IoT 時代は利用時の品質の考慮が重要! 独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 調査役宮原真次 IPA Software Reliability Enhancement Center
本日の内容 つながる世界のイメージと適用事例 つながる世界の課題認識とリスク事例 つながる世界の安全安心に向けた取組みと利用時の品質の概説 つながる世界の開発指針の展開 2
IoT 時代 : 様々なモノやサービスがつながる世界 電力会社 蓄電池 コジェネ HEMS ネットワーク EV/HV 太陽光発電 スマートメータ 自動運転 HEMS 端末 省エネ制御家電 照明 車車間通信 ITS 路側機 ITS& 自動車安全機能の連携 AV ネットワーク 4K 8K コンテンツ ネットワーク家電 ホームサーバ 車載 ECU ホームゲートウェイ 医療 ヘルスケアネットワーク ロボット介護 後付車載器テレマティクス端末 データレコーダ等 New サービス 医療 ヘルスケア機器 医療 ヘルスケアサーバ 持込機器 お弁当セール Convenience ウェラブル機器 ATM 生活圏の公共エリアのネットワーク機器 サービス提供サーバ ( クラウド ) 農地や工場 機器メーカ遠隔監視 制御 出典 : 一般社団法人重要生活機器連携セキュリティ協議会 セキュアライフ 2020 中の図に加筆 HEMS 関連企業 コンテンツ提供企業 医療機関 ヘルスケア企業 自動車メーカ 交通管制 3
動き始めた日本の CPS によるデータ駆動型社会 様々なモノがつながることで 垂直統合から分野をまたがる自在な連携へ 出典 : 平成 27 年 5 月産業構造審議会商務流通情報分科会情報経済小委員会中間とりまとめ 4
事例 1) 保守効率化 JR 東日本 スマートメンテナンス センサ ビックデータを活用した保守コストの大幅削減 ~ 時間計画保全から状況監視保全へ ~ 出典 JR 東日本 https://www.jreast.co.jp/press/2013/20130502.pdf ITpro ニュース 2014.8.26 記事 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/082200037/ 5
事例 2) スマートハウスとスマートカーの連携事例 Ford の車載情報システム SYNC 3 と宅内にある Amazon 社の Amazon Echo が連携 宅内から車内 社内から宅内の操作が可能になる 出典 JETRO ニューヨークだより 2017 年 2 月 https://www.jetro.go.jp/ext_images/_reports/02/21ff0f61ce84fd8e/rpny-201702.pdf 6
つながる世界の課題認識とリスク事例 7
つながる世界では様々な課題が存在 つながる世界では 製品供給者が想定しない 把握できない課題が発生 様々なモノがつながる 異なる分野のサービスがつながる 1 つの製品の不具合による影響が拡大 相手の信頼性レベルが分からない ( 不安 ) IoT 技術は日進月歩 サービス企業やユーザがモノをつなげられる 時間が経つにつれて安全安心が劣化 メーカが想像もしないつなぎ方 使い方も つながる世界のリスクを認識し 安全 安心への対策が急務! 8
つながる世界のリスク ( 事例 1) 知らないうちに つながってしまう ロシアで 中国製アイロンの中に近隣 200m 以内の無線 LAN にアクセスし ウイルスを撒き散らすチップが埋め込まれていることが発見された 無線 LAN ( 認証あり ) 無線 LAN ( 認証なし ) 鍵のない無線 LAN があるから使っちゃおう 1200m 以内の認証のない無線 LAN にアクセスし マルウェアをまき散らす 2 無線 LAN 上の PC に感染 出典 : 一般社団法人重要生活機器連携セキュリティ協議会 生活機器の脅威事例集 9
つながる世界のリスク ( 事例 2) つながらない つもりなのに つながってしまう 外部に対してクローズなつもりが ウイルスで工場設備が停止 1 ネットワークから隔離されたシステムに USB メモリや持ち込み PC 経由でマルウェアが感染 工場内ネットワーク 2 不正な命令で設備を破壊 産業制御システム 制御装置 (PLC) 工場内設備 出典 : 一般社団法人重要生活機器連携セキュリティ協議会 生活機器の脅威事例集 10
つながる世界のリスク ( 事例 3) つながらない はずが つながってしまう 米国 blackhat2015 で発表があった自動車の攻撃研究事例スマホから不正に車載器に進入し ジープのハンドルやエンジンを不正操作した 出典 : 一般社団法人重要生活機器連携セキュリティ協議会 (CCDS) 11
つながる世界の安全安心に向けた取組みと 利用時の品質の概要 12
つながる世界の安全安心に向けた課題と取組み 実証 具体化 拡充 2015 年 10 月発行 報告書 : 分野間実証実験 2017 年 5 月公開 課題 2: 設計手法セーフティやセキュリティのリスク分析や設計の手法が分からない 実践に向けた手引き 2017 年 6 月発行 課題 3: 開発指針経営者や開発者が IoT 開発時に考慮すべき事項が分からない つながる世界の安全安心の実現 2016 年 5 月発行 第 2 版 : 利用時の品質を製品開発の考慮点に追加 2017 年 6 月発行 課題 4: 利用時品質 IoT は利用者が多岐にわたり 利用環境も変化 対応への考慮点 課題 1: 品質モデル分野毎に品質の捉え方が異なり 品質に関する議論が出来ない 課題 5: 品質指針変化が激しい IoT の品質をどう担保すれば良いか分からない 課題 6: データ信頼性 CPS や AI で使うデータ自身の信頼性 信憑性に懸念 計画中 つながる世界のデータの信頼性指針 ( 仮称 ) 計画中 つながる世界の品質指針 ( 仮称 ) 報告書 : つながる世界の利用時の品質 (HCD-Netと共創) 2017 年 3 月公開 (IVIA,CCDS 等と共創 ) 2015 年 5 月発行 (JASA,MCPC 等と共創 ) 13
なぜ 利用時の品質に着目したか これからの IoT 製品 サービスは多種 多様な形で利用されることが想定され 利用者の目的や特性および利用環境を考慮した高い信頼性を確保できる (= 利用時の品質 を考慮した ) 製品開発が重要 様々な IoT 製品 サービスの利用シーン IoT 接続を想定 つながる機器やシステム つながるものは IoT につながる クローズドな環境を想定 メーカー A 社 つながる機器やシステム IoT 子供 障害者 外国人 メーカー B 社 外部からアクセス可能な環境に設置される可能性も 老人 IoT 機器 サービス 知らない間につながっていてセーフティ & セキュリティを含むリスクが増加 身体や生命 財産 誰もが使うため 使用環境を想定することがより難しくなっている 現金 14
障害事例 : 利用時の品質を考慮しない大変なことに! 事例 複合機のパスワード設定が分かりにくいので 初期値のままで使っていたら複合機内部に蓄積されていたデータが外部から参照可能に! パスワード設定? 面倒だよ コピーなんてこのままでも問題ないんじゃない? 初期設定のままで使おう パスワード未設定での使用時は警告するように設計すべきだった! 操作が分からないし プリンター複合機 15
製品品質と利用時の品質の関係 客観的設計時品質 ユーザビリティ ( 使いやすさ ) 機能性 性能 信頼性 安全性 互換性 費用 維持性 主観的設計時品質 設計時の品質 - 認知しやすさ - 記憶しやすさ - 学習しやすさ - 発見しやすさ - 操作しやすさ - エラー防止 - アクセシビリティ - 新規性 - 希少性 製品品質 直接的影響 客観的利用時品質 主観的利用時品質 利用時の品質 有効さ効率生産性ユーザ特性への適合性利用状況への適合性 リスク回避性 知覚 - 達成感 - 安心感 魅力 - 感性訴求性 - 欲求訴求性 直接的影響 満足 ( 意味性 ) - 楽しさ - 喜ばしさ - 嬉しさ - 美しさ - 可愛らしさ - 好ましさ - 反復利用への意欲 U I 出典 : 黒須正明 利用時品質とその評価 ユーザ特性 - 身体特性 - 認知特性 - 心理特性 - 年齢 世代 - 障害 - 性差など U X 利用状況 - 物理的環境 - 社会的環境 - 言語と文化 - 地理的環境 16
利用時の品質を考える 4 つの視点区分 組織文化の視点 設計 (HCD プロセス ) 利用状況等に関する情報や分析結果 保守 運用の視点 企画 利用状況理解 要求仕様化 試作 評価 製造 販売 保守 運用クレーム対応 利用実態調査など フィードバック 設計の視点 事前購入実利用 ( 一時的 / 累積的 ) 廃棄期待 消費者 / ユーザ側消費者 / ユーザ側 把握 分析の視点 ユーザビリティ評価 UX 評価 17
IoT の多様化するユーザや利用環境の変化への対策! 利用時の品質を意識した設計!( ユーザ経験を開発に活用しよう ) つながる世界の利用時の品質 ~IoT 時代の安全と使いやすさを実現する設計 ~ 検討 WG( 主査 : 放送大学黒須正明 ) の成果を報告書として公開 https://www.ipa.go.jp/sec/reports/20170330.html 利用時の品質向上のための 15 の視点 組織文化の醸成 ユーザ経験の把握 分析 ユーザを巻き込んだ設計 知見をまとめる保守 運用 18
利用時の品質を開発指針 ( 第二版 ) に反映 反映例 利用時の品質 : 視点 10 ユーザを安全な操作に導く設計をする 危険な使い方ができない やろうと思わない 危険と気づくような設計をする 安全のための機能をユーザが止めてしまわないように ユーザの受容性を考慮した設計をする ネットワークで利用状況や利用環境を把握し リスクを回避する工夫をする 反映 開発指針 : 指針 11 不特定の相手とつなげられても安全安心を確保できる設計をする のポイントに追加 危険なつなぎ方をしにくい設計や危険なつなぎ方に気づくような設計を検討する 19
つながる世界の開発指針の展開 20
つながる世界の開発指針 の展開 政府施策への展開 IoT 推進コンソーシアムの IoT セキュリティガイドラインへの展開 (2016/7) ERAB サイバーセキュリティガイドラインへの展開 (2017/4) その他の政府レベルのガイドラインへの展開 産業界への普及 国内外の産業界や海外の研究機関と連携した国際標準化 米 NIST と連携した IoT についての検討 独 IESE と連携した実証実験 CCDS 4 分野の分野別セキュリティガイドライン (2016/6) チェックリスト化 社内ルール化への支援 (2017/3) その他の分野別ガイドラインの策定への支援 スコープ拡大 海外連携 国際標準化 IoT 高信頼化に向けた機能要件と機能のまとめ (2017/5) 利用時品質のまとめ (HCD-net との共創活動 )(2017/3) データ品質の検討 (JASA,MCPC と共創予定 ) IoT の品質確保の検討 (IVIA,CCDS と共創予定 ) 21
ご清聴有難うございました 展示コーナーにも是非お立ち寄りください 22
参考 つながる世界の開発指針 IoT 機器 システムの開発者 保守者 経営者に最低限検討して頂きたい安全 安心に関する事項をライフサイクル視点で整理 方針 分析 大項目 つながる世界の安全安心に企業として取り組む つながる世界のリスクを認識する 指針 指針 1 安全安心の基本方針を策定する 指針 2 安全安心のための体制 人材を見直す 指針 3 内部不正やミスに備える 指針 4 守るべきものを特定する 指針 5 つながることによるリスクを想定する 指針 6 つながりで波及するリスクを想定する 指針 7 物理的なリスクを認識する 指針 8 個々でも全体でも守れる設計をする つながる世界の開発指針の内容 目次第 1 章つながる世界と開発指針の目的第 2 章開発指針の対象第 3 章つながる世界のリスク想定第 4 章つながる世界の開発指針 (17 個 ) 第 5 章今後必要となる対策技術例 指針は ポイント 解説 対策例を記述 開発指針を書籍化し 2016 年 5 月 11 日に発刊 http://www.ipa.go.jp/sec/reports/20160511_2.html 設計 保守 運用 守るべきものを守る設計を考える 市場に出た後も守る設計を考える 関係者と一緒に守る 指針 9 つながる相手に迷惑をかけない設計をする 指針 10 安全安心を実現する設計の整合性をとる 指針 11 不特定の相手とつなげられても安全安心を確保できる設計をする 指針 12 安全安心を実現する設計の検証 評価を行う 指針 13 自身がどのような状態かを把握し 記録する機能を設ける 指針 14 時間が経っても安全安心を維持する機能を設ける 指針 15 出荷後も IoT リスクを把握し 情報発信する 指針 16 出荷後の関係事業者に守ってもらいたいことを伝える 指針 17 つながることによるリスクを一般利用者に知ってもらう 23
参考 つながる世界の開発指針 の実践に向けた手引き 開発指針のうち技術面での対策を具体化し 高信頼化実現に必要な機能を策定 2017 年 5 月 8 日公開 : 以下の URL に pdf 版掲載 http://www.ipa.go.jp/sec/reports/20170508.html つながる世界の開発指針 つながる世界の開発指針 の実践に向けた手引き 1 設計段階から考慮して欲しい機能要件と IoT 高信頼化機能の具体例を解説 2016 年 3 月 2IoT 機器 システムやサービスのライフサイクルを意識し クラウド フォグ エッジ等の機能配置も考慮 2017 年 5 月 3IoT の分野間連携のユースケースによるリスクや脅威分析 対策として必要な機能や機能配置の具体例を提示 24
参考 分野間連携における実証実験 [ 中小企業のスマート工場を想定した異常監視の高度化の実施例 ] 課題意識 : 様々なシステムのつながりで障害が波及 対策 実証 機能要件 6: 異常発生を監視 通知できる 実験内容 : 1 異なる 2 つの情報を組合わせた異常監視 過電流や漏電 悪意な攻撃の兆候を検知 2 制御指示の矛盾検出と波及防止 空調機への On/Off 指示が競合するケース 実証実験システムのイメージ 実証実験の報告書を公開 (2017 年 5 月 31 日 ) http://www.ipa.go.jp/sec/reports/20170531.html 25
26