Comments
Description
Transcript
ソフトウェアサプライチェーンの課題と つながる世界のセーフティ
ITフォーラム:IPA/SECセッション ソフトウェアサプライチェーンの課題と つながる世界のセーフティ&セキュリティ設計の見える化 2015年2月3日 独立行政法人 情報処理推進機構 技術本部 ソフトウェア高信頼化センター ソフトウェアグループ・研究員 鈴木基史 ソフトウェアグループ・研究員 Copyright © 2015 IPA, All Rights Reserved 鈴木基史 Software Reliability Enhancement Center 1 サプライチェーン調査結果 「ソフトウェア開発の取引構造(サプライチェーン)の実態に関わる課題の調査報告書」 https://www.ipa.go.jp/sec /reports/20140725.html Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 3 ソフトウェアサプライチェーンとは ここでの定義 ソフトウェアの開発から、それがエンドユーザに使用され るまでの流通、その後の運用・保守、およびユーザが組合 せて利用するまでの、それに関与する組織の活動、役割、 情報、資源等を指すものとする。 ユーザの組み合わせ による新たな価値 運用・保守も含むライフ サイクル全体 ベーシックな サプライチェーン * 使用 企画 設計 検証 部品 事業者 半製品 組立て 物流 運用 ユーザ 組合せ 保守 廃棄 顧客 *ベーシックなサプライチェーン: 個々の企業の役割分担にかかわらず、原料の段階から製品やサービスが消費者の手に届くまでの全プロセスの繋がり Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 4 調査対象分野 市場規模が大きく、対策により得られる効果の大きい分野: 自動車、クラウドサービス、スマートフォン 日系企業の世界シェアが高いなど日本の競争優位性が高く、日本の強みを生かすことができる分野:デジタル複合機 安全性が求められる分野: ヘルスケア機器、サービスロボット、鉄道 ネットワーク化により新たな産業の創出が期待される分野: スマート家電 分野 選定理由 組込 業務 WE み系 系 B系 企業例 自動車 製造業の中で市場規模(出荷額 約50兆円)が大きく、多くの取引企業からなる 裾野の広い産業。高い安全性・信頼性が求められる。IT融合領域のスマートシ ティに関わる分野。 クラウドサービス 市場の拡大傾向が予想されており、ネットワーク化、サービス化の重要な役割を 担う分野である。サーバ側の基盤。 スマートフォン 世界市場規模が拡大傾向にあり、多くの分野と連携するクライアント側の基盤的 な分野である。 ● デジタル複合機 日本の競争力が高く(世界シェア77%)、情報セキュリティを含む要求水準の高 い分野である。コモンクライテリア製品認証の取得率が高く、取組みの参考とな る。 ● セイコーエプソン、富士ゼロック ス ● オムロンヘルスケア、タニタ ● 東 芝ホ ー ム 、シ ャ ー プ、 パナ ソ ニック ヘルスケア機器 サービスロボット 血圧、活動量、睡眠ログなどセンサデータの統合管理サービスに焦点を当てる。 クラウドを用いたITと他分野の融合分野であり、高齢化社会を迎え市場拡大が予 想されている。 IT融合領域に含まれる。また、今後、技術進歩に伴い家庭等における一般利用の 拡大が予想され、その際に、安全性、信頼性が求められる分野である。介護ロ ボットに焦点。 鉄道(運行管理系) 重要インフラ分野であり、高信頼性が求められる分野である。(信号システム等 の制御系は対象とはしない。) スマート家電 IT融合領域のスマートコミュニティの重要な構成要素。家電のIT化、ネットワー ク化の進展が予想され、新たな領域として注目度が高い。 Copyright © 2015 IPA, All Rights Reserved トヨタ自動車、日産自動車、デン ソー、アイシン精機 ● ● ● ● ● 富士通、NTTコミュニケーション ズ、Amazon Web Services ● NTTドコモ、富士通、Google JR東日本、日立製作所 パナソニック、ソニー、東芝 Software Reliability Enhancement Center 5 サプライチェーンの類型による整理 類型 垂 直 統 合 型 従 来 型 ※1 水 平 分 業 型 説明 典型例 調達者仕様決定型 資本関係にある企業グループ内で安定的な関係により開 発(仕様策定、開発、製造、試験等)を行う。エンド 自動車分野の系列取引 ユーザに近いサプライチェーンの下流からニーズに基づ き調達者が主導で仕様を策定する。 供給者仕様決定型※2 企業グループ内で、コア技術や先端技術を持つ子会社が、 供給者主導で仕様を策定する。資本関係が強い場合、水 (このケースは少ない) 平分業に移行せず垂直統合型を維持する場合がある。 調達者仕様決定型 調達側が主体的に決めた仕様に基づいて、資本関係の有 無に係らず固定化されない複数企業から発注先を決定す 開発委託など る。 供給者仕様決定型 製品の部品を提供する企業が仕様決定権を持ち、複数の OSS, COTSなどの 調達先に供給する。調達者にとって部品の管理が希薄に メジャー製品ベンダ なる場合がある。 ユーザ組合せ型※1 (サービス連携型) 複数の企業により提供される製品・サービスをユーザが スマートフォンアプリ、 クラウドサービス連携など 自ら組合せて選択し、同時利用する。 ※1:ユーザへの利用形態に焦点を当てた分類 ※2:表においては体系的な整理の軸として記載するが、少ないケースであるため、対象とする類型に含めない。 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 6 各類型の取引関係図 垂直統合型・調達者仕様決定型 ユーザ組合せ型の取引関係図 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 7 代表的類型パターン(スマート家電) 凡例 利用者 企業単位 (色枠)ポジション ・ ・ ユーザ組合せ型 取引関係 スマート家電製品 スマートフォン用アプリ 住宅設備機器 ソフトウェア種類等 住宅設備機器メーカ 家電メーカ サービスプロバイダ ツール提供 サービス部品提供 調達 検証委託 カスタマイズ OSベンダ 調達 ソフトウェア部品提供 OS 検証サービス ソフトウェアベンダ セットメーカ アプリケーション開発 機器部品提供 水平分業型(供給者仕様決定型) 組込みソフト サーバソフト サービス提供 調達 部品メーカ 部品 組込みソフト 機器部品提供 開発委託 家電メーカグループ内ソフトウェアベンダ 受託開発 組込みソフト サーバソフト 垂直統合 (調達者仕様決定型) 開発委託 外部ソフトウェアベンダ 水平分業型 (調達者仕様決定型) Copyright © 2015 IPA, All Rights Reserved 受託開発 Software Reliability Enhancement Center 8 サプライチェーンの主な変化と課題 ソフトウェア開発の水平分業化への変化 供給部品のソフトウェア仕様決定者の変化 製品・サービスをユーザが組合せて利 用する形態への変化 垂直統合型 水平分業型 調達者仕様決定型 供給者仕様決定型 従来型 ユーザ組合せ型 利用者 利用者 利用者 利用者 利用者 利用者 相互に連携し、 新たな機能を提供 調達者 調達者 調達者 調達者 一次提供者 仕様決定 ブラックボックス化 供給者 供給者 供給者 供給者 A B C 供給者 xx 供給者 (調達側仕様に 合わせたソフトウェア) 供給者 (OSS) 仕様決定 通信 供給者 ソ製 フ品 ト・ ウサ ェー アビ ス ソ製 フ品 ト・ ウサ ェー アビ ス ソ製 フ品 ト・ ウサ ェー アビ ス ソ製 フ品 ト・ ウサ ェー アビ ス 仕様決定 (クラウド サービス) 例: 鉄道、クラウド 等 例: スマートフォン(Android OS)、 (クラウド利用)ヘルスケア機器等 例: スマートハウス、 スマート家電 【課題】 【課題】 【課題】 • トレーサビリティ確保が重要であるが、サ プライチェーンが複雑になり、部品供給元 トレースが困難になる。 • 情報漏えい、不正プログラムの埋込みの危 険性が増大する。 Copyright © 2015 IPA, All Rights Reserved • 調達者からの仕様決定や不具合修正の優先 付け等の制御が利かなくなる。 • 利用時の品質を出荷時にすべて想定し、検 査することが困難になる。 • 通信におけるセキュリティ問題発生リスク が増大する。 • 製品・サービスを提供する複数の企業の責 任の所在が曖昧になる。 • 利用者が連携時のリスクを十分に理解でき ていない。 Software Reliability Enhancement Center 9 サプライチェーンにおけるセキュリティ Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 10 サプライチェーンにおける脅威 海外から調達した通信機器がアメリカで深夜 に勝手に動き本国にデータ送信の疑惑 スマホの「バックドア設置が発覚」 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 11 バックドアの種類 From wikipedia 設計開発段階で盛り込まれるバックドア 【意図されないバックドア】 プログラムの開発者が意図的にプログラムに組み込んだバックドアをもつソフトウェア製品や、それを含んだハードウェア製品が 販売されてしまうことがある。これが、バックドアの中で比較的多い。 開発者が私的な利益のために組み込むバックドア 【悪意のバックドア】 一部の、倫理的な問題をもつコンピュータプログラム開発者の中には、依頼者と契約によって製造するプログラムの中に、 バックドアを(仕様には明らかにせずに)意図的に組み込み、依頼者がそのプログラムを使用している最中に、このバックド アを利用して、何らかの不正を働く場合がある。 意図されない開発段階のバックドア 【意図されないバックドア】 コンピュータは元来、外部からの信号を受けて作動する。求められる仕様に応じて、特定の操作だけに反応するようプログラ ムやハードウエアを設計する。しかし、OSなどが、バグや設計上のミスから、本来受け入れるべきではない通信を受け入れ てしまう場合がある。これらは一般的にセキュリティホールと呼ばれていて、その中には特定の通信に対してコンピュータの 設定を自由に変更できる管理権限を許してしまう場合もある。 稼動中のコンピュータに外部から送り込まれるバックドア 【悪意のバックドア】 稼動中のコンピュータにおいて、その中にある情報を見るには、正規の手続きを踏んで閲覧するのが普通である。しかし、正規 の手続きによらずに情報を呼び出したり、場合によっては情報の作成・変更・消去を、正規ではない手続きで行うことを可能に するプログラムを外部から送り込み、コンピュータ内で動作させることもある。この行為は、不正アクセスである。 メンテナンス用バックドア 【メンテナンス用バックドア】 機器のメンテナンス等を目的に、マニュアルに載せないが、メーカーが組み込むバックドア。 http://ja.wikipedia.org/wiki/%E3%83%90%E3%83%83%E3%82%AF%E3%83%89%E3%82%A2 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 12 調達ソフトウェアによる不正ソフトの混入課題 A社 調達ソフトウェア#1 101100010110 10010111001 メーカー 統合ソフトウェア 1011000101101 0010111001010 1010001111001 B社 調達ソフトウェア#2 1011000101101 0010111001010 1010001111 1011000101101 0010111001 C社 調達ソフトウェア#3 不正ソフト検出ツール/手法が必要 サプライチェーン上の不正ソフトは、 ウイルス検出ソフトでは検出できない Copyright © 2015 IPA, All Rights Reserved 101100010 110100101 110010101 010001111 内製 101100010110 10010111001 開発委託 調達 (派遣含む) Software Reliability Enhancement Center 13 調達ソフトウェアのトレースの必要性 サプライチェーン・リスクマネージメント 調達におけるリスク考慮 A社 調達ソフトウェア#1 101100010110 10010111001 メーカー 統合ソフトウェア 1011000101101 0010111001010 1010001111001 1011000101101 0010111001010 1010001111 B社 調達ソフトウェア#2 トレース 1011000101101 0010111001 C社 調達ソフトウェア#3 すべてのソフトウェアをトレース できる仕組みが求められる 101100010 110100101 110010101 010001111 内製 101100010110 10010111001 開発委託 調達 (派遣含む) DB Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 14 サプライチェーンにおける課題と取組み Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 15 つながる世界の課題 • すべての接続検証することは困難に • 企業の責任の所在が曖昧に • 利用者が連携時リスクを把握できない Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 16 異なる品質基準製品の連携時の課題 ユーザにはソフトの品質レベルは分からない セーフティレベル7 コマンド: 自動駐車 PARKING セーフティレベル5 コマンド: ヒータON 寒い システムの品質レベル 自動運転車 セーフティレベル: 0 コマンド:不可 ADAS + レベル高 = レベル高 + レベル低 Copyright © 2015 IPA, All Rights Reserved レベル高 = レベル高 レベル低 Software Reliability Enhancement Center 17 「つながる世界」での安心・安全の仕組み環境の整備に向けて 課題 • 品質基準が異なる製品を接続する際、その全体品質が一番低い部分の品質に依存する課題 (安全性、セキュリティ等) • 利用者が製品やサービスを組み合わせて利用する際、すべての接続品質の検証が困難という課題 【 目指す 世界 】リスクのある連携動作に警告発生 環境の整備に向けた活動 異なる品質基準の製品間の制御可否判断 トラスト環境の整備 H26年度 セーフティ&セキュリティ設計 の見える化 Copyright © 2015 IPA, All Rights Reserved ソフトウェア相互の 信頼性確認の仕組み Software Reliability Enhancement Center 18 設計品質の見える化の推進 H26年度 設計品質の見える化 セーフティ&セキュリティ設計 の普及・促進 セーフティ&セキュリティ設計 の品質の見える化 ガイドブック作成 品質向上のためのセーフティ& セキュリティ設計の勧め(仮) 2015年 プロモーション セミナー、雑誌 H27年度以降 ソフトウェア相互の信頼性確認の仕組み 見える化(アシュアランスケース) 警告発生・制御可否 Copyright © 2015 IPA, All Rights Reserved セーフティ・セキュリティ設計 Software Reliability Enhancement Center 19 設計品質の見える化とアシュアランスケース Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 20 日本メーカ製自動車の「意図しない急加速(UA)」 2009~2010年 日本メーカ製自動車の「意図しない急加速」に関するクレームが急増 米国議会や米運輸省道路交通安全局(NHTSA)から報告を求められるもメー カ側は説明に苦慮 NHTSAは米国航空宇宙局(NASA)に脆弱性の有無の調査を要請 上記の結果NASA が実施したこと 調査範囲 電子スロットル制御(Electronic Throttle Control)システムの設計及び/もしくは実装に実際に意図しな い加速(Unintended Acceleration)を引き起こすことが予期できる脆弱性があるかないかを決定する。 UAを引き起こす可能性はあるか 通常の使用で実際に起こりうるか 実施した解析(いずれもツールを最大限活用) 実装コードの解析 ロジックの解析 モデルベースのテスト 実時間性の解析 結果 NASAの解析とテストでは、消費者が報告したような、大きなUAを引き起こすETCの不具合の 証拠は見つからなかった。 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 21 客観的・合理的な説明の必要性 これまでの日本企業は、利用者の要望に個々に答えることで 高品質というブランド力を築いてきた 実際、日本製のソフトウェアの品質は海外に比べて1桁以上高いとの調 査報告もある しかしながら、グローバル市場においては客観的・合理的な 説明が求められる 客観的・合理的な説明が必要 製品自体の品質を事実に基づいて論理的に説明できなくてはならない 国際標準(ISO/IEC)等、世界的に合意されている基準類を用いた説明、 または、それに準じた説明(規格適合、規格認証 等) 専門性のある第三者による説明(第三者確認、第三者証明 等) Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 22 アシュアランスケースとは 参考:松野、高井、山本「D-Case入門 ~ディペンダビリティ・ケースを書いてみよう!~」」 アシュアランスケース あるシステム/サービスが、特定の要求を満足するとの主張を立証 するために作られた、一連の監査可能な主張、議論、及び証拠 OMG SACM アシュアランス(Assurance:保証)+ ケース(Case:論拠) 1988年の北海油田事故(167名死亡)などを契機に、 欧米で規格認証の際に義務付けられるまでに普及 手順やチェックリスト等だけではなく、なぜ安全性が保たれるか、 明示された議論で、エビデンスをもとに保証する 導入により北海油田における事故が減少 安全性を議論する場合はセーフティケース、セキュリティを議論す る場合はセキュリティケースと呼ばれる (歴史的にはセーフティケースが最初でそれが一般化された) アシュアランスケース Copyright © 2015 IPA, All Rights Reserved セーフティケース、セキュリティケース、… Software Reliability Enhancement Center 23 トゥールミン・ロジックの基礎 論理の基本 主張(Claim) 論理として構築されるひとつの主張 基礎(Data) 論理の根拠となる、状態、事実など 最初に呈示される説明情報 主張 : Claim 根拠 : Warrant 根拠(Warrant) クレームの根拠としてデータが利用 可能であることを正当化する情報 基礎 : Data ディベートで超論理思考を手に入れる ISBN 978-4-904209-13-4 著者: 苫米地英人 脳機能学者/カーネギーメロン大学博士 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 24 トゥールミンの三角ロジック(1) 窓を開けた方がいい 主張: Claim 根拠: Warrant 窓を開ければ室温が下がり、 快適になる 基礎: Data 室温が30度だ Copyright © 2015 IPA, All Rights Reserved トゥールミンの三角ロジック 早稲田大学人間科学学術院 向後千春 http://kogolearn.wordpress.com/ Software Reliability Enhancement Center 25 トゥールミンの三角ロジック(2) 反駁(はんばく): Rebuttal 窓を開けた方がいい トゥールミンの三角ロジックが成り立っている場合 ←(主張は反駁できない) 主張: Claim 根拠: Warrant 窓を開ければ室温が下がり、 快適になる 基礎: Data ↑ 外の方が気温が高ければ、 温度は下がらない 反駁: Rebuttal 室温が30度だ ↑ 温度計が狂っている Copyright © 2015 IPA, All Rights Reserved トゥールミンの三角ロジック 反駁: Rebuttal 早稲田大学人間科学学術院 向後千春 http://kogolearn.wordpress.com/ Software Reliability Enhancement Center 26 トゥールミンの三角ロジック(3) 質疑: Question 窓を開けた方がいい トゥールミンの三角ロジックが成り立っている場合 ←(主張は反駁できない) 主張: Claim 根拠: Warrant 窓を開ければ室温が下がり、 快適になる 基礎: Data ↑ なぜ窓を開けると 室温が下がるのか? 質疑: Question 室温が30度だ トゥールミンの三角ロジック ↑ なぜ30度だとわかるのか? 質疑: Question Copyright © 2015 IPA, All Rights Reserved 早稲田大学人間科学学術院 向後千春 http://kogolearn.wordpress.com/ Software Reliability Enhancement Center 27 トゥールミンの三角ロジック(4) 反論: Counter argument 窓を閉めた方がいい 主張: Claim 新たな三角ロジックを立てる 根拠: Warrant クーラを入れれば、 室温が下がり、快適になる 基礎: Data 室温が30度だ Copyright © 2015 IPA, All Rights Reserved トゥールミンの三角ロジック 早稲田大学人間科学学術院 向後千春 http://kogolearn.wordpress.com/ Software Reliability Enhancement Center 28 トゥールミン・モデル 論理を支える構造 クレーム(C論理) 論理として構築されるひとつの主張 データ :Data クレーム :Claim データ(D論理) 論理の根拠となる、状態、事実など 最初に呈示される説明情報 ワラント(W論理) クレームの根拠としてデータが利用 可能であることを正当化する情報 ワラント :Warrant バッキング :Backing リザベーション :Reservation クゥオリフィアー :Qualifier ディベートで超論理思考を手に入れる ISBN 978-4-904209-13-4 著者: 苫米地英人 脳機能学者/カーネギーメロン大学博士 Copyright © 2015 IPA, All Rights Reserved バッキング(B論理) ワラントが正しいことを支持する証 拠、証言、統計、価値判断、信憑性 などの情報 クゥオリフィアー(Q論理) クレームの相対的強度の定性的な表 現。また、可能であれば90%などの 定量的な表現 リザベーション(R論理) クレームに対する例外を主張する論 理 Software Reliability Enhancement Center 29 アシュアランスケースの表記法と利用 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 30 表記法 アシュアランスケースは通常、自然言語で記述 トゥールミン(Toulmin)モデル Stephen Edelston Toulmin, 1922年3月25日 - 2009年12月4日 イギリス生まれの哲学者(専門は科学哲学) グラフィックな表記法 GSN(Goal Structuring Notation) イギリス ヨーク大学、イギリス国防省 D-CASE 日本 DEOS(Dependable Embedded Operating Systems for Practical Use)プロジェクト (科学技術振興機構(JST)の戦略的創造研究推進事業CRESTの研究領域のひとつとして作られた) CAE (Claim Argument Evidence) イギリス Adelard社、City University London Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 31 GSN(Goal Structuring Notation) 保証のための構造化された議論の記述法(T.Kellyらにより開発) - GSN Community Standard Ver.1.0 ゴール(Goal) 保証したいこと、命題(例:システムは安全である) ゴールはさらに詳細なゴール(サブゴール)に分解される 前提(Context) システムの状態、環境などゴールを議論するときの前提等 (例:リスク分析の結果得られたハザードのリスト) 戦略(Strategy) ゴールをサブゴールに分けるときの考え方 (例:個別の障害ごとに議論する) 根拠 ゴールが成り立つことを最終的の保証するもの (例:テスト結果、運用事例など) (Evidence/Solution) 未展開記号 ゴールを保障するための十分な議論又はエビデンスがない (Undeveloped entity) (これはゴールやストラテジーにつけることができる) 参考:松野、高井、山本「D-Case入門 ~ディペンダビリティ・ケースを書いてみよう!~」」 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 32 GSNの規格 GSNの仕様は、GSNワーキング グループの以下のWebサイトから入手可能 Goal Structuring Notation The GSN Working Group Online http://www.goalstructuringnotation.info/documents/GSN_Standard.pdf GSN COMMUNITY STANDARD VERSION1 November 2011 日本語は以下のWebサイトから入手可能 https://s3-ap-northeast-1.amazonaws.com/cdn.change-vision.com/tutorials/GSN_Standard_by_ChangeVision+(Ver3).pdf Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 33 GSNの記述例 前提(Context) ゴール(Goal) C1 システム仕様書 G1 システムは安全である 戦略(Strategy) S1 ハザードがすべて回避されているこ とを保証する議論 C2 同定されたハザード ハザード1 ハザード2 サブゴール(Sub Goal) G2 ハザード1が回避されている G3 ハザード2が回避されている この戦略に従い、トップの ゴールが下の2つのサゴー ルに分解される 根拠(Evidence/Solution) Sn1 ハザード1の回 避方法 Copyright © 2015 IPA, All Rights Reserved Sn2 ハザード2の回 避方法 Software Reliability Enhancement Center 34 D-Case D-CaseはGSNを使って表記します。 主に右表のノードにより構成されます。 このうち、モニタと外部接続はDCaseのGSN からの拡張です。 名称 ノード ゴール システムは ディペンダブル である 対象システムに対して、議論すべき命題 ハザードごと に議論する ゴールが満たされることを、サブゴールに分 割して詳細化するときの議論の仕方 戦略 前提 エビデンス ハザード リスト テスト 結果 外部接続 DEOSプロジェクト研究成果集 P41, 図4-5: D-Caseの例 http://www.jst.go.jp/crest/crest-os/osddeos/data/DEOS-FY2013-SS-01J.pdf Copyright © 2015 IPA, All Rights Reserved ゴールや戦略を議論するとき、その前提とな る情報 詳細化されたゴールを最終的に保障するもの ゴールを保障するための十分な議論もしくは エビデンスがない 未達成 モニタ 解説 システム ログ 運転中のシステムより取得可能なエビデンス 他のシステムのD-Caseへのリンク http://www.dcase.jp/introduction2.html#a2 Software Reliability Enhancement Center 35 CAE (Claims, Arguments and Evidence) クレーム (Claim) サポート 議論 (Argument) サブクレーム (Subclaim) サブクレーム (Subclaim) 証拠 (Evidence) クレーム 正しい又は誤りであ ると評価することが できる議論の中での 主張 それぞれのクレームは、いくつかの サブクレーム、議論、又は証拠でサ ポートされる。 サブクレームは付加的な文脈に関係 する資料、例えば使用される用語や 範囲の説明、を含んでいるかもしれ ない。 議論 クレームを支持して 提示する議論アプ ローチの記述 この要素はオプションであるが、多 くの場合、親クレームを満足するた めのアプローチの説明を含めると良 い。 もしクレームをサポートするアプ ローチが、対象とする読者によって 良く理解されているか、単純であれ ば、単にサポートするクレームから 直接リンクすることが許容される。 証拠 クレーム又は議論を 支持して提示される 証拠への参照 通常、証拠ノードは要約され、そし て証拠を含む関連する外部レポート へリンクします。 http://www.adelard.com/asce/choosing-asce/cae.html Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 36 アシュアランスケースと認証規格 Safety Caseの作成、提出を義務付けている規格 Yellow Book: 鉄道システムの改変時の安全管理 EUROCONTROL: 安全で機能的な航空管制管理 ISO26262: 自動車の電気、電子システムの機能安全規格 Def-Stan 00-56: 英国防衛省策定の防衛システムの安全管理 US. Food and Drug Administration (FDA) Infusion Pump Improvement Initiative: 点滴ポンプなどの医療器具の病院導入時 今後はセーフティだけでなく、セキュリティ等 にも広がる可能性大 CC-Case: http://lab.iisec.ac.jp/~tanaka_lab/images/pdf/kennkyukai/kennkyukai-2013-09.pdf Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 37 認証規格以外の利用 ① 説明責任をはたすため 欧米では説明責任をはたすために、規格として求められるケースもある ② ステークスフォルダーとの情報共有のため マネージャレベルでも、アシュアランスケースから何が設計されているか、理解が可能 ③ 設計の再利用のため 何か設計・実装されているか容易に分かる ④ ソフトウェアの相互の信頼性確認のため つながる世界において、ソフトウェアの相互の信頼性確認のための基礎 • ETロボコンへの応用例: 富士ゼロックス(株) 伊東敦 http://www.jst.go.jp/crest/crest-os/osddeos/event/201211/ET2012C805.pdf • 計画立案時の事例: (株)デンソークリエイト 小林 展英 http://www.jst.go.jp/crest/crest-os/osddeos/event/201402/DEOS_13.pdf • シミュレーションへの適用例: 三菱電機(株) 森 素子 http://deos.or.jp/event/files/ET2014presentation_mitsubishielectric.pdf Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 38 SECの具体的活動内容 Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 39 セーフティ・セキュリティ設計普及と見える化の取り組み WG名:サプライチェーンにおける品質の見える化WG 期間:2014年9月~2015年5月 目的: 設計品質の見える化のためのセーフティとセキュリティ設計の取組みとハザード・ 脅威事例を含めて分かり易く解説するガイドブックの作成とそのプロモーション メンバー:セーフティ or セキュリティの有識者 主査:情報セキュリティ大学院大学 後藤教授 成果物: ガイドブック 2014年 2015年 3Q 10月 4Q 11月 12月 1月 2月 1Q 3月 4月 5月 6月 ガイドブック公開 第1回 9/22 Copyright 第2回 10/20 第3回 11/28 © 2015 IPA, All Rights Reserved 4回 12/22 5回 2/2 6回 3/16 7回 4/20 8回 5/21 Software Reliability Enhancement Center 40 ガイドブックとプロモーション << ガイドブックのイメージ >> 見える化手法 対象読者 セーフティ セーフティ&セキュリティ設計 の品質の見える化 セキュリティ セーフティ&セキュリティ設計 の普及・促進 PROMOTION = 普及・促進 IPA: INFORMATION-TECHNOLOGY PROMOTION AGENCY, JAPAN Copyright © 2015 IPA, All Rights Reserved Software Reliability Enhancement Center 41