SDM公開講座 「現代ソフトウェア・エンジニアリングの俯瞰図」の第2回目を聞いてきたので
メモメモ。
お題は
情報システムの変化と社会の安全と安心を考える
IPA SEC 立石譲二 副所長
資料は
http://sec.ipa.go.jp/events/2012/sdm.html
にあるみたいよ・・・
以下、内容
■(1)IT融合時代
・ITシステムは業種業態を超えて統合化
IT融合時代の新社会インフラ:例スマートコミュニティ
電気→スマート〜は夢物語ではない
ソフトが従来の関わり方と質的に変わってくる
・次世代送電網(スマートグリッド)
送電網 :強電
家電製品
電気自動車
→従来は単体:複雑に絡み合う
■(2)統合システムという名の怪物
・国民生活に直結する情報システムの信頼性(全世界編)
→人の命、国民の財産が奪われる
→社会的ロスに備えていく
・ITシステムの統合化
統合システムは何が違うのか
統合システムの拡大
System of System
組み込み系と情報通信系の連動
離散系経と連続系の一体化
リアルタイム化
人間を介さない自動化
・ITシステムの統合化(統合システム)
電気自動車のバッテリー:電気を動かすために
:スマートグリッドにつながると→電力源
→個々のシステムのわがままは許されない
→最適化、調整、全体の目的
:どういうシステムとつながるか
→予見できる部分とできない部分がある
→設計初期の段階では、予測できない
:要求を完璧に獲得→破綻している
→新しい要求の変化をどれだけ取り入れられるか
・Cyber-Physical System
従来:人間を境に、情報系と物理系は分かれていた
→システムが肩代わり
オートパイロット、人間が踏まないのにブレーキ
→センサーとアクチュエーターも含めて意思疎通
物理系:安全性
情報系:信頼性
論理の間違いが、人を殺してしまう
・処理のリアルタイム化
懲罰的にピーク時に値段を上げるか、
需要と供給の形で料金を決めるか→マーケットが価格を決める
→いくらになったら、電力をとめるか
・エネルギーマネジメントシステム(xEMS)
どの機器を、どの時間帯で利用するかを切り替える
→今の電力価格で、電力消費をコントロール
いくらで発電された電気かわかる
→クーラーは、太陽光で・・・とか
・利用者の広がりと利用環境の変化・多様化
銀行勘定系:教育を受けた人、ある階級以下の人は使えないとかできた
ケータイ:誰が使うか、まったくコントロールできない。
どういう使われ方をするかもわからない
→コンシューマーデバイス:エラーを出しちゃいけない。
出したら、人が死んじゃう
IT社会:水面下に、見えないところで根本的&大きな変化
・安全の要素とディペンダビリティ
安全:品質属性
ディペンダビリティ
可用性
信頼性
安全性
完全性
保全性
セキュリティ
可用性
機密性
完全性
・機能安全(Function Safety)という考えから
ALART原則:10-9乗→10-5〜-4 機能安全に関する国際規格
→これより頻発すると、受容できない
→絶対安全:やらなければいい・・・無理
→機能安全:コントロールして、回避しよう
自動車:26262が発行
・セイフティケース
製品の安全:第三者認定制度
→安全をどうやってチェックする
セイフティケース
特定された環境と条件の下で当該システムが安全要求を満足することを
立証するための体系化された文書であり、その実現を考え方と実現した
証拠で構成される
→ポイントはエビデンス
ディペンダビリティケース
アシュアランスケース
「何とか」ケースは流行言葉になる。
新幹線:どうして安全と言えるか
→日本で安全だからということでは、説明にならない
・GSN(Goal Structure Notation)によるdependability case
→福島原発にこの考えがあれば・・・
・トレーサビリティ
開発ドキュメントに反映させるのが抜けがち
→ドキュメントとプログラムの乖離
レガシーコード
絶対にいじるな!と言われているコード
→思考の遮断:どうして、こういうソースになったんでしたっけ?
トレーサビリティが取れる開発
ソフトウェア品質監査
CMMIが高いレベル:ソフトウェアが安全な保証はない
→トレーサビリティケースを第三者が確かめるしかない
・トレーサビリティがあれば防げた事故
リリースした製品に不具合が発生した場合
SUICA とりっぱぐれ
↓
PASMOでも・・・同じコードを使っていた:確認できたはず
→トレーサビリティが取れないと・・・
■(3)IT融合時代−安心を形成するために必要なインフラ
・大規模リコール問題をめぐる米下院公聴会
→急発進を疑われた:NASAが解析
→あした、あなたの会社でも!!
→政府は企業を守ってくれない:消費者側にたつ
→自分で武装するしかない
・トヨタ社のETCシステム及び急加速問題に関する動き
・ソフトウェア品質監査制度検討
検討部会
机上の議論が実用上どうか?
→6月に制度
・ソフトウェア品質監査の観点
各工程での作業の妥当性
採用企画・技術の妥当性
従業者の妥当性
利用者要求への充足度など
既存の認証/監査を補完重複を避ける
・ソフトウェア品質監査制度(仮称)の概要
・監査制度フレームワークの詳細化
国際的にも通用している会計監査の監査フレームワークを元に詳細化
・本制度における「監査」とは
保証業務:事業者が設計した主題
・品質問題に起因する影響の度合いの応じて監査内容を定義
影響度によってレベルを変える
中間報告がダウンロード可能
・StagEプロジェクト
ソフトウェアタグ:どういった素性のもの?
→ドキュメントに遡らないとわからないようでは困る
タグ情報として、ソフトウェアにいれてしまう
・新規作業項目提案文書(NP)のシナリオ
オープンソースの保証−電子署名→1行でもいじったら署名がくずれる
・シミュレーションと検証を組み合わせたモデルベース開発
開発に入る前にシミュレーション
大半は、コードの自動生成
→障害が起きないかをモデルで確認:これからの主流
・開発プロセスでのトレーサビリティ支援ツール
2020年の組み込み開発を支えるトレーサビリティ技術
→ツール間の連携:TERAS
■(4)まとめ
・安全:供給側から見た品質特性
安心:利用者側の安全に対する信頼がもたらす心の平穏
■しつもん
・システム監査との違いは
大きな違い。だれがシステム監査屋さんに頼むか?
システム監査:プロセス監査
→出来上がったプロダクトに対する監査はしない。
・標的型ウィルスとかは有効
外からの脆弱性→バグに対してはいえるけど・・・
ソーシャルエンジニアリングに関しては、ソフトウェア監査では防げない
・ソフトウェアタグって、ハッシュキーみたいなもん?
そう。
・ソフトウェア品質監査制度の法的根拠、強制力は?
政策にからむ問題なので、検討してもらっている
→調達基準に採用される
・ソフトウェアの許認可制度
この例で言うと、監査人:客観的な資格は必要だよね
情報処理試験→能力認定であり、国家試験ではない
→イギリス:チューター
・製品じゃなくってもOK?(例:東証など)
OK。
メモメモ。
お題は
情報システムの変化と社会の安全と安心を考える
IPA SEC 立石譲二 副所長
資料は
http://sec.ipa.go.jp/events/2012/sdm.html
にあるみたいよ・・・
以下、内容
■(1)IT融合時代
・ITシステムは業種業態を超えて統合化
IT融合時代の新社会インフラ:例スマートコミュニティ
電気→スマート〜は夢物語ではない
ソフトが従来の関わり方と質的に変わってくる
・次世代送電網(スマートグリッド)
送電網 :強電
家電製品
電気自動車
→従来は単体:複雑に絡み合う
■(2)統合システムという名の怪物
・国民生活に直結する情報システムの信頼性(全世界編)
→人の命、国民の財産が奪われる
→社会的ロスに備えていく
・ITシステムの統合化
統合システムは何が違うのか
統合システムの拡大
System of System
組み込み系と情報通信系の連動
離散系経と連続系の一体化
リアルタイム化
人間を介さない自動化
・ITシステムの統合化(統合システム)
電気自動車のバッテリー:電気を動かすために
:スマートグリッドにつながると→電力源
→個々のシステムのわがままは許されない
→最適化、調整、全体の目的
:どういうシステムとつながるか
→予見できる部分とできない部分がある
→設計初期の段階では、予測できない
:要求を完璧に獲得→破綻している
→新しい要求の変化をどれだけ取り入れられるか
・Cyber-Physical System
従来:人間を境に、情報系と物理系は分かれていた
→システムが肩代わり
オートパイロット、人間が踏まないのにブレーキ
→センサーとアクチュエーターも含めて意思疎通
物理系:安全性
情報系:信頼性
論理の間違いが、人を殺してしまう
・処理のリアルタイム化
懲罰的にピーク時に値段を上げるか、
需要と供給の形で料金を決めるか→マーケットが価格を決める
→いくらになったら、電力をとめるか
・エネルギーマネジメントシステム(xEMS)
どの機器を、どの時間帯で利用するかを切り替える
→今の電力価格で、電力消費をコントロール
いくらで発電された電気かわかる
→クーラーは、太陽光で・・・とか
・利用者の広がりと利用環境の変化・多様化
銀行勘定系:教育を受けた人、ある階級以下の人は使えないとかできた
ケータイ:誰が使うか、まったくコントロールできない。
どういう使われ方をするかもわからない
→コンシューマーデバイス:エラーを出しちゃいけない。
出したら、人が死んじゃう
IT社会:水面下に、見えないところで根本的&大きな変化
・安全の要素とディペンダビリティ
安全:品質属性
ディペンダビリティ
可用性
信頼性
安全性
完全性
保全性
セキュリティ
可用性
機密性
完全性
・機能安全(Function Safety)という考えから
ALART原則:10-9乗→10-5〜-4 機能安全に関する国際規格
→これより頻発すると、受容できない
→絶対安全:やらなければいい・・・無理
→機能安全:コントロールして、回避しよう
自動車:26262が発行
・セイフティケース
製品の安全:第三者認定制度
→安全をどうやってチェックする
セイフティケース
特定された環境と条件の下で当該システムが安全要求を満足することを
立証するための体系化された文書であり、その実現を考え方と実現した
証拠で構成される
→ポイントはエビデンス
ディペンダビリティケース
アシュアランスケース
「何とか」ケースは流行言葉になる。
新幹線:どうして安全と言えるか
→日本で安全だからということでは、説明にならない
・GSN(Goal Structure Notation)によるdependability case
→福島原発にこの考えがあれば・・・
・トレーサビリティ
開発ドキュメントに反映させるのが抜けがち
→ドキュメントとプログラムの乖離
レガシーコード
絶対にいじるな!と言われているコード
→思考の遮断:どうして、こういうソースになったんでしたっけ?
トレーサビリティが取れる開発
ソフトウェア品質監査
CMMIが高いレベル:ソフトウェアが安全な保証はない
→トレーサビリティケースを第三者が確かめるしかない
・トレーサビリティがあれば防げた事故
リリースした製品に不具合が発生した場合
SUICA とりっぱぐれ
↓
PASMOでも・・・同じコードを使っていた:確認できたはず
→トレーサビリティが取れないと・・・
■(3)IT融合時代−安心を形成するために必要なインフラ
・大規模リコール問題をめぐる米下院公聴会
→急発進を疑われた:NASAが解析
→あした、あなたの会社でも!!
→政府は企業を守ってくれない:消費者側にたつ
→自分で武装するしかない
・トヨタ社のETCシステム及び急加速問題に関する動き
・ソフトウェア品質監査制度検討
検討部会
机上の議論が実用上どうか?
→6月に制度
・ソフトウェア品質監査の観点
各工程での作業の妥当性
採用企画・技術の妥当性
従業者の妥当性
利用者要求への充足度など
既存の認証/監査を補完重複を避ける
・ソフトウェア品質監査制度(仮称)の概要
・監査制度フレームワークの詳細化
国際的にも通用している会計監査の監査フレームワークを元に詳細化
・本制度における「監査」とは
保証業務:事業者が設計した主題
・品質問題に起因する影響の度合いの応じて監査内容を定義
影響度によってレベルを変える
中間報告がダウンロード可能
・StagEプロジェクト
ソフトウェアタグ:どういった素性のもの?
→ドキュメントに遡らないとわからないようでは困る
タグ情報として、ソフトウェアにいれてしまう
・新規作業項目提案文書(NP)のシナリオ
オープンソースの保証−電子署名→1行でもいじったら署名がくずれる
・シミュレーションと検証を組み合わせたモデルベース開発
開発に入る前にシミュレーション
大半は、コードの自動生成
→障害が起きないかをモデルで確認:これからの主流
・開発プロセスでのトレーサビリティ支援ツール
2020年の組み込み開発を支えるトレーサビリティ技術
→ツール間の連携:TERAS
■(4)まとめ
・安全:供給側から見た品質特性
安心:利用者側の安全に対する信頼がもたらす心の平穏
■しつもん
・システム監査との違いは
大きな違い。だれがシステム監査屋さんに頼むか?
システム監査:プロセス監査
→出来上がったプロダクトに対する監査はしない。
・標的型ウィルスとかは有効
外からの脆弱性→バグに対してはいえるけど・・・
ソーシャルエンジニアリングに関しては、ソフトウェア監査では防げない
・ソフトウェアタグって、ハッシュキーみたいなもん?
そう。
・ソフトウェア品質監査制度の法的根拠、強制力は?
政策にからむ問題なので、検討してもらっている
→調達基準に採用される
・ソフトウェアの許認可制度
この例で言うと、監査人:客観的な資格は必要だよね
情報処理試験→能力認定であり、国家試験ではない
→イギリス:チューター
・製品じゃなくってもOK?(例:東証など)
OK。