続的改善	ソフトウェアプロセス成熟度の向上	サービス組織の内部統制検証	コードレベルの技術品質検証
認証範囲	組織全体または特定範囲（事業部）	組織全体または特定サービス	組織全体または事業部	組織全体（プロセス領域）	サービス単位	プロジェクト + バージョン単位
検証レベル	ポリシー/プロセスレベル	ポリシー/プロセスレベル	プロセスレベル	プロセスレベル	運用統制レベル	コード/設定/ビルドレベル
審査方法	書類審査 + 現場審査	書類審査 + 現場審査	書類審査 + 現場審査	書類審査 + 現場評価（SCAMPI）	監査人審査 + 証跡確認	自動化検証 + コードレビュー
主要成果物	情報セキュリティポリシー、リスク評価書、適用性声明書（SoA）	管理体系文書、リスク評価書、個人情報処理方針	品質マニュアル、プロセス文書、内部審査記録	プロセス定義書、測定データ、改善計画	SOC 2監査報告書（Type I/II）	ソースコード、CI/CDビルド結果、カバレッジレポート
認証費用	高コスト（数千万ウォン〜）	高コスト（数千万ウォン〜）	中コスト（数百万〜数千万ウォン）	高コスト（数億ウォン規模）	高コスト（数千万〜数億ウォン）	無料（自社内部認証）
更新周期	3年（年1回サーベイランス審査）	3年（年1回サーベイランス審査）	3年（年1回サーベイランス審査）	3年（再評価）	年1回（Type II基準）	メジャーバージョン単位（CI常時検証）
認証機関	国際公認認証審査機関（CB）	KISA（韓国インターネット振興院）	国際公認認証審査機関（CB）	ISACA（CMMI Institute）	AICPA公認監査人（CPA法人）	ティエニピア技術標準委員会（自社）
法的義務	任意（契約要求可能）	義務（一定規模以上の企業）	任意	任意（公共入札で要求可能）	任意（B2B契約で要求可能）	任意（社内ポリシー）
所要期間	6〜12ヶ月	6〜12ヶ月	3〜6ヶ月	12〜24ヶ月	3〜12ヶ月	1〜2週間
自動化レベル	低い（手動審査中心）	低い（手動審査中心）	低い（手動審査中心）	低い（手動評価中心）	中程度（一部モニタリング自動化）	高い（CI/CDベース自動化検証）
フィードバック周期	年1回（サーベイランス審査）	年1回（サーベイランス審査）	年1回（サーベイランス審査）	3年（再評価）	年1回（Type II更新）	コミットごと（CI/CD連動）

---

30.1.4.1. 比較表の解釈

上記の総合比較表で注目すべき核心的な差異は以下の通りです。

検証レベルの差異

既存の認証はすべてポリシー、プロセス、運用統制レベルで検証を実施します。「セキュリティポリシーが策定されているか」「変更管理プロセスが定義されているか」といった質問に答えます。しかし、実際のソースコードで該当ポリシーが実装されているかどうかは検証しません。

TQSはソースコード、ビルド設定、CI/CDパイプラインを直接検査します。「Spring Securityの設定が正しく適用されているか」「テストカバレッジが80%以上か」「SQLパラメータバインディングを使用しているか」といったコードレベルの質問に答えます。

フィードバック周期の差異

既存の認証は最低年1回の審査を通じて適合性を確認します。審査と審査の間の期間には、遵守状況をリアルタイムで確認できません。

TQSはCI/CDパイプラインに検証ツールを統合し、すべてのコミット、すべてのPull Requestで規格遵守状況を自動的に確認します。問題が発生すれば、即座にフィードバックを受けることができます。

コスト構造の差異

既存の認証は外部審査機関に審査費用を支払う必要があり、認証準備のためのコンサルティング費用も発生します。総費用は数千万ウォンから数億ウォンに達します。

TQSは自社内部認証のため、別途の認証費用は発生しません。検証に使用するツール（ESLint、Spotless、JaCoCo、Lighthouseなど）はすべてオープンソースであり、CI/CDインフラ費用のみが必要です。

認証単位の差異

既存の認証は組織またはサービス単位で付与されます。一度認証を取得すれば、その範囲内のすべてのプロジェクトに適用されます。

TQSはプロジェクトとバージョン単位で付与されます。同一組織内でも各プロジェクトが個別にTQS認証を取得しなければなりません。これにより、より精密な品質検証が可能になります。

---

30.1.4.2. 結論

TQSは既存の認証がカバーしない「コードレベル検証」領域を担当します。既存の認証と競合するのではなく、既存の認証が残したギャップを埋める補完的な役割を果たします。組織はビジネス要件に応じて、適切な外部認証とTQSを組み合わせて適用することを推奨します。

各認証に対する詳細な比較分析は続く30.2〜30.6節で取り扱い、30.7節でTQSの差別性を総合的に整理します。