SDM 公開講座現代ソフトウェアエンジニアリングの俯瞰図第 2 回 2012/APR/12 情報システムの変化と社会の安全と安心を考える独立行政法人情報処理推進機構技術本部ソフトウェアエンジニアリングセンター副所長立石譲二

本日の話題 1. IT 融合時代 - ITシステムは業種業態を超えて統合化 2. 統合システムという名の怪物システムの質的変化 CPS 化とリアルタイム化要求の多様性安全性の確立手段 - セーフティケース - トレーサビリティ安全を安心へ第三者監査による説明力の強化 3. 安心を形成するための産業横断的なインフラ. まとめ Center 1

1.IT 融合時代 - IT システムは業種業態を超えて統合化 Center 2

IT 融合時代の新社会インフラ ( 例スマートコミュニティ ) コントロールセンター地域のエネルギー需給を最適化するコントロールセンター for Mo No Zu Ku Ri 太陽光発電風力発電小水力など自然エネルギーを電源として積極的に活用変動の多い自然エネルギーを地域内で有効活用するため各家庭やオフィスで余った電力を地域内で融通電気バスや電気自動車の位置情報と充電状態を管理することでこれらの自動車を電力インフラとして活用エネルギーネットワークと一体になった新しい交通インフラ EV や電気バス同士で情報をやりとりすることにより飛躍的な低炭素化と事故や渋滞問題の解決を同時実現原子力発電所火力発電所架線レス路面電車蓄電池を搭載した路面電車駅での停車時 : 電池に充電駅間の移動時 : 電池で駆動 GPS スマートビル電力貯蔵装置陸上風車太陽光コントロールセンター ITS ITS 電気バス風車バッテリーコンテナ ITS コントロールセンター路面電車メガソーラー急速充電ステーション 30 分で 80% 充電急速充電ステーション ITS バッテリー交換ステーション電気バス電気自動車電気バス EV を電力インフラとして活用 EV スマートハウス太陽光発電洗濯乾燥機食洗機 LED 照明テレビスマートハウス課程と結びついた病院動作が効率化された工作機械センサ等を活用した農業小水力発電電気バス ( 将来は路面電車化 ) 電池交換式の電気バス将来的には複数台を連結して路面電車化 Li-ion 電池 ( 固定式 ) 空調インバータ医療 / ものづくりなどテーラーメード化された医療の提供 GPS を活用した自動車両誘導システムセンサ等を活用した農業各種情報を分析し最適な生産手段を可能にスマートメーターホームネットワークホームゲートウェイモータ将来的に路面電車化も視野 Li-ion 電池 ( 交換式 ) 電力不足時 : 電気自動車家庭電力過剰時 : 家庭電気自動車省エネエアコンヒートポンプ給湯器電気自動車 ( 出所 ) スマートコミュニティ関連システムフォーラム資料三菱重工資料より経済産業省作成 Center 3 3

2.IT 融合時代統合システムという名の怪物 Center 5

Center 6

IT システムの統合化統合システムの拡大 System of Systems 組込み系と情報通信系の連携離散系と連続系の一体化リアルタイム化人間を介さない自動化 Center 7

1 IT システムの統合化 ( 統合システム ) Center 8

2 Cyber-Physical Systems Center 9

3 処理のリアルタイム化日本の電気料金 ( 電力量料金季節別時間帯別 ) 東京電力管内の例 ( 出所 ) 東京電力ホームページより夜間朝晩昼間朝晩夜間 ( 出所 ) 東京電力 TEPCO ホームページより Center 10

エネルギーマネジメントシステム (xems) ホームエネルギーマネジメントシステム (HEMS) ( 出典 ) 徹底図解環境の技術と科学 ( 日経エコロジー 2011 年 9 月号より ) Center 12

利用者の拡がりと利用 ( 運用 ) 環境の変化多様化産業機械消費者機械 Center 13

機能安全 (Functional Safety) という考え方絶対安全と機能安全受容不可能 ALARP 領域 ALARP(As Low As Reasonably Practicable) 10-3 / 年 ~10 - / 年不特定多数の一般大衆に影響を与える危険の社会的許容限界 10-9 / 時間 10-5 / 年機能安全に関する国際規格 10-6 / 年広く受容可能データ出所 : セーフティケースと開発プロセス ( 株 ) ニルソフトウェア CEO 伊藤昌夫氏 ( ソフトウェア技術者協会 SPIN 研究会 2012.3.2 講演資料 ) Center 15

セーフティケース (Safety Case) 特定された環境と条件の下で当該システムが安全要求を満足することを立証するための体系化された文書でありその実現の考え方 ( 設計思想 ) と実現した証拠で構成される (A documented body of evidence that provides a convincing and valid argument that a system is adequately safe for a given application in a given environment.) Evidence Safety Goal Eg: FTA(Fault Tree Analysis) Result Evidence Eg. System is Safe Evidence Argument Structure Center 16

GSN (Goal Structure Notation) による Dependability Case 記述例 ( 資料出所 ) DEOS and D-Case for Open Systems Dependability 2012.1.30 Yutaka Matsuno University of Tokyo Center 17

トレーサビリティー Center 18

トレーサビリティーが必要とされる理由 Center 19

トレーサビリティーがあれば防げた事故 Center 20

3.IT 融合時代安心を形成するために必要なインフラ Center 21

トヨタ車の ETC システム及び急加速問題に関する動き図 :NHTSA に最近寄せられた VOQ の件数急加速と急加速以外の VOQ の比較 Center 23

ソフトウェア品質監査制度 ( 仮称 ) 検討の背景と経緯第三者の検証妥当性確認による品質説明力強化の必要性品質説明に対する市場意識の変化品質説明力の不足 : 当事者企業の技術的主張だけでなく第三者の裏付け ( 検証妥当性確認 ) による品質説明への要求の増大利用者製品の利用者が感じる違和感利用品質低下の懸念 : 製品システムの高度化複雑化と利用者の多様化により製品システムと利用者との間のギャップが拡大製品サービス監査結果意見表明技術説明先端技術製品の潜在リスクへの不安製品品質低下の懸念 : 技術の急速な進歩により技術標準 ( 規格 ) に基づく規格認証の対象範囲外となる領域が拡大品質文化の異なる業界を跨るシステム残存する潜在リスクの増加 : 複数の業界を跨るシステムの拡大に伴い全体システムとしての品質確認の精度が低下 IPA/ での活動経緯 2010 年 3 月 : 産構審情報システムソフトウェア小委員会にて第三者による検証妥当性確認の枠組みの必要性が示される 2010 年月 :IPA/ の統合系プロジェクト内に検討チームを発足 2010 年 7 月 : 調査活動開始 2010 年 11 月 : 制度検討委員会発足 ( 主査 : 名古屋大学高田教授 ) 2011 年 6 月 : 中間報告事業者技術ドキュメント開発エビデンス監査機関第三者による検証妥当性確認事業者の技術的主張の妥当性を監査機関が開発技術水準と利用技術水準を考慮して第三者の立場で評価し技術に関する専門知識のない利用者にも理解できる形で情報提供する仕組み ( 会計処理における会計監査と同等の役割 ) Center 2

施状況の証拠に基づく確ソフトウェア品質監査の観点各工程での作業の妥当性採用規格技術の妥当性従事者の妥当性利用者要求への充足性など既存の認証 / 監査を補完重複を避ける実要件定義運用テスト施状外部設計システムテストづ況くの確認実証内部設計結合テスト認拠に基プログラミング単体テストソフトウェアの開発プロセス Center 25

ソフトウェア品質監査制度 ( 仮称 ) の概要複雑化する統合システム等において製品やサービスの安心安全を第三者が検証することによって国民が安心して製品やサービスの利用ができるまたそのことによって製品やサービスの品質向上が図られ国際競争力の強化につなげる国民生活の安全安心第三者である監査機関の意見を参考に製品サービスを安心して利用できる事業者の主張 = 品質説明この製品サービスは一定の条件下において安全に使えます監査対象 : ソフトウェアが重要な役割を担う製品サービス ( 例 : スマートコミュニティ自動車など ) 製品サービスの安全安心に係る品質目標品質目標を達成するために必要な手段手段を実施した証拠品質目標手段証拠のトレーサビリティ記述書利用者国民 ( 第一者 ) 監査結果監査機関の意見 = 合理的保証事業者の主張は適正です監査を受けることで製品サービスの顧客信頼度向上設計書など万が一の事故の場合でも品質の説明ができる証拠がある事業者 ( 第二者 ) 監査のための証拠製品サービスのテスト結果設計書開発手順などの証拠監査機関 ( 第三者 ) Copyright 2012 IPA, All Rights Reserved Center 26

監査制度フレームワークの詳細化国際的にも通用している会計監査の監査フレームワークを基に詳細化監査で保証してもらいたいこと ( 利用者が知りたいこと ) 想定利用者主題審査基準に照らし主題に適合しているという事業者の主張を記載したもの製品サービス企画書要件定義書等製品サービス企画要件定義等企画から廃却までのライフサイクルを通じた製品サービスの安全安心に係る品質企画記述書 ( 主題情報 ) 記録文書処理要件定義ライフサイクルプロセス事業責任者運シ用ステ保ム守企等画の文開書発社内規程ソフ審ト査ウ基ェ準ア品質遵守すべきルール意見表明運用状況整備状況監査報告書監査実施監査人監査基準専門家独立検証機関弁護士会計士技術士システムアナリスト等専門家の利用記述書の作成過程ライフサイクルプロセスの実態製品サービス自体の品質等 Copyright 2012 IPA, All Rights Reserved Center 27

品質問題に起因する影響の度合いに応じて監査内容を定義要求される品質説明力と監査コストとのバランス利用者国民への影響度と産業界経済への影響度によりレベル分け ( 監査レベル ) し監査レベル毎に監査内容を定義する産業経済影響レベル3 2 1 0 3 2 1 0 0 監査レベル 3 2 1 1 1 3 2 2 2 2 3 3 3 3 3 利用者国民影響レベル監査レベル 3 2 1 0 全項目重要項目その他の全項目全項目重要項目非対象監査レベルに対応した監査内容監査する審査項目網羅監査 ( 全件監査 ) 抜取監査 ( サンプル監査 ) 抜取監査 ( サンプル監査 ) 非対象監査方法網羅監査 ( 全件監査 ) 抜取監査 ( サンプル監査 ) 独立検証必須必須任意任意任意非対象産業経済影響レベル利用者国民影響レベルレベル影響の範囲レベル影響の範囲程度 3 2 1 0 我が国の産業への広範囲な影響当該産業に限定された影響当該企業以外の同一類似産業のへの影響当該企業に限定された影響当該製品サービス以外の他事業への影響当該製品サービス事業に限定された影響影響はない / ほとんど影響はない 3 2 1 当該利用者ならびに当該利用者以外への重大な影響 ( 代替手段による影響軽減が困難な影響 ) 国民への広範囲で重大な影響当該利用者への重大な影響に加え当該利用者以外への軽微な影響 ( 代替手段による影響軽減が容易な影響 ) 当該利用者に限定された重大な影響当該利用者に限定された軽微な影響 0 影響はない / ほとんど影響はない Center 29

今後の予定 ( 中間報告以降 ) 2011 年 9 月 30 日ソフトウェアの品質説明力強化のための制度フレームワークに関する提案 ( 中間報告 ) より http://sec.ipa.go.jp/reports/20110930.html Center 30

9 10 8 7 6 5 3 2 1 0 1 2 3 5 6 7 7 6 5 3 2 1 0 20 0 60 80 1 2 3 5 6 7 80 70 60 50 0 30 20 10 0 系列 1 0 2 6 8 10 系列 1 系列 1 Copyright 2008 Copyright Nara Institute 2012 of Nara Science Institute and of Technology Science and / Osaka Technology University / Osaka University 10 9 8 7 6 5 3 2 1 0 1 2 3 5 6 7 系 1 列 StagE プロジェクト文部科学省次世代 IT 基盤構築のための研究開発 : ソフトウェア構築状況の可視化技術の普及エンピリカルデータに基づくソフトウェアタグ技術の開発と普及 (2007 年 8 月 ~2012 年 3 月 ) ソフトウェア開発が適正な手順で行われたかどうかを表す実証データをソフトウェアタグとしてソフトウェア製品に添付し, ユーザ / ベンダ間等で共有する技術を世界に先駆けて開発する. ソフトウェアに対するトレーサビリティの概念を普及させる. 世界最高水準の安心安全なIT 社会を実現する. ユーザ <23.5, ソフトウェア要求ソフトウェア + タグ 35.2, 50.7, 68.2> <0, 2.5, 0, -0.8, 0 > ベンダソフトウェアタグとは? ソフトウェア開発に関する実証データから, ソフトウェアやその開発プロジェクトの特徴量を算出し, ユーザにも理解しやすく, 可視化や評価にも利用しやすい形式でとりまとめた情報パッケージ. <23.5, 35.2, 50.7, 68.2> <0, 2.5, 0, -0.8, 0 > 7 6 5 3 2 1 0 20 0 60 80 1 2 3 5 6 7 80 70 60 50 0 30 20 10 0 0 2 6 8 10 系列 1 系列 1 プロジェクト情報 (12 項目 ) 進捗情報 (29 項目 ) 31

ISO/IEC JTC1 SC22/WG23 ソフトウェア部品ソースコード署名開発者中間業者等と最終製品とのリンクが保障されるオープンソースソースコードソフトウェア部品実行コードデータインターネット開発配布形態の多様化改ざんや悪意のある変更が行われていないことを確認開発履歴の追跡信頼性の検証バージョン管理その他の管理情報アプリケーション開発履歴の追跡バージョン管理 Center 32

シミュレーションと検証を組み合わせたモデルベース開発 ( 引用 ) 広がるモデルベース開発の応用 (dspace ジャパン講演資料 ) より Center 33

開発プロセスでのトレーサビリティー支援ツール 2020 年の組込み開発を支えるトレーサビリティ技術 Traceability Plug-in EPM Plug-in 61508 Plug-in ALM(Application Lifecycle Management) 26262 Plug-in ETSS Plug-in ALM REST (Representational State Transfer) OSLC (Open Software Lifecycle Collaboration) REST OSLC OSLC TRA OSLC SPM OSLC SCM OSLC CM OSLC AM O-Data G-Data TERAS TRA TERAS EPM TERAS SCM TERAS CM TERAS ST TERAS O TERAS G Microsoft Office Google code Traceability Repository TERAS-TRA Empirical Project Monitor Repository IPA Version Control Repository Subversion Bug Tracking Repository Trac State Transition Model Repository ZIPC MS Office Google TERAS 提供予定オープン提供サードベンダー提供予定オープン / サードベンダー提供予定 ( 技術委員会 /WG でディスカッション中のシステム構成イメージ図 ) 3 Copyright 2011 一般社団法人 TERAS All Rights Reserved.

. まとめ安全は供給側から見た品質特性であり安心は利用者側の安全に対する信頼がもたらす心の平穏である IT 融合時代に入り各種システムの統合化が進展する中で安全要求の実現はますます困難になっており人海戦術と組織プレーだけでは対応は不可能になっている開発プロセスでは全ライフサイクルでのトレーサビリティの確保と同時にセーフティケースの保管が重要となるこれは国際規格への適合面でも第三者による監査の面でも必要となる IT 融合の果実として安心を得るためにはこれらトレーサビリティの確認を公正容易かつローコストで可能とするソフトウェアダグとレポジトリは不可欠のインフラとなる 35 Copyright 2011 一般社団法人 TERAS All Center 35

統合システムに囲まれた安全安心な未来のためにご清聴ありがとうございました独立行政法人情報処理推進機構技術本部ソフトウェアエンジニアリングセンター副所長立石譲二ご質問は tateishi@ipa.go.jp まで ET2011 Center 36