S o f t w a r e R e l i a b i l i t y E n h an c e m e n t C e n t er Information-technology Promotion Agency, Japan つながる世界のセーフティ & セキュリティ設計の見える化 つながる

S o f t w a r e R e l i a b i l i t y E n h an c e m e n t C e n t er Information-technology Promotion Agency, Japan つながる世界のセーフティ & セキュリティ設計の見える化 つながる世界 での安心 安全の仕組み環境の整備に向けて 2014 年 11 月 19 日 独立行政法人情報処理推進機構技術本部ソフトウェア高信頼化センター ソフトウェアグループ 研究員ソフトウェアグループ 研究員 鈴木基史鈴木基史 1

サプライチェーン調査結果 ソフトウェア開発の取引構造 ( サプライチェーン ) の実態に関わる課題の調査報告書 https://www.ipa.go.jp/sec/reports/20140725.html 2

ソフトウェアサプライチェーンとは ここでの定義 ソフトウェアの開発から それがエンドユーザに使用され るまでの流通 その後の運用 保守 およびユーザが組合 せて利用するまでの それに関与する組織の活動 役割 情報 資源等を指すものとする ユーザの組み合わせ による新たな価値 運用 保守も含むライフ サイクル全体 ベーシックな サプライチェーン * 使用 企画 設計 検証 部品 事業者 半製品 組立て 物流 運用 ユーザ 組合せ 保守 廃棄 顧客 *ベーシックなサプライチェーン 個々の企業の役割分担にかかわらず 原料の段階から製品やサービスが消費者の手に届くまでの全プロセスの繋がり 3

サプライチェーンの主な変化と課題 ソフトウェア開発の水平分業化への変化 供給部品のソフトウェア仕様決定者の変化 製品 サービスをユーザが組合せて利用する形態への変化 垂直統合型水平分業型調達者仕様決定型供給者仕様決定型従来型ユーザ組合せ型 利用者 利用者 利用者 利用者 利用者 利用者 調達者 供給者 供給者 A 調達者 供給者供給者 B C 供給者 xx 調達者 供給者 ( 調達側仕様に合わせたソフトウェア ) 調達者 仕様決定ブラックボックス化 供給者 (OSS) 仕様決定通信 供給者仕様決定 ( クラウドサービス ) 一次提供者ソ製品ソ製フ フ品トウサト サェーウーアビェビスアス 相互に連携し 新たな機能を提供 ソ製フ品ト ウサェーアビス ソ製フ品ト ウサェーアビス 例 : 鉄道 クラウド等 課題 トレーサビリティ確保が重要であるが サプライチェーンが複雑になり 部品供給元トレースが困難になる 情報漏えい 不正プログラムの埋込みの危険性が増大する 例 : スマートフォン (Android OS) ( クラウド利用 ) ヘルスケア機器等 課題 調達者からの仕様決定や不具合修正の優先付け等の制御が利かなくなる 通信におけるセキュリティ問題発生リスクが増大する 例 : 課題 スマートハウス スマート家電 利用時の品質を出荷時にすべて想定し 検査することが困難になる 製品 サービスを提供する複数の企業の責任の所在が曖昧になる 利用者が連携時のリスクを十分に理解できていない 4

つながる世界の課題 すべての接続検証することは困難に 企業の責任の所在が曖昧に 利用者が連携時リスクを把握できない 5

異なる品質基準製品の連携時の課題 ユーザにはソフトの品質レベルは分からない セーフティレベル7 コマンド: 自動駐車 PARKING セーフティレベル5 コマンド: ヒータON 寒い システムの品質レベル 自動運転車 セーフティレベル: 0 コマンド 不可 ADAS + レベル高 = レベル高 + レベル低 レベル高 = レベル高 レベル低 6

サプライチェーン課題における取り組み 7

つながる世界 での安心 安全の仕組み環境の整備に向けて 課題 品質基準が異なる製品を接続する際 その全体品質が一番低い部分の品質に依存する課題 安全性 セキュリティ等 利用者が製品やサービスを組み合わせて利用する際 すべての接続品質の検証が困難という課題 目指す 世界 リスクのある連携動作に警告発生 環境の整備に向けた活動 異なる品質基準の製品間の制御可否判断 トラスト環境の整備 H26年度 セーフティ セキュリティ設計 の見える化 ソフトウェア相互の 信頼性確認の仕組み 8

設計品質の見える化の推進 H26年度 設計品質の見える化 セーフティ セキュリティ設計 の普及 促進 セーフティ セキュリティ設計 の品質の見える化 ガイドブック作成 品質向上のためのセーフティ セキュリティ設計の勧め 仮 2015年 プロモーション セミナー 雑誌 H27年度以降 ソフトウェア相互の信頼性確認の仕組み 見える化 警告発生 制御可否 セーフティ セキュリティ設計 9

設計品質の見える化と手法 10

なぜ設計品質の見える化をするのか 1 説明責任をはたすため 欧米では説明責任をはたすために 規格として求められるケースもある 2 ステークスフォルダーとの情報共有のため マネージャレベルでも アシュアランスケースから何が設計されているか 理解が可能 3 設計の再利用のため 何か設計 実装されているか容易に分かる 4 ソフトウェアの相互の信頼性確認のため つながる世界において ソフトウェアの相互の信頼性確認のための基礎 11

設計品質の見える化の実現ために 参考 : 松野 高井 山本 D-Case 入門 ~ ディペンダビリティ ケースを書いてみよう!~ アシュアランスケース あるシステム / サービスが 特定の要求を満足するとの主張を立証するために作られた 一連の監査可能な主張 議論 及び証拠 アシュアランス (Assurance: 保証 )+ ケース (Case: 論拠 ) 1988 年の北海油田事故 (167 名死亡 ) などを契機に 欧米で規格認証の際に義務付けられるまでに普及 OMG SACM 手順やチェックリスト等だけではなく なぜ安全性が保たれるか 明示された議論で エビデンスをもとに保証する 導入により北海油田における事故が減少 安全性を議論する場合はセーフティケース セキュリティを議論する場合はセキュリティケースと呼ばれる ( 歴史的にはセーフティケースが最初でそれが一般化された ) アシュアランスケース セーフティケース セキュリティケース 12

表記法 アシュアランスケースは通常 自然言語で記述以下はグラフィックな表記法 GSN(Goal Structuring Notation) イギリスヨーク大学 イギリス国防省 D-CASE 日本 DEOS(Dependable Embedded Operating Systems for Practical Use) プロジェクト ( 科学技術振興機構 (JST) の戦略的創造研究推進事業 CRESTの研究領域のひとつとして作られた ) CAE (Claim Argument Evidence) イギリス Adelard 社 City University London 13

GSN(Goal Structuring Notation) 保証のための構造化された議論の記述法 (T.Kelly らにより開発 ) - GSN Community Standard Ver.1.0 ゴール (Goal) 前提 (Context) 戦略 (Strategy) 根拠 (Evidence/Solution) 未展開記号 (Undeveloped entity) 保証したいこと 命題 ( 例 : システムは安全である ) ゴールはさらに詳細なゴール ( サブゴール ) に分解される システムの状態 環境などゴールを議論するときの前提等 ( 例 : リスク分析の結果得られたハザードのリスト ) ゴールをサブゴールに分けるときの考え方 ( 例 : 個別の障害ごとに議論する ) ゴールが成り立つことを最終的の保証するもの ( 例 : テスト結果 運用事例など ) ゴールを保障するための十分な議論又はエビデンスがない ( これはゴールやストラテジーにつけることができる ) 参考 : 松野 高井 山本 D-Case 入門 ~ ディペンダビリティ ケースを書いてみよう!~ 14

GSN の記述例 G1 システムは安全である ゴール (Goal) C1 システム仕様書 前提 (Context) 戦略 (Strategy) S1 ハザードがすべて回避されていることを保証する議論 C2 同定されたハザードハザード 1 ハザード 2 G2 ハザード 1 が回避されている サブゴール (Sub Goal) G3 ハザード 2 が回避されている この戦略に従い トップのゴールが下の 2 つのサゴールに分解される 根拠 (Evidence/Solution) Sn1 ハザード 1 の回避方法 Sn2 ハザード 2 の回避方法 15

今後の具体的活動 16

セーフティ セキュリティ設計普及と見える化の取り組み WG 名 : サプライチェーンにおける品質の見える化 WG 期間 :2014 年 9 月 ~2015 年 3 月 目的 : 設計品質の見える化のためのセーフティとセキュリティ設計の取組みとハザード 脅威事例を含めて分かり易く解説するガイドブックの作成とそのプロモーション メンバー : セーフティ or セキュリティの有識者 主査 : 情報セキュリティ大学院大学後藤教授 成果物 : ガイドブック 2014 年 2015 年 2Q 3Q 4Q 1Q 9 月 10 月 11 月 12 月 1 月 2 月 3 月 第 1 回第 2 回第 3 回 4 回 5 回 6 回 ガイドブック 17

ガイドブックとプロモーション << ガイドブックのイメージ >> 見える化手法 対象読者 セーフティ セーフティ セキュリティ設計 の品質の見える化 セキュリティ セーフティ セキュリティ設計 の普及 促進 PROMOTION = 普及 促進 IPA: INFORMATION-TECHNOLOGY PROMOTION AGENCY, JAPAN 18

Windows Server 2003 のサポート終了に伴う注意喚起 Windows Server 2003 のサポートが 2015 年 7 月 15 日に終了します サポート終了後は修正プログラムが提供されなくなり 脆弱性を悪用した攻撃が成功する可能性が高まります サポートが継続している OS への移行検討と OS 移行に伴う周辺ソフトウェアの影響調査や改修等について計画的に迅速な対応をお願いします 業務システム サービスの停止 破壊 重要な情報の漏えい データ消去 脆弱性を悪用した攻撃 脆弱性が未解決なサーバ ホームページの改ざん 他のシステムへの攻撃に悪用 会社の事業に悪影響を及ぼす被害を受ける可能性があります 詳しくは IPA win2003 検索 WindowsXP を利用されている方は サポートが継続している OS への移行検討をお願いします IPA XP 移行 検索 19

国家試験 日本の元 気をiパス で iパスは IT化された社会で働く すべての社会人が備えておくべき ITに関する基礎知識を証明する国 家試験です 公式キャラクター 上峰 亜衣 ｉパス 検索 20

Check! Catch! Search! Click! 2014 IPA, All Rights Reserved ET2014 21