SDM 公開講座 現代ソフトウェア エンジニアリングの俯瞰図 第 2 回 2012/APR/12 情報システムの変化と 社会の安全と安心を考える 独立行政法人情報処理推進機構技術本部ソフトウェア エンジニアリング センター副所長立石譲二
本日の話題 1. IT 融合時代 - ITシステムは業種 業態を超えて統合化 2. 統合システム という名の怪物 システムの質的変化 CPS 化とリアルタイム化 要求の多様性 安全性の確立手段 - セーフティ ケース - トレーサビリティ 安全を安心へ第三者監査による説明力の強化 3. 安心を形成するための産業横断的なインフラ. まとめ Center 1
1.IT 融合時代 - IT システムは業種 業態を超えて統合化 Center 2
IT 融合時代の新社会インフラ ( 例スマート コミュニティ ) コントロールセンター 地域のエネルギー需給を最適化するコントロールセンター for Mo No Zu Ku Ri 太陽光発電 風力発電 小水力など自然エネルギーを電源として積極的に活用 変動の多い自然エネルギーを地域内で有効活用するため 各家庭やオフィスで余った電力を地域内で融通 電気バスや電気自動車の位置情報と充電状態を管理することで これらの自動車を電力インフラとして活用 エネルギーネットワークと一体になった新しい交通インフラ EV や電気バス同士で情報をやりとりすることにより 飛躍的な低炭素化と事故や渋滞問題の解決を同時実現 原子力発電所火力発電所 架線レス路面電車蓄電池を搭載した路面電車駅での停車時 : 電池に充電駅間の移動時 : 電池で駆動 GPS スマートビル 電力貯蔵装置 陸上風車 太陽光 コントロールセンター ITS ITS 電気バス 風車 バッテリーコンテナ ITS コントロールセンター 路面電車 メガソーラー 急速充電ステーション 30 分で 80% 充電 急速充電ステーション ITS バッテリー交換ステーション 電気バス 電気自動車 電気バス EV を電力インフラとして活用 EV スマートハウス 太陽光発電洗濯乾燥機食洗機 LED 照明テレビ スマートハウス 課程と結びついた病院 動作が効率化された工作機械 センサ等を活用した農業 小水力発電 電気バス ( 将来は路面電車化 ) 電池交換式の電気バス 将来的には複数台を連結して路面電車化 Li-ion 電池 ( 固定式 ) 空調インバータ 医療 / ものづくりなど テーラーメード化された医療の提供 GPS を活用した自動車両誘導システム センサ等を活用した農業 各種情報を分析し 最適な生産手段を可能に スマートメーター ホームネットワーク ホームゲートウェイ モータ 将来的に路面電車化も視野 Li-ion 電池 ( 交換式 ) 電力不足時 : 電気自動車 家庭電力過剰時 : 家庭 電気自動車 省エネエアコンヒートポンプ給湯器 電気自動車 ( 出所 ) スマートコミュニティ関連システムフォーラム資料 三菱重工資料より経済産業省作成 Center 3 3
次世代送電網 スマートグリッド for Mo No Zu Ku Ri 出所 次世代エネルギーシステムに係る国際標準化に関する研究会報告書 2010年1月 経済産業省 Copyright 2011 IPA, All Rights Reserved Center
2.IT 融合時代 統合システム という名の怪物 Center 5
Center 6
IT システムの統合化 統合システムの拡大 System of Systems 組込み系と情報通信系の連携 離散系と連続系の一体化 リアルタイム化 人間を介さない自動化 Center 7
1 IT システムの統合化 ( 統合システム ) Center 8
2 Cyber-Physical Systems Center 9
3 処理のリアルタイム化 日本の電気料金 ( 電力量料金季節別時間帯別 ) 東京電力管内の例 ( 出所 ) 東京電力ホームページより 夜間朝晩昼間朝晩夜間 ( 出所 ) 東京電力 TEPCO ホームページより Center 10
電力の価格調整機能 デマンド レスポンス for Mo No Zu Ku Ri 参考 米カリフォルニア州デマンド レスポンス プログラム 電力中央研究所 平成23年3月 米国における家庭用デマンドレスポンス プログラムの現状と展望 より Copyright 2011 IPA, All Rights Reserved Center 11
エネルギー マネジメント システム (xems) ホーム エネルギー マネジメント システム (HEMS) ( 出典 ) 徹底図解環境の技術と科学 ( 日経エコロジー 2011 年 9 月号より ) Center 12
利用者の拡がりと利用 ( 運用 ) 環境の変化 多様化 産業機械 消費者機械 Center 13
安全の要素とディペンダビリティ (Dependability) ディペンダビリティ偶発的 バグの顕在化操作ミス装置の故障など 可用性信頼性安全性機密性完全性保全性 セキュリティ人為的 不正アクセスサービス妨害 HP 改ざんなど Copyright 2011 IPA, All Rights Center 1
機能安全 (Functional Safety) という考え方 絶対安全と機能安全 受容不可能 ALARP 領域 ALARP(As Low As Reasonably Practicable) 10-3 / 年 ~10 - / 年 不特定多数の一般大衆に影響を与える危険の社会的許容限界 10-9 / 時間 10-5 / 年 機能安全に関する国際規格 10-6 / 年 広く受容可能 データ出所 : セーフティケースと開発プロセス ( 株 ) ニルソフトウェア CEO 伊藤昌夫氏 ( ソフトウェア技術者協会 SPIN 研究会 2012.3.2 講演資料 ) Center 15
セーフティ ケース (Safety Case) 特定された環境と条件の下で当該システムが安全要求を満足することを立証するための体系化された文書であり その実現の考え方 ( 設計思想 ) と実現した証拠で構成される (A documented body of evidence that provides a convincing and valid argument that a system is adequately safe for a given application in a given environment.) Evidence Safety Goal Eg: FTA(Fault Tree Analysis) Result Evidence Eg. System is Safe Evidence Argument Structure Center 16
GSN (Goal Structure Notation) による Dependability Case 記述例 ( 資料出所 ) DEOS and D-Case for Open Systems Dependability 2012.1.30 Yutaka Matsuno University of Tokyo Center 17
トレーサビリティー Center 18
トレーサビリティーが必要とされる理由 Center 19
トレーサビリティーがあれば防げた事故 Center 20
3.IT 融合時代安心を形成するために必要なインフラ Center 21
大規模リコール問題をめぐる米下院公聴会 (2010 年 2 月 2 日 ) (c) 2010 Forbes.com Inc. All rights reserved. Center 22
トヨタ車の ETC システム及び急加速問題に関する動き 図 :NHTSA に最近寄せられた VOQ の件数 急加速と急加速以外の VOQ の比較 Center 23
ソフトウェア品質監査制度 ( 仮称 ) 検討の背景と経緯第三者の検証 妥当性確認による品質説明力強化の必要性 品質説明に対する市場意識の変化品質説明力の不足 : 当事者企業の技術的主張だけでなく 第三者の裏付け ( 検証 妥当性確認 ) による品質説明への要求の増大 利用者 製品の利用者が感じる違和感利用品質低下の懸念 : 製品 システムの高度化 複雑化と利用者の多様化により 製品 システムと利用者との間のギャップが拡大 製品 サービス 監査結果 意見表明技術説明 先端技術製品の潜在リスクへの不安製品品質低下の懸念 : 技術の急速な進歩により技術標準 ( 規格 ) に基づく規格認証の対象範囲外となる領域が拡大 品質文化の異なる業界を跨るシステム残存する潜在リスクの増加 : 複数の業界を跨るシステムの拡大に伴い 全体システムとしての品質確認の精度が低下 IPA/ での活動経緯 2010 年 3 月 : 産構審情報システム ソフトウェア小委員会にて第三者による検証 妥当性確認の枠組みの必要性が示される 2010 年 月 :IPA/ の統合系プロジェクト内に検討チームを発足 2010 年 7 月 : 調査活動開始 2010 年 11 月 : 制度検討委員会発足 ( 主査 : 名古屋大学高田教授 ) 2011 年 6 月 : 中間報告 事業者 技術ドキュメント開発エビデンス 監査機関 第三者による検証 妥当性確認 事業者の技術的主張の妥当性を 監査機関が開発技術水準と利用技術水準を考慮して第三者の立場で評価し 技術に関する専門知識のない利用者にも理解できる形で情報提供する仕組み ( 会計処理における会計監査と同等の役割 ) Center 2
施状況の証拠に基づく確ソフトウェア品質監査の観点 各工程での作業の妥当性 採用規格 技術の妥当性 従事者の妥当性 利用者要求への充足性など既存の認証 / 監査を補完 重複を避ける 実要件定義運用テスト施状外部設計システムテストづ況くの確認実証内部設計結合テスト認拠に基プログラミング 単体テスト ソフトウェアの開発プロセス Center 25
ソフトウェア品質監査制度 ( 仮称 ) の概要 複雑化する統合システム等において 製品やサービスの安心 安全を第三者が検証することによって 国民が安心して製品やサービスの利用ができる また そのことによって 製品やサービスの品質向上が図られ 国際競争力の強化につなげる 国民生活の安全 安心 第三者である監査機関の意見を参考に製品 サービスを安心して利用できる 事業者の主張 = 品質説明この製品 サービスは一定の条件下において安全に使えます 監査対象 : ソフトウェアが重要な役割を担う製品 サービス ( 例 : スマートコミュニティ 自動車など ) 製品 サービスの安全 安心に係る品質目標 品質目標を達成するために必要な手段 手段を実施した証拠 品質目標 手段 証拠のトレーサビリティ 記述書 利用者 国民 ( 第一者 ) 監査結果 監査機関の意見 = 合理的保証事業者の主張は適正です 監査を受けることで製品 サービスの顧客信頼度向上 設計書など 万が一の事故の場合でも品質の説明ができる証拠がある 事業者 ( 第二者 ) 監査のための証拠 製品 サービスのテスト結果 設計書 開発手順などの証拠 監査機関 ( 第三者 ) Copyright 2012 IPA, All Rights Reserved Center 26
監査制度フレームワークの詳細化 国際的にも通用している会計監査の監査フレームワークを基に詳細化 監査で保証してもらいたいこと ( 利用者が知りたいこと ) 想定利用者 主題 審査基準に照らし 主題に適合しているという事業者の主張を記載したもの 製品 サービス企画書 要件定義書等 製品 サービス企画 要件定義等 企画から廃却までのライフサイクルを通じた 製品 サービスの安全 安心に係る品質 企画 記述書 ( 主題情報 ) 記録 文書 処理 要件定義 ライフサイクル プロセス 事業責任者 運シ用ス テ保ム守企等画の 文開書発 社内規程 ソフ審ト査ウ基ェ準ア品質 遵守すべきルール 意見表明 運用状況 整備状況 監査報告書 監査実施 監査人 監査基準 専門家 独立検証機関 弁護士 会計士 技術士 システム アナリスト等 専門家の利用 記述書の作成過程 ライフサイクル プロセスの実態 製品 サービス自体の品質等 Copyright 2012 IPA, All Rights Reserved Center 27
本制度における 監査 とは Copyright 2012 IPA, All Rights Reserved 第 11 回 審議委員会資料 Center 28
品質問題に起因する影響の度合いに応じて監査内容を定義要求される品質説明力と監査コストとのバランス 利用者 国民への影響度と産業界 経済への影響度によりレベル分け ( 監査レベル ) し 監査レベル毎に監査内容を定義する 産業 経済影響レベル3 2 1 0 3 2 1 0 0 監査レベル 3 2 1 1 1 3 2 2 2 2 3 3 3 3 3 利用者 国民影響レベル 監査レベル 3 2 1 0 全項目 重要項目 その他の全項目 全項目 重要項目 非対象 監査レベルに対応した監査内容 監査する審査項目 網羅監査 ( 全件監査 ) 抜取監査 ( サンプル監査 ) 抜取監査 ( サンプル監査 ) 非対象 監査方法 網羅監査 ( 全件監査 ) 抜取監査 ( サンプル監査 ) 独立検証 必須 必須 任意 任意 任意 非対象 産業 経済影響レベル 利用者 国民影響レベル レベル 影響の範囲 レベル 影響の範囲 程度 3 2 1 0 我が国の産業への広範囲な影響当該産業に限定された影響当該企業以外の同一 類似産業のへの影響 当該企業に限定された影響当該製品 サービス以外の他事業への影響 当該製品 サービス事業に限定された影響 影響はない / ほとんど影響はない 3 2 1 当該利用者ならびに当該利用者以外への重大な影響 ( 代替手段による影響軽減が困難な影響 ) 国民への広範囲で重大な影響当該利用者への重大な影響に加え 当該利用者以外への軽微な影響 ( 代替手段による影響軽減が容易な影響 ) 当該利用者に限定された重大な影響当該利用者に限定された軽微な影響 0 影響はない / ほとんど影響はない Center 29
今後の予定 ( 中間報告以降 ) 2011 年 9 月 30 日 ソフトウェアの品質説明力強化のための制度フレームワークに関する提案 ( 中間報告 ) より http://sec.ipa.go.jp/reports/20110930.html Center 30
9 10 8 7 6 5 3 2 1 0 1 2 3 5 6 7 7 6 5 3 2 1 0 20 0 60 80 1 2 3 5 6 7 80 70 60 50 0 30 20 10 0 系列 1 0 2 6 8 10 系列 1 系列 1 Copyright 2008 Copyright Nara Institute 2012 of Nara Science Institute and of Technology Science and / Osaka Technology University / Osaka University 10 9 8 7 6 5 3 2 1 0 1 2 3 5 6 7 系 1 列 StagE プロジェクト文部科学省次世代 IT 基盤構築のための研究開発 : ソフトウェア構築状況の可視化技術の普及エンピリカルデータに基づくソフトウェアタグ技術の開発と普及 (2007 年 8 月 ~2012 年 3 月 ) ソフトウェア開発が適正な手順で行われたかどうかを表す実証データを ソフトウェアタグ としてソフトウェア製品に添付し, ユーザ / ベンダ間等で共有する技術を世界に先駆けて開発する. ソフトウェアに対するトレーサビリティの概念を普及させる. 世界最高水準の安心 安全なIT 社会を実現する. ユーザ <23.5, ソフトウェア要求 ソフトウェア + タグ 35.2, 50.7, 68.2> <0, 2.5, 0, -0.8, 0 > ベンダ ソフトウェアタグとは? ソフトウェア開発に関する実証データから, ソフトウェアやその開発プロジェクトの特徴量を算出し, ユーザにも理解しやすく, 可視化や評価にも利用しやすい形式でとりまとめた情報パッケージ. <23.5, 35.2, 50.7, 68.2> <0, 2.5, 0, -0.8, 0 > 7 6 5 3 2 1 0 20 0 60 80 1 2 3 5 6 7 80 70 60 50 0 30 20 10 0 0 2 6 8 10 系列 1 系列 1 プロジェクト情報 (12 項目 ) 進捗情報 (29 項目 ) 31
ISO/IEC JTC1 SC22/WG23 ソフトウェア部品 ソースコード 署名 開発者 中間業者等と最終製品とのリンクが保障される オープンソース ソースコード ソフトウェア部品 実行コードデータ インターネット開発 配布形態の多様化 改ざんや悪意のある変更が行われていないことを確認 開発履歴の追跡 信頼性の検証 バージョン管理 その他の管理情報 アプリケーション 開発履歴の追跡 バージョン管理 Center 32
シミュレーションと検証を組み合わせたモデルベース開発 ( 引用 ) 広がるモデルベース開発の応用 (dspace ジャパン講演資料 ) より Center 33
開発プロセスでのトレーサビリティー支援ツール 2020 年の組込み開発を支えるトレーサビリティ技術 Traceability Plug-in EPM Plug-in 61508 Plug-in ALM(Application Lifecycle Management) 26262 Plug-in ETSS Plug-in ALM REST (Representational State Transfer) OSLC (Open Software Lifecycle Collaboration) REST OSLC OSLC TRA OSLC SPM OSLC SCM OSLC CM OSLC AM O-Data G-Data TERAS TRA TERAS EPM TERAS SCM TERAS CM TERAS ST TERAS O TERAS G Microsoft Office Google code Traceability Repository TERAS-TRA Empirical Project Monitor Repository IPA Version Control Repository Subversion Bug Tracking Repository Trac State Transition Model Repository ZIPC MS Office Google TERAS 提供予定オープン提供サードベンダー提供予定オープン / サードベンダー提供予定 ( 技術委員会 /WG でディスカッション中のシステム構成イメージ図 ) 3 Copyright 2011 一般社団法人 TERAS All Rights Reserved.
. まとめ 安全 は供給側から見た品質特性であり 安心 は利用者側の安全に対する信頼がもたらす心の平穏である IT 融合時代に入り各種システムの統合化が進展する中で 安全要求の実現はますます困難になっており 人海戦術と組織プレーだけでは対応は不可能になっている 開発プロセスでは全ライフサイクルでのトレーサビリティの確保と同時にセーフティケースの保管が重要となる これは国際規格への適合面でも第三者による監査の面でも必要となる IT 融合の果実として 安心 を得るためには これらトレーサビリティの確認を公正 容易かつローコストで可能とするソフトウェアダグとレポジトリは不可欠のインフラとなる 35 Copyright 2011 一般社団法人 TERAS All Center 35
統合システムに囲まれた安全 安心な未来のために ご清聴ありがとうございました 独立行政法人情報処理推進機構技術本部ソフトウェア エンジニアリング センター副所長立石譲二 ご質問は tateishi@ipa.go.jp まで ET2011 Center 36