アジェンダアシュアランスケースとはアシュアランスケースの必要性論理の基礎アシュアランスケースの表記法 GSN を例とした記法の説明アシュアランスケースの利用つながる世界での応用 3

Size: px

Start display at page:

Download "アジェンダアシュアランスケースとはアシュアランスケースの必要性論理の基礎アシュアランスケースの表記法 GSN を例とした記法の説明アシュアランスケースの利用つながる世界での応用 3"

たつぞうあると
7 years ago
Views:

1 アシュアランスケースの概要 2016年1月19日独立行政法人情報処理推進機構技術本部ソフトウェア高信頼化センターソフトウェアグループ研究員鈴木基史ソフトウェアグループ研究員佐々木方規 1

2 アジェンダアシュアランスケースとはアシュアランスケースの必要性論理の基礎アシュアランスケースの表記法 GSN を例とした記法の説明アシュアランスケースの利用つながる世界での応用 3

3 アシュアランスケースとは 4

セーフティケースの歴史 1988年の北海油田Piper Alphaにおける爆発事故で167名死亡従来システムの安全性確認をチェックリスト項目を認証者が判定課題なぜチェックリスト項目を満たすとシステムが安全であるか明示的な議論が行われることが少なかった改善点

4 セーフティケースの歴史 1988年の北海油田Piper Alphaにおける爆発事故で167名死亡従来システムの安全性確認をチェックリスト項目を認証者が判定課題なぜチェックリスト項目を満たすとシステムが安全であるか明示的な議論が行われることが少なかった改善点チェックリスト項目の手順やテストだけでなくなぜそれらの手順やテストでシステムの安全性が保たれるのか明示された議論で証拠(エビデンス) をもとにした議論が重要北海油田事故の調査報告書 Safety Case (Cullen 卿) 導入により北海油田における事故が減少欧米で規格認証の際に義務付けられるまでに普及 5

アシュアランスケースとはセーフティケースとはテスト結果や検証結果をエビデンスとしてそれらを根拠にシステムの安全性を議論しシステム認証者や利用者などに保証するあるいは確信させる(assure)ためのドキュメント安全性セキュリティディペンダビリティセーフティケース

5 アシュアランスケースとはセーフティケースとはテスト結果や検証結果をエビデンスとしてそれらを根拠にシステムの安全性を議論しシステム認証者や利用者などに保証するあるいは確信させる(assure)ためのドキュメント安全性セキュリティディペンダビリティセーフティケースセキュリティケースディペンダビリティケースケース総称アシュアランスケース ISO/IEC Systems and software engineering Systems and software assurance アシュアランス Assurance:保証 + ケース Case:論拠 6

6 アシュアランスケースの必要性 7

第三者が分かる説明が必要論理と証拠が必要今後も異物混入は続くかもしれない絶対安全はありえない (例異物混入があってもすぐに原因を特定して

7 食品の異物混入事件記者会見で事件後も通常通り生産販売することが説明された後記者から何故工場を停止してチェックする必要が無いのか問われたが説明できなかった Context: C_1 事故後の記者会見説明 Goal: G_1 生産販売される食品は安全である生産販売される食品の安全性説明が必要第三者が分かる説明が必要論理と証拠が必要今後も異物混入は続くかもしれない絶対安全はありえない (例異物混入があってもすぐに原因を特定して問題を取り除くプロセスがあることを主張 Undeveloped: U_1 Strategy: S_1 Goal: G_2 Evidence: E_1 Goal: G_3 Evidence: E_2 8

8 日本メーカ製自動車の意図しない急加速 UA 年日本メーカ製自動車の意図しない急加速に関するクレームが急増米国議会や米運輸省道路交通安全局(NHTSA)から報告を求められるもメーカ側は説明に苦慮 NHTSAは米国航空宇宙局(NASA)に脆弱性の有無の調査を要請上記の結果ＮＡＳＡが実施したこと調査範囲電子スロットル制御(Electronic Throttle Control)システムの設計及び/もしくは実装に実際に意図しない加速(Unintended Acceleration)を引き起こすことが予期できる脆弱性があるかないかを決定する UAを引き起こす可能性はあるか通常の使用で実際に起こりうるか実施した解析いずれもツールを最大限活用実装コードの解析ロジックの解析モデルベースのテスト実時間性の解析結果 NASAの解析とテストでは消費者が報告したような大きなUAを引き起こすETCの不具合の証拠は見つからなかった 9

9 客観的合理的な説明の必要性これまでの日本企業は利用者の要望に個々に答えることで高品質というブランド力を築いてきた実際日本製のソフトウェアの品質は海外に比べて1桁以上高いとの調査報告もあるしかしながらグローバル市場においては客観的合理的な説明が求められる客観的合理的な説明が必要製品自体の品質を事実に基づいて論理的に説明できなくてはならない国際標準 ISO/IEC 等世界的に合意されている基準類を用いた説明またはそれに準じた説明規格適合規格認証等専門性のある第三者による説明第三者確認第三者証明等 10

10 論理の基礎 11

議論とは辞書から Discuss / Argue / Debate /Dispute/Controvert Discuss: ある問題をあらゆる角度から論じる Argue: 自分の考えを主張し相手の説を論駁(ろんばく)するために理由証拠をあげて議論する Debate: は公の問題を賛成

11 議論とは辞書から Discuss / Argue / Debate /Dispute/Controvert Discuss: ある問題をあらゆる角度から論じる Argue: 自分の考えを主張し相手の説を論駁(ろんばく)するために理由証拠をあげて議論する Debate: は公の問題を賛成反対に分かれて公開の席上で公式に討論する Dispute: (一時的に感情的になって論争する Controvert: (意見の相違の大きい問題などの長期にわたる特に書きものなどによる論争哲学議論学安全工学 Argumentation theory セーフティケース人工知能 12

12 論理の基礎スティーヴントゥールミンスティーヴントゥールミン (Stephen Edelston Toulmin, 1922年3月25日年12月4日) イギリス生まれの哲学者専門は科学哲学ロンドン生まれ 1942年ロンドン大学キングスカレッジ卒業後ケンブリッジ大学で博士号取得オックスフォード大学講師リーズ大学教授 1965年に渡米 69年帰化南カリフォルニア大学教授特筆すべき観念 The Toulmin Model トゥールミンモデル The Toulmin method トゥールミン法 Good reasons approach 13

13 トゥールミンロジックの基礎論理の基本主張 C論理論理として構築されるひとつの主張基礎 Data 基礎 D論理論理の根拠となる状態事実など最初に呈示される説明情報主張 Claim 根拠 W論理クレームの根拠としてデータが利用可能であることを正当化する情報根拠 Warrant ディベートで超論理思考を手に入れる ISBN 著者苫米地英人脳機能学者/カーネギーメロン大学博士 14

14 トゥールミンの三角ロジック１窓を開けた方がいい主張 Claim 根拠 Warrant 窓を開ければ室温が下がり快適になる基礎 Data 室温が30度だトゥールミンの三角ロジック早稲田大学人間科学学術院向後千春 15

15 トゥールミンの三角ロジック２反駁(はんばく : Rebuttal 窓を開けた方がいいトゥールミンの三角ロジックが成り立っている場合主張は反駁できない主張 Claim 根拠 Warrant 窓を開ければ室温が下がり快適になる基礎 Data 外の方が気温が高ければ温度は下がらない反駁 Rebuttal 室温が30度だ温度計が狂っているトゥールミンの三角ロジック反駁 Rebuttal 早稲田大学人間科学学術院向後千春 16

16 トゥールミンの三角ロジック３質疑: Question 窓を開けた方がいいトゥールミンの三角ロジックが成り立っている場合主張は反駁できない主張 Claim 根拠 Warrant 窓を開ければ室温が下がり快適になる基礎 Data なぜ窓を開けると室温が下がるのか質疑 Question 室温が30度だなぜ30度だとわかるのか質疑 Question トゥールミンの三角ロジック早稲田大学人間科学学術院向後千春 17

17 トゥールミンの三角ロジック４反論: Counter argument 窓を閉めた方がいい主張 Claim 新たな三角ロジックを立てる根拠 Warrant クーラを入れれば室温が下がり快適になる基礎 Data 室温が30度だトゥールミンの三角ロジック早稲田大学人間科学学術院向後千春 18

18 トゥールミンモデル論理を支える構造クレーム C論理論理として構築されるひとつの主張データ Data クレーム Claim データ D論理論理の根拠となる状態事実など最初に呈示される説明情報ワラント W論理クレームの根拠としてデータが利用可能であることを正当化する情報ワラント Warrant バッキング Backing リザベーション Reservation クゥオリフィアー Qualifier ディベートで超論理思考を手に入れる ISBN 著者苫米地英人脳機能学者/カーネギーメロン大学博士バッキング B論理ワラントが正しいことを支持する証拠証言統計価値判断信憑性などの情報クゥオリフィアーＱ論理クレームの相対的強度の定性的な表現また可能であれば90 などの定量的な表現リザベーションＲ論理クレームに対する例外を主張する論理 19

19 アシュアランスケースの表記法 20

20 表記法アシュアランスケースは通常自然言語で記述トゥールミン Toulmin モデル Stephen Edelston Toulmin, 1922年3月25日年12月4日イギリス生まれの哲学者(専門は科学哲学) グラフィックな表記法 GSN Goal Structuring Notation イギリスヨーク大学イギリス国防省 D-CASE 日本 DEOS Dependable Embedded Operating Systems for Practical Use プロジェクト科学技術振興機構 JST の戦略的創造研究推進事業CRESTの研究領域のひとつとして作られた CAE (Claim Argument Evidence) イギリス Adelard社 City University London 21

21 ＧSＮ Goal Structuring Notation 保証のための構造化された議論の記述法(T.Kellyらにより開発 - GSN Community Standard Ver.1.0 ゴール Goal 保証したいこと命題例システムは安全であるゴールはさらに詳細なゴールサブゴールに分解される前提 Context) システムの状態環境などゴールを議論するときの前提等例リスク分析の結果得られたハザードのリスト戦略 Strategy ゴールをサブゴールに分けるときの考え方例個別の障害ごとに議論するソリューション Solution ゴールが成り立つことを最終的の保証するもの例テスト結果運用事例など未展開記号 Undeveloped entity ゴールを保障するための十分な議論又はエビデンスがないこれはゴールやストラテジーにつけることができる参考松野高井山本 D-Case入門ディペンダビリティケースを書いてみよう 22

22 GSNの記述例前提 Context) ゴール Goal C1 システム仕様書 G1 システムは安全である戦略 Strategy S1 ハザードがすべて回避されていることを保証する議論 C2 同定されたハザードハザード1 ハザード2 サブゴール Sub Goal G2 ハザード１が回避されている G3 ハザード２が回避されている根拠 Solution Sn1 ハザード1の回避方法 Sn2 ハザード2の回避方法 23

23 D-Case D-CaseはGSNを使って表記します主に右表のノードにより構成されますこのうちモニタと外部接続はDCaseのGSN からの拡張です名称ノードゴールシステムはディペンダブルである対象システムに対して議論すべき命題ハザードごとに議論するゴールが満たされることをサブゴールに分割して詳細化するときの議論の仕方戦略前提エビデンスハザードリストテスト結果外部接続ゴールや戦略を議論するときその前提となる情報詳細化されたゴールを最終的に保障するものゴールを保障するための十分な議論もしくはエビデンスがない未達成モニタ解説システムログ運転中のシステムより取得可能なエビデンス他のシステムのD-Caseへのリンク DEOSプロジェクト研究成果集 P41, 図4-5: D-Caseの例 24

24 CAE (Claims, Arguments and Evidence) クレーム (Claim) サポート議論 (Argument) サブクレーム (Subclaim) 証拠 (Evidence) サブクレーム (Subclaim) クレーム正しい又は誤りであると評価することができる議論の中での主張それぞれのクレームはいくつかのサブクレーム議論又は証拠でサポートされるサブクレームは付加的な文脈に関係する資料例えば使用される用語や範囲の説明を含んでいるかもしれない議論クレームを支持して提示する議論アプローチの記述この要素はオプションであるが多くの場合親クレームを満足するためのアプローチの説明を含めると良いもしクレームをサポートするアプローチが対象とする読者によって良く理解されているか単純であれば単にサポートするクレームから直接リンクすることが許容される証拠クレーム又は議論を支持して提示される証拠への参照通常証拠ノードは要約されそして証拠を含む関連する外部レポートへリンクします 25

25 アシュアランスケースの国際標準化国際標準化の活動の中心 OMG (Object Management Group) UML, CORBA System Assurance Platform Task Force (SysA PTF) ARM (Argumentation Metamodel) FTF beta 統合 SACM (Structured Assurance Case Metamodel) (2012年6月) SAEM (Software Assurance Evidence Metamodel) FTF beta GSNとCAEを統合したメタモデル 26

26 GSN を例とした記法の説明 27

27 GSNの規格 GSNの仕様は GSNワーキンググループの以下のWebサイトから入手可能 Goal Structuring Notation The GSN Working Group Online GSN COMMUNITY STANDARD VERSION1 November 2011 以下 GSN CS V1 28

28 TIM KELLY S HOME PAGES TIM KELLY氏イギリスヨーク大学コンピュータサイエンス学部高信頼性システム教授高信頼性システムエンジニアリング研究グループジョイントリーダ Arguing Safety: A Systematic Approach to Managing Safety Cases 安全を議論するセーフティケースを管理するための体系的アプローチ 29

Structuring Notation ) をサポート GSNパターンライブラリ基礎的な変数型チェック機能 D-Caseの整合性検査

29 D-Case Editor D-Case Editorは型チェック機能などを持つアシュアランスケースのエディター Eclipseのプラグインで Eclipse GMFを使って実装主な機能アシュアランスケースの表記法であるGSN ( Goal Structuring Notation ) をサポート GSNパターンライブラリ基礎的な変数型チェック機能 D-Caseの整合性検査対象システムのモニタリング機能スクリーンショット 30

30 Eclipse (統合開発環境) Eclipse イクリプスまたはエクリプスは IBMによって開発された統合開発環境 (IDE) の一つ高機能ながらオープンソースであり Javaをはじめとするいくつかの言語に対応する Eclipse自体はJavaで記述されている 31

31 D-Case Editorのインストール 1. Java VMをダウンロードしてインストール 2. D-Case Editorパッケージ版ダウンロード * eclipsewin32.zipを解凍 4. 解凍済みフォルダーにあるeclipse.exeを起動 5. 起動時ウインドウ Workspace Launcher の Workspace: に解凍フォルダーの下にある[workspace を指定する * 1. パッケージ版にはEclipseにすでにD-Case Editorのプラグインが組み込み済みまたサンプルのWorkspaceも入っているのでそれを指定すればすぐに利用可能 32

32 より簡単にGSNを書いてみたい人へ D-Case Stencil - PowerPoint Add-in for D-Case がお勧め簡単にインストールして PowerPointが使える人なら誰でも使える作ったデータもDcase Editorに取り込みができるインストールマニュアルはここ操作マニュアルもありますダウンロードはここから 33

33 D-Case Stencil - PowerPoint Add-in for D-Case インストール後 D-Caseタブを選択ノード追加されるメニューインストールするとD-CASE タブが追加される D-CASE Editorへの取り込みもサポートされている 34

34 GSNノードゴール ID, ツールにより自動で設定される Goal: G_1 システムは安全である保証したいこと主張例システムは安全であるゴールはさらに詳細なゴールサブゴールに分解される主張 35

35 GSNノードソリューション Evidence: E_1 ハザード *1１の回避方法ゴールが成り立つことを最終的の保証するもの例テスト結果運用事例など D-Caseではエビデンス根拠 GSN CS V1はソリューション(ID: Sn1, Sn2 ) 証跡アイテム *1 危害要因のことリスクの原因とその属性のことを意味する 36

36 GSNノードのつなげ方１支援リンク Goal: G_1 ハザード１が回避されている Evidence: E_1 ハザード１の回避方法支援リンク(SupportedBy) 矢印の方向に注意この構造はソリューションで示される証跡がゴールに記載される主張が正しいことを示している黒矢印 37

37 GSNノード戦略 Goal: G_1 システムは安全であるゴール(G_1)をサブゴール(G_2, G_3)に分けるときの考え方例ハザードがすべて回避されていることを保証する議論 Strategy: S_1 ハザードがすべて回避されていることを保証する議論 Goal: G_2 ハザード１が回避されている Goal: G_3 ハザード２が回避されているこの戦略に従いトップのゴールが下の２つのサブゴールに分解されるここではハザード分析をした結果を用いて各ハザード毎にその安全性を保証する議論を構築する戦略である Evidence: E_1 ハザード１の回避方法 38

38 GSNノード前提 Goal: G_1 システムは安全であるシステムの状態環境などゴールを議論するときの前提等例リスク分析の結果得られたハザードのリスト Strategy: S_1 ハザードがすべて回避されていることを保証する議論 Goal: G_2 ハザード１が回避されている Evidence: E_1 ハザード１の回避方法 Context: C_1 同定されたハザードハザード1 ハザード2 Goal: G_3 ハザード２が回避されている戦略での使われ方説明に関連する付加情報の宣言使用される言葉の定義や説明ゴールでの使われ方主張の範囲の定義制約主張と関連した補足説明ゴールとコンテキスト間に矛盾がないように注意 39

39 GSNノードのつなげ方２前提リンク Goal: G_1 システムは安全である前提リンクは白矢印で表し文脈的関係性を説明 Strategy: S_1 ハザードがすべて回避されていることを保証する議論 Goal: G_2 ハザード１が回避されている Evidence: E_1 ハザード１の回避方法 Context: C_1 同定されたハザード *２ハザード1 ハザード2 Goal: G_3 ハザード２が回避されている前提リンク(InContextOf) GSNでは白矢印２同定どうていとはある対象についてそのものにかかわる既存の分類のなかからそれの帰属先をさがす行為リスクの性質等を考慮しながら絞り込んでいくことを意味する 40

40 未展開記号 Goal: G_1 システムは安全である Strategy: S_1 ハザードがすべて回避されていることを保証する議論 Goal: G_2 ハザード１が回避されている Context: C_1 同定されたハザード *２ハザード1 ハザード2 Goal: G_3 ハザード２が回避されている Undeveloped: U_1 Evidence: E_1 ハザード１の回避方法ゴールを保障するための十分な議論又はエビデンスがないこれはゴールやストラテジーにつけることができる 41

ゴールをサブゴールに分解する GSNは保証したいことゴールを複数のサブゴールに分割することにより詳細化し詳細化されたサブゴール毎にそのサブゴールが成り立つことを示す根拠により保証することにより最初のゴールを保証するものであるつまりゴールをどのようにサブゴールに分

41 ゴールをサブゴールに分解する GSNは保証したいことゴールを複数のサブゴールに分割することにより詳細化し詳細化されたサブゴール毎にそのサブゴールが成り立つことを示す根拠により保証することにより最初のゴールを保証するものであるつまりゴールをどのようにサブゴールに分割するかが非常に重要である Goal: G_1 ゴールゴールをどのようにサブゴールに分割するかを示すのが戦略でありここに議論が存在 Strategy: S_1 戦略 Goal: G_2 サブゴール Goal: G_3 サブゴールゴール分解に議論分解パターンを利用 42

42 議論分解パターン項番分解パターン説明１アーキテクチャ分解 (architecture) システム構成に従って分解２機能分解 (functional) 主張を機能構成に従って分解３属性分解 (set of attributes) 特性を複数の属性に分解４帰納分解(infinite set) 帰納法による分解 N=1の時主張が成立 N=Kの時出張が成立ならＮＫ１でも主張が成立５完全分解 (complete) 説明対象のすべての要素による分解６単調分解 (monotonic) 新システムによる旧システムの改善点による分解７修正分解 (concretion) 曖昧性の明確化による分解８プロセス分解プロセスの入力処理出力に対して主張を分解９プロセス関係分解プロセス先行後続関係に基づいて主張を分解１０階層分解対象の階層構成に基づいて主張を分解１１ＤＦＤ分解ＤＦＤの階層構成に基づいて主張を分解１２ビュウ分解 UMLのビュウ構成に基づいて主張を分解１３ユースケース分解ユースケースに基づいて主張を分解１４要求記述分解要求の記述項目に対して主張を分解１５状態遷移分解状態遷移に対して主張を分解１６運用要求記述分解運用要求定義票に基づき主張を分解１７シーケンス分解シーケンス図に基づいて出張を分解１８ビジネスプロセス分解ビジネスプロセスモデル記法に基づき主張を分解 Safety and Assurance Cases: Past, Present and Possible Future an Adelard Perspective, Robin Bloomfield and Peter Bishop ( )はBloomfieldのMain types 議論パターンポケットガイドアルファ版 P32 対象分解パターン参照 43

43 議論分解パターン例属性分解 Context: C_1 ディペンダブル属性可用性安全性信頼性保守性一貫性 Goal: G_1 システムはディペンダブルである Strategy: S_1 属性ごとに議論 Goal: G_2 システムは可用性を持つ Goal: G_3 システムは安全性を持つ Goal: G_4 システムは信頼性を持つ Goal: G_5 システムは保守性を持つ Goal: G_5 システムは一貫性を持つ実践D-Case ディペンダビリティケースを活用しよう P67 44

44 GSNの実際の記述例既製システムをISO26262に適合させる場合のセーフティケースの利用とその評価実施報告書 2013年2月 IPA 実験のためのモデルシステム対象自動車用ドアロックシステム構造や制御の仕組みが比較的シンプルであり自動車に対する専門知識が無くても理解し易いライフサイクル概要設計システム設計ハザード分析リスク評価技法 FMEA Failure Mode and Effects Analysis FTA Fault Tree Analysis 45

45 アシュアランスケースの利用 46

46 正統派と非正統派アシュアランスケース利用には正統派と非正統派がある正統派認証規格に利用非正統派認証規格の利用以外の広い応用範囲への利用 47

47 アシュアランスケースと認証規格 Safety Caseの作成提出を義務付けている規格 Yellow Book: 鉄道システムの改変時の安全管理 EUROCONTROL: 安全で機能的な航空管制管理 ISO26262: 自動車の電気電子システムの機能安全規格 Def-Stan 00-56: 英国防衛省策定の防衛システムの安全管理 US. Food and Drug Administration (FDA) Infusion Pump Improvement Initiative: 点滴ポンプなどの医療器具の病院導入時今後はセーフティだけでなくセキュリティ等にも広がる可能性大 CC-Case: file:///e:/download/ipsjcss pdf

どのような利用があるのか ① 説明責任をはたすため欧米では説明責任をはたすために規格として求められるケースもある ② ステークスフォルダーとの情報共有のためマネージャレベルでもアシュアランスケースから何が設計されているか理解が可能 ③ 設計の再利用のため何か設計実装されているか容易に分かる ④ ソフトウェアの相互の信頼性確認のためつながる世界において

48 どのような利用があるのか ① 説明責任をはたすため欧米では説明責任をはたすために規格として求められるケースもある ② ステークスフォルダーとの情報共有のためマネージャレベルでもアシュアランスケースから何が設計されているか理解が可能 ③ 設計の再利用のため何か設計実装されているか容易に分かる ④ ソフトウェアの相互の信頼性確認のためつながる世界においてソフトウェアの相互の信頼性確認のための基礎 ETロボコンへの応用例富士ゼロックス株伊東敦計画立案時の事例株デンソークリエイト小林展英シミュレーションへの適用例三菱電機株森素子 49

49 より詳しく学習するために書籍教材 D-Case入門ディペンダビリティケースを書いてみよう松野裕高井利憲山本修一郎発行所株式会社ダイテックホールディング実践D-Case ディペンダビリティケースを活用しよう松野裕山本修一郎 2013年3月25日発行 ISBN 基礎編５アシュアランスケース概論６ D-Case作法応用編７ D-Case演習８議論分解パターン９ D-Case Editorの使い方３ D-Case/GSNの基礎４ D-Case作成法５議論分解パターンビデオ教材 GSN解説(1) - GSN (Goal Structuring Notation)とは何か名古屋大学山本修一郎教授 (2:58) GSN解説(2) - GSNの基礎とその構成要素名古屋大学山本修一郎教授 (2:32) アシュランスセイフティーケース概論歴史的背景と制度産総研田口研治招聘研究員(4:54) GSN記法チュートリアル書き方のコツ産総研相馬研究員(2:40) 50

50 より詳しく学習するためにセミナー報告書 SEC高信頼化技術適用事例セミナー D-Caseの適用事例に学ぶ合意形成と説明責任 D-Caseで高信頼性をどのように保証するか D-Case活用の基本パターン IPA/SEC 連携委員国立大学法人名古屋大学情報連携統括本部情報戦略室教授山本修一郎氏 D-Caseを用いたゴール共有による開発プロセスの適用 ETロボコンでの試行と成果富士ゼロックス株式会社コントローラ開発本部コントローラプラットフォーム第二開発部マネージャー土樋祐希氏 D-Caseで開発成果の品質をどのように説明するかソフトウェア開発現場におけるD-Case活用事例株式会社デンソークリエイトプロジェクトセンターシニアデスク小林展英氏

51 より詳しく学習するためにセミナー報告書 SEC高信頼化技術適用事例セミナー D-Caseの適用事例に学ぶ合意形成と説明責任第三者検証における保証の見える化独立検証及び妥当性確認 IV&V における事例紹介国立研究開発法人宇宙航空研究開発機構研究開発部門第三研究ユニット研究員神戸大輔氏 D-Case実用化へ向けた活動の動向について日本の安全安心を世界で共有するために一般社団法人ディペンダビリティ技術推進協会 DEOS DEOSプロジェクト D-Caseの実用化へ向けた標準化認証制度 D-Case部会主査日本大学理工学部応用情報工学科准教授松野裕氏

52 つながる世界での応用 53

53 つながる世界での安心安全の仕組み環境の整備に向けて課題品質基準が異なる製品を接続する際その全体品質が一番低い部分の品質に依存する課題安全性セキュリティ等利用者が製品やサービスを組み合わせて利用する際すべての接続品質の検証が困難という課題目指す世界リスクのある連携動作に警告発生環境の整備に向けた活動異なる品質基準の製品間の制御可否判断トラスト環境の整備 H26年度セーフティセキュリティ設計の見える化ソフトウェア相互の信頼性確認の仕組み 54

ソフトウェア相互の信頼性確認の仕組み見える化アシュアランスケース WOCS2 13th(3日目 1/21 15:40 16:30 招待講演

54 設計品質の見える化の推進 H26年度設計品質の見える化セーフティセキュリティ設計の普及促進セーフティセキュリティ設計の品質の見える化ガイドブック作成品質向上のためのセーフティセキュリティ設計の勧め 2015年プロモーションセミナー雑誌 H27年度以降ソフトウェア相互の信頼性確認の仕組み見える化アシュアランスケース WOCS2 13th(3日目 1/21 15:40 16:30 招待講演つながる世界 IoT時代の天使と悪魔警告発生制御可否中尾セーフティセキュリティ設計昌善氏独立行政法人情報処理推進機構ソフトウェア高信頼化センター 55

55 Check Catch Search Click 56

S o f t w a r e R e l i a b i l i t y E n h an c e m e n t C e n t er Information-technology Promotion Agency, Japan つながる世界のセーフティ & セキュリティ設計の見える化つながる

S o f t w a r e R e l i a b i l i t y E n h an c e m e n t C e n t er Information-technology Promotion Agency, Japan つながる世界のセーフティ & セキュリティ設計の見える化つながる世界での安心安全の仕組み環境の整備に向けて 2014 年 11 月 19 日独立行政法人情報処理推進機構技術本部ソフトウェア高信頼化センター

アジェンダ アシュアランスケースとは アシュアランスケースの必要性 論理の基礎 アシュアランスケースの表記法 GSN を例とした記法の説明 アシュアランスケースの利用 つながる世界での応用 3

アジェンダアシュアランスケースとはアシュアランスケースの必要性論理の基礎アシュアランスケースの表記法 GSN を例とした記法の説明アシュアランスケースの利用つながる世界での応用 3