情報システムの変化と
社会の安全と安心を考える
独立行政法人情報処理推進機構
技術本部
ソフトウェア・エンジニアリング・センター
副所長 立石 譲二
SDM公開講座「現代ソフトウェア・エンジニアリングの俯瞰図」第2回 2012/APR/12
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
1本日の話題
1. IT融合時代 - ITシステムは業種、業態を超えて統合化
2. 「統合システム」という名の怪物
システムの質的変化 CPS化とリアルタイム化、要求の多様性
安全性の確立手段
- セーフティ・ケース
- トレーサビリティ
安全を安心へ 第三者監査による説明力の強化
3. 安心を形成するための産業横断的なインフラ
4. まとめ
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
3 3(出所)スマートコミュニティ関連システムフォーラム資料、三菱重工資料より経済産業省作成 急速充電ステーション コ ントロールセンター スマートハウス 小水力発電 メ ガソーラー 急速充電ステーション ITS 路面電車 原子力発電所 火力発電所 電力貯蔵装置 センサ等を活用した農業 陸上風車 電気自動車 スマートビル 電気バス テレビ ヒートポンプ給湯器 省エネエアコン 洗濯乾燥機 食洗機 ホームネットワーク ホームゲートウェイ 電気自動車 太陽光発電 LED照明 スマートメーター スマートハウス Li-ion電池 (交換式) Li-ion電池 (固定式) モータ 空調 インバータ 将来的に 路面電車化も視野 電気バス(将来は路面電車化) センサ等を活用した農業 電力不足時:電気自動車→家庭 電力過剰時:家庭→電気自動車 架線レス路面電車 駅での停車時:電池に充電 駅間の移動時:電池で駆動 EVを電力インフラとして活用 蓄電池を搭載した路面電車 電池交換式の電気バス。将来的には複数台を連結して路面電車化 各種情報を分析し、 最適な生産手段を可能に 30分で80%充電 コントロールセンター 地域のエネルギー需給を最適化するコントロールセンター • 太陽光発電、風力発電、小水力など自然エネルギーを電源として積極的に活用 • 変動の多い自然エネルギーを地域内で有効活用するため、各家庭やオフィスで余った電力を地域内で融通 • 電気バスや電気自動車の位置情報と充電状態を管理することで、これらの自動車を電力インフラとして活用 コントロールセンター ITS EV バッテリー交換ステーション バッテリーコンテナ 風車 GPS ITS ITS 太陽光 電気バス 電気バス EVや電気バス同士で情報をやりとりすることにより、 飛躍的な低炭素化と事故や渋滞問題の解決を同時実現 エネルギーネットワークと一体になった新しい交通インフラ 課程と結びついた病院 動作が効率化された工作機械 ・テーラーメード化された医療の 提供 ・GPSを活用した自動車両誘導 システム 医療/ものづくりなど
IT融合時代の新社会インフラ(例 スマート・コミュニティ)
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
(出所) 次世代エネルギーシステムに係る国際標準化に関する研究会報告書(2010年1月 経済産業省)
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
5Copyright © 2011 IPA, All Rights Reserved
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
7ITシステムの統合化
統合システムの拡大
組込み系と情報通信系の連携
System of Systems
離散系と連続系の一体化
リアルタイム化
人間を介さない自動化
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
9② Cyber-Physical Systems
SEC
Software Engineering for Mo・No・Zu・Ku・Ri③ 処理のリアルタイム化
(出所)東京電力ホームページより 夜間 朝晩 昼間 朝晩 夜間日本の電気料金(電力量料金 季節別時間帯別)
東京電力管内の例 (出所)東京電力TEPCOホームページよりSEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
11(参考)米カリフォルニア州デマンド・レスポンス・プログラム
電力中央研究所(平成23年3月)
「米国における家庭用デマンドレスポンス・プログラムの現状と展望」より
電力の価格調整機能(デマンド・レスポンス)
SEC
Software Engineering for Mo・No・Zu・Ku・Riエネルギー・マネジメント・システム(xEMS)
¥
¥
¥
(出典)「徹底図解 環境の技術と科学」(日経エコロジー2011年9月号より)ホーム・エネルギー・マネジメント・システム
(HEMS)
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
13④ 利用者の拡がりと利用(運用)環境の変化・多様化
産業機械
消費者機械
SEC
Software Engineering for Mo・No・Zu・Ku・Ri 14安全 の要素とディペンダビリティ(Dependability)
信 頼 性
安 全 性
保 全 性
可 用 性
機 密 性
完 全 性
不正アクセス
サービス妨害
HP改ざんなど
バグの顕在化
操作ミス
装置の故障など
ディペンダビリティ
偶発的
セキュリティ
人為的
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
15Copyright © 2011 IPA, All Rights Reserved
機能安全(Functional Safety)という考え方
絶対安全と機能安全
ALARP
(As Low As Reasonably Practicable)
機能安全に関する国際規格
受容不可能
ALARP領域
広く受容可能
10
-3
/年~10
-4
/年
10
-6
/年
不特定多数の一般大衆に影響を与える危険
の社会的許容限界 10
-9/時間
→ 10
-5/年
データ出所:セーフティケースと開発プロセス (株)ニルソフトウェアCEO 伊藤昌夫氏 (ソフトウェア技術者協会SPIN研究会 2012.3.2講演資料)SEC
Software Engineering for Mo・No・Zu・Ku・Riセーフティ・ケース (Safety Case)
特定された環境と条件の下で当該システムが安全要求を満足する
ことを立証するための体系化された文書であり、その実現の考え
方(設計思想)と実現した証拠で構成される。
(A documented body of evidence that provides a convincing and valid
argument that a system is adequately safe for a given application in a given
environment.)
Safety
Goal
Evidence
Evidence
Evidence
Argument
Structure
Eg. System is Safe
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
17GSN (Goal Structure Notation)による
Dependability Case記述例
(資料出所) DEOS and D-Case for Open Systems Dependability
2012.1.30 Yutaka Matsuno University of Tokyo
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
19Copyright © 2011 IPA, All Rights Reserved
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
21Copyright © 2011 IPA, All Rights Reserved
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
大規模リコール問題をめぐる米下院公聴会(2010年2月24日)
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
23トヨタ車のETCシステム及び急加速問題に関する動き
SEC
Software Engineering for Mo・No・Zu・Ku・Riソフトウェア品質監査制度(仮称)検討の背景と経緯
第三者の検証・妥当性確認による品質説明力強化の必要性
製品の利用者が感じる違和感
利用品質低下の懸念: 製品・システムの高度化・複雑化と利 用者の多様化により、製品・システムと利用者との間のギャッ プが拡大先端技術製品の潜在リスクへの不安
製品品質低下の懸念: 技術の急速な進歩により技術標準(規 格)に基づく規格認証の対象範囲外となる領域が拡大品質説明に対する市場意識の変化
品質説明力の不足: 当事者企業の技術的主張だけでなく、第 三者の裏付け(検証、妥当性確認)による品質説明への要求の 増大品質文化の異なる業界を跨るシステム
残存する潜在リスクの増加: 複数の業界を跨るシステムの拡 大に伴い、全体システムとしての品質確認の精度が低下利用者
事業者
監査機関
製品・サービス 技術ドキュメント 開発エビデンス 監査結果・意見表明 技術説明IPA/SECでの活動経緯
2010年3月:産構審情報システム・ソフトウェア小委員会にて第三者 による検証・妥当性確認の枠組みの必要性が示される 2010年4月:IPA/SECの統合系プロジェクト内に検討チームを発足 2010年7月:調査活動開始 2010年11月:制度検討委員会発足(主査:名古屋大学高田教授) 2011年6月:中間報告第三者による検証・妥当性確認
事業者の技術的主張の妥当性を、監査機関が開発 技術水準と利用技術水準を考慮して第三者の立場 で評価し、技術に関する専門知識のない利用者に も理解できる形で情報提供する仕組み (会計処理における会計監査と同等の役割)SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
25ソフトウェア品質監査の観点
各工程での作業の妥当性
採用規格・技術の妥当性
従事者の妥当性
利用者要求への充足性 など
既存の認証/監査を補完、重複を避ける
実施状況の
証拠に
基づ
く
確認
実施状況の
証拠に
基づ
く
確認
運用テスト
ソフトウェアの開発プロセス
外部設計
内部設計
プログラミング
要件定義
システムテスト
結合テスト
単体テスト
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
複雑化する統合システム等において、製品やサービスの安心・安全を第三者が検証
することによって、国民が安心して製品やサービスの利用ができる。また、そのこと
によって、製品やサービスの品質向上が図られ、国際競争力の強化につなげる。
利用者【国民】 (第一者)【事業者の主張】
=品質説明
この製品・サービスは一定の条
件下において安全に使えます。
• 製品・サービスの安全、安心
に係る品質目標
• 品質目標を達成するために
必要な手段
• 手段を実施した証拠
• 品質目標、手段、証拠のト
レーサビリティ
【監査のための証拠】
製品・サービスの
テスト結果、設計書、開
発手順などの証拠
事業者 (第二者) 監査機関 (第三者)【
監査機関の意見】
=合理的保証
事業者の主張は適正です。
【国民生活の安全・安心】
第三者である監査機関の意見を参考に製品・サービスを安心して利用できる
監査対象: ソフトウェアが重要な役割を担う製品・サー ビス(例:スマートコミュニティ、自動車など) 記述書 監査 結果 設計書な ど 監査を受けることで 製品・サービスの顧客 信頼度向上 万が一の事故の場合 でも品質の説明がで きる証拠があるソフトウェア品質監査制度(仮称)の概要
SEC
Software Engineering for Mo・No・Zu・Ku・RiSoftware Engineering Center
27Copyright © 2012 IPA, All Rights Reserved
監査制度フレームワークの詳細化
監査実施
記録・
文書
処理
記述書
(主題情報)
想定利用者
ライフサイクル・プロセス
ソ
フ
ト
ウ
ェ
ア
品
質
審
査
基
準
事業責任者
監査人
社
内
規
程
遵守すべきルール
製品・サービス 企画書、 要件定義書 等 シ ス テ ム 企 画 ・ 開 発 ・ 運 用 ・ 保 守 等 の 文 書企画から廃却までのライフサイクルを通じ
た、製品・サービスの安全・安心に係る品
質
意見表明
主題
製品・サービス企 画、要件定義 等監査
報告書
監
査
基
準
運用状況
整備状況
• 独立検証機関 • 弁護士 • 会計士 • 技術士 • システム・アナリスト 等専門家
専門家の利用
審査基準に照らし、 主題に適合している という事業者の主張 を記載したもの 監査で保証してもらいたいこと (利用者が知りたいこと) • 記述書の作成過程 • ライフサイクル・プロセスの実態 • 製品・サービス自体の品質 等 企画 要件 定義 ・・・国際的にも通用している会計監査の監査フレームワークを基に詳細化
SEC
Software Engineering for Mo・No・Zu・Ku・RiSEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
29Copyright © 2011 IPA, All Rights Reserved
品質問題に起因する影響の度合いに応じて監査内容を定義
要求される品質説明力と監査コストとのバランス
我が国の産業への広範囲な影響
4
影響はない/ほとんど影響はない
0
当該製品・サービス事業に限定された影響
1
当該企業に限定された影響
当該製品・サービス以外の他事業への影響
2
当該産業に限定された影響
当該企業以外の同一・類似産業のへの影響
3
影響の範囲
レベル
産業・経済影響レベル
当該利用者ならびに当該利用者以外への重大な
影響(代替手段による影響軽減が困難な影響)
国民への広範囲で重大な影響
4
影響はない/ほとんど影響はない
0
当該利用者に限定された軽微な影響
1
当該利用者に限定された重大な影響
2
当該利用者への重大な影響に加え、当該利用者
以外への軽微な影響(代替手段による影響軽減が
容易な影響)
3
影響の範囲・程度
レベル
利用者・国民影響レベル
4
3
2
1
1
1
2
2
2
3
4
4
4
4
4
4
3
3
3
3
3
1
0
3
1
0
0
3
2
2
2
4
4
4
4
産業・
経済影響レ
ベ
ル
利用者・国民影響レベル
監査レベル
任意
抜取監査(サンプル監査)
その他の全項目
任意
抜取監査(サンプル監査)
全項目
2
必須
網羅監査(全件監査)
全項目
4
非対象
非対象
非対象
0
任意
抜取監査(サンプル監査)
重要項目
1
必須
網羅監査(全件監査)
重要項目
3
独立検証
監査方法
監査する審査項目
監査レベル
監査レベルに対応した監査内容
利用者・国民への影響度と産業界・経済への影響度によりレベル分け(監査レベル)し、監査レベル毎に監
査内容を定義する。
SEC
Software Engineering for Mo・No・Zu・Ku・Ri今後の予定(中間報告以降)
2011年9月30日 「ソフトウェアの品質説明力強化のための制度フレームワークに関する提案」(中間報告)より
http://sec.ipa.go.jp/reports/20110930.html
Copyright © 2008 Nara Institute of Science and Technology / Osaka University Copyright © 2012 Nara Institute of Science and Technology / Osaka University
31
StagEプロジェクト
文部科学省
次世代IT基盤構築のための研究開発:ソフトウェア構築状況の可視化技術の普及
エンピリカルデータに基づくソフトウェアタグ技術の開発と普及 (
2007年8月~2012年3月)
ソフトウェア開発が適正な手順で行われたかどうかを表す実証
データを「
ソフトウェアタグ
」としてソフトウェア製品に添付し,
ユー
ザ/ベンダ間等で共有
する技術を世界に先駆けて開発する.
ソフトウェアに対するトレーサビリティの概念を普及させる.
世界最高水準の安心・安全なIT社会を実現する.
ソフトウェア開発に関する 実証データから,ソフトウェ アやその開発プロジェクト の特徴量を算出し,ユーザ にも理解しやすく,可視化 や評価にも利用しやすい 形式でとりまとめた情報 パッケージ. ソフトウェアタグとは? ベンダ ユーザ <23.5, 35.2, 50.7, 68.2> <0, 2.5, 0, -0.8, 0 > 02 04 06 08 0 1 2 34 56 7 系 列1 1 23 45 67 0 1 02 0 3 04 0 5 0 6 07 0 8 0 024681 0 系 列1 0123456789 1 0 1234567 系列1 ソフトウェア + タグ ソフトウェア 要求 < 2 3.5, 35.2, 50.7, 68.2> < 0 , 2.5, 0, -0.8, 0 > 0 2 0 4 0 6 0 8 0 1 2 3 4 5 6 7 系 列1 1 2 3 4 5 6 7 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 0 2 4 6 8 1 0 系 列1 0 1 2 3 4 5 6 7 8 9 1 0 1 2 3 4 5 6 7 系列1 プ ロ ジ ェ クト 情報 ( 1 2 項 目) 進 捗 情 報 ( 2 9 項 目)SEC
Software Engineering for Mo・No・Zu・Ku・Ri アプリケーション オープンソー ス ソースコード ソフトウェア 部品 ソースコード ソフトウェア 部品 実行コード データインターネット
開発・配布形態の多様化 改ざんや悪意のある変更が行われ ていないことを確認 開発履歴の追跡 信頼性の検証 バージョン管理 その他の管理情報 開発者、中間業者等と最 終製品とのリンクが保障さ れる 開発履歴の追跡 バージョン管理 署名ISO/IEC JTC1 SC22/WG23
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
33(引用)「広がるモデルベース開発の応用」(dSPACEジャパン講演資料)より
Copyright © 2011 一般社団法人TERAS All Rights Reserved.
34
Traceability
Plug-in
Traceability Repository TERAS-TRAEPM
Plug-in
Empirical Project Monitor Repository IPA Version Control Repository Subversion Bug Tracking Repository Trac State Transition Model Repository ZIPC61508
Plug-in
26262
Plug-in
Plug-in
ETSS
ALM
OSLC (Open Software Lifecycle Collaboration) ALM(Application Lifecycle Management)
TERAS提供予定 オープン提供 サードベンダー提供予定 オープン/サードベンダー提供予定 TERAS CM OSLC SCM TERAS ST OSLC TRA
REST
OSLC CM OSLC AM OSLC SPMTERAS TRA TERAS EPM TERAS SCM
OSLC
MS Office TERAS O O-Data Google TERAS G G-Data開発プロセスでのトレーサビリティー支援ツール
2020年の組込み開発を支えるトレーサビリティ技術
(技術委員会/WGでディスカッション中のシステム構成イメージ図)REST (Representational State Transfer)
Google™
code
Microsoft®
SEC
Software Engineering for Mo・No・Zu・Ku・Ri
Software Engineering Center
35Copyright © 2011 一般社団法人TERAS All