SKUF勉強会でも問題提起してみたんですが、発注者としてセキュリティの要件を相手に求めたとき、当然ながらA社のB社の見比べ、ってことになると思うんですが、そのとき何を判断の基準とするのか、ということですよね。提示されてきた内容のコストパフォーマンスがある程度まで見透せないと、結局判断はできないのではないかなあ、と思うんだけど。
わかりやすい例を挙げると（ちょいとシステム開発からは離れてしまいますが）、ファイアウォール1個無制限ライセンス導入＋ハードウエア＆構築500万円（ってもちろんあの強気ライセンスのファイアウォールだけど（笑））というのと、ファイアウォール（フリーウエア）導入＋ハードウエア＆構築150万円ってのが並んでいたとき、どっちを選ぶのか、って課題があったとしましょうか。その場合、ざっくりコストとパフォーマンスというのを見て、保守とか運用にかかる手間を見て、相手の会社のこれまでの実績や技術力への評価を考慮して、それで決めるわけですよね。これと同じようなことを、開発要件に応じた提案それぞれに行うことができるのか、その判断のよりどころは何になるのか、というのが、今大きな課題になってる部分ではないのかなあ。ファイアウォールと違って、情報システムの開発に求めていくことはどこらへんが適正なコストとパフォーマンスのバランスなのか、というのがわかりにくいんですよね。
わかりやすくするためには何が必要なんだろう？
適切な文字記号処理を行うためのライブラリ整備、というのが提案されてきたとして、そのコストの適正値がわかりにくい＋代替案（PHPを使ってある程度までカバーして、足りないところは作って共通化）との比較がしにくい、そもそも代替案があまり存在しない、というあたりが問題なのかなあ？でもこれって結局、開発コストってどんなもん？というポイントになってきそうな気がするなあ。だとすると、わかりにくいのではなく、けっこうわかりやすいってことなのかな（笑）。