アシュアランスケースの概要 2016年1月19日 独立行政法人 情報処理推進機構 技術本部 ソフトウェア高信頼化センター ソフトウェアグループ 研究員 鈴木基史 ソフトウェアグループ 研究員 佐々木方規 1
アジェンダ アシュアランスケースとは アシュアランスケースの必要性 論理の基礎 アシュアランスケースの表記法 GSN を例とした記法の説明 アシュアランスケースの利用 つながる世界での応用 3
アシュアランスケースとは 4
セーフティケースの歴史 1988年の北海油田Piper Alphaにおける爆発事故で167名死亡 従来 システムの安全性確認をチェックリスト項目を認証者が判定 課題 なぜチェックリスト項目を満たすとシステムが安全であるか 明示的な議論 が行われることが少なかった 改善点 チェックリスト項目の手順やテストだけでなく なぜそれらの手順やテスト で システムの安全性が保たれるのか 明示された議論で証拠(エビデンス) をもとにした議論が重要 北海油田事故の調査報告書 Safety Case (Cullen 卿) 導入により北海油田における事故が減少 欧米で規格認証の際に義務付けられるまでに普及 5
アシュアランスケースとは セーフティケースとは テスト結果や検証結果をエビデンスと してそれらを根拠にシステムの安全性を議論し システム認証 者や利用者などに保証する あるいは確信させる(assure)ため のドキュメント 安全性 セキュリティ ディペンダビリティ セーフティケース セキュリティケース ディペンダビリティケース ケース 総称 アシュアランスケース ISO/IEC 15026 Systems and software engineering Systems and software assurance アシュアランス Assurance:保証 + ケース Case:論拠 6
アシュアランスケースの必要性 7
食品の異物混入事件 記者会見で 事件後も通常通り生産 販売する ことが説明された後 記者から何故 工場を停止してチェックする必 要が無いのか問われたが 説明できなかった Context: C_1 事故後の記者会見 説明 Goal: G_1 生産 販売される食 品は安全である 生産 販売される食品の安全性説明が必要 第三者が分かる説明が必要 論理と証拠が必要 今後も異物混入は続くかもしれない 絶対安全はありえない (例 異物混入があっても すぐに原因を特定して 問題を取り除くプロセスがあることを主張 Undeveloped: U_1 Strategy: S_1 Goal: G_2 Evidence: E_1 Goal: G_3 Evidence: E_2 8
日本メーカ製自動車の 意図しない急加速 UA 2009 2010年 日本メーカ製自動車の 意図しない急加速 に関するクレームが急増 米国議会や米運輸省道路交通安全局(NHTSA)から報告を求められるもメー カ側は説明に苦慮 NHTSAは米国航空宇宙局(NASA)に脆弱性の有無の調査を要請 上記の結果NASA が実施したこと 調査範囲 電子スロットル制御(Electronic Throttle Control)システムの設計及び/もしくは実装に実際に意図しな い加速(Unintended Acceleration)を引き起こすことが予期できる脆弱性があるかないかを決定する UAを引き起こす可能性はあるか 通常の使用で実際に起こりうるか 実施した解析 いずれもツールを最大限活用 実装コードの解析 ロジックの解析 モデルベースのテスト 実時間性の解析 結果 NASAの解析とテストでは 消費者が報告したような 大きなUAを引き起こすETCの不具合の 証拠は見つからなかった 9
客観的 合理的な説明の必要性 これまでの日本企業は 利用者の要望に個々に答えることで 高品質というブランド力を築いてきた 実際 日本製のソフトウェアの品質は海外に比べて1桁以上高いとの調 査報告もある しかしながら グローバル市場においては客観的 合理的な 説明が求められる 客観的 合理的な説明が必要 製品自体の品質を事実に基づいて論理的に説明できなくてはならない 国際標準 ISO/IEC 等 世界的に合意されている基準類を用いた説明 または それに準じた説明 規格適合 規格認証 等 専門性のある第三者による説明 第三者確認 第三者証明 等 10
論理の基礎 11
議論とは 辞書から Discuss / Argue / Debate /Dispute/Controvert Discuss: ある問題をあらゆる角度から論じる Argue: 自分の考えを主張し相手の説を論駁(ろんばく)するために理由 証拠をあげて議論する Debate: は公の問題を賛成 反対に分かれて公開の席上で公式に討論する Dispute: (一時的に感情的になって 論争する Controvert: (意見の相違の大きい問題などの長期にわたる 特に書きも のなどによる 論争 哲学 議論学 安全工学 Argumentation theory セーフティケース 人工知能 12
論理の基礎 スティーヴン トゥールミン スティーヴン トゥールミン (Stephen Edelston Toulmin, 1922年3月25日 - 2009年12月4日) イギリス生まれの哲学者 専門は 科学哲学 ロンドン生まれ 1942年 ロンドン大学キングス カレッジ卒業後 ケン ブリッジ大学で博士号取得 オックスフォード大学講師 リーズ大学教授 1965年に渡米 69年帰化 南カリフォルニア大学教授 特筆すべき観念 The Toulmin Model トゥールミンモデル The Toulmin method トゥールミン法 Good reasons approach http://en.wikipedia.org/wiki/stephen_toulmin 13
トゥールミン ロジックの基礎 論理の基本 主張 C論理 論理として構築されるひとつの主張 基礎 Data 基礎 D論理 論理の根拠となる 状態 事実など 最初に呈示される説明情報 主張 Claim 根拠 W論理 クレームの根拠としてデータが利用 可能であることを正当化する情報 根拠 Warrant ディベートで超論理思考を手に入れる ISBN 978-4-904209-13-4 著者 苫米地英人 脳機能学者/カーネギーメロン大学博士 14
トゥールミンの三角ロジック 1 窓を開けた方がいい 主張 Claim 根拠 Warrant 窓を開ければ室温が下がり 快適になる 基礎 Data 室温が30度だ トゥールミンの三角ロジック 早稲田大学人間科学学術院 向後千春 http://kogolearn.wordpress.com/ 15
トゥールミンの三角ロジック 2 反駁(はんばく : Rebuttal 窓を開けた方がいい トゥールミンの三角ロジックが成り立っている場合 主張は反駁できない 主張 Claim 根拠 Warrant 窓を開ければ室温が下がり 快適になる 基礎 Data 外の方が気温が高ければ 温度は下がらない 反駁 Rebuttal 室温が30度だ 温度計が狂っている トゥールミンの三角ロジック 反駁 Rebuttal 早稲田大学人間科学学術院 向後千春 http://kogolearn.wordpress.com/ 16
トゥールミンの三角ロジック 3 質疑: Question 窓を開けた方がいい トゥールミンの三角ロジックが成り立っている場合 主張は反駁できない 主張 Claim 根拠 Warrant 窓を開ければ室温が下がり 快適になる 基礎 Data なぜ窓を開けると 室温が下がるのか 質疑 Question 室温が30度だ なぜ30度だとわかるのか 質疑 Question トゥールミンの三角ロジック 早稲田大学人間科学学術院 向後千春 http://kogolearn.wordpress.com/ 17
トゥールミンの三角ロジック 4 反論: Counter argument 窓を閉めた方がいい 主張 Claim 新たな三角ロジックを立てる 根拠 Warrant クーラを入れれば 室温が下がり 快適になる 基礎 Data 室温が30度だ トゥールミンの三角ロジック 早稲田大学人間科学学術院 向後千春 http://kogolearn.wordpress.com/ 18
トゥールミン モデル 論理を支える構造 クレーム C論理 論理として構築されるひとつの主張 データ Data クレーム Claim データ D論理 論理の根拠となる 状態 事実など 最初に呈示される説明情報 ワラント W論理 クレームの根拠としてデータが利用 可能であることを正当化する情報 ワラント Warrant バッキング Backing リザベーション Reservation クゥオリフィアー Qualifier ディベートで超論理思考を手に入れる ISBN 978-4-904209-13-4 著者 苫米地英人 脳機能学者/カーネギーメロン大学博士 バッキング B論理 ワラントが正しいことを支持する証 拠 証言 統計 価値判断 信憑性 などの情報 クゥオリフィアー Q論理 クレームの相対的強度の定性的な表 現 また 可能であれば90 などの 定量的な表現 リザベーション R論理 クレームに対する例外を主張する論 理 19
アシュアランスケースの表記法 20
表記法 アシュアランスケースは通常 自然言語で記述 トゥールミン Toulmin モデル Stephen Edelston Toulmin, 1922年3月25日 - 2009年12月4日 イギリス生まれの哲学者(専門は科学哲学) グラフィックな表記法 GSN Goal Structuring Notation イギリス ヨーク大学 イギリス国防省 D-CASE 日本 DEOS Dependable Embedded Operating Systems for Practical Use プロジェクト 科学技術振興機構 JST の戦略的創造研究推進事業CRESTの研究領域のひとつとして作られた CAE (Claim Argument Evidence) イギリス Adelard社 City University London 21
GSN Goal Structuring Notation 保証のための構造化された議論の記述法(T.Kellyらにより開発 - GSN Community Standard Ver.1.0 ゴール Goal 保証したいこと 命題 例 システムは安全である ゴールはさらに詳細なゴール サブゴール に分解される 前提 Context) システムの状態 環境などゴールを議論するときの前提等 例 リスク分析の結果得られたハザードのリスト 戦略 Strategy ゴールをサブゴールに分けるときの考え方 例 個別の障害ごとに議論する ソリューション Solution ゴールが成り立つことを最終的の保証するもの 例 テスト結果 運用事例など 未展開記号 Undeveloped entity ゴールを保障するための十分な議論又はエビデンスがない これはゴールやストラテジーにつけることができる 参考 松野 高井 山本 D-Case入門 ディペンダビリティ ケースを書いてみよう 22
GSNの記述例 前提 Context) ゴール Goal C1 システム仕様書 G1 システムは安全である 戦略 Strategy S1 ハザードがすべて回避されているこ とを保証する議論 C2 同定されたハザード ハザード1 ハザード2 サブゴール Sub Goal G2 ハザード1が回避されている G3 ハザード2が回避されている 根拠 Solution Sn1 ハザード1の回 避方法 Sn2 ハザード2の回 避方法 23
D-Case D-CaseはGSNを使って表記します 主に右表のノードにより構成されます このうち モニタと外部接続はDCaseのGSN からの拡張です 名称 ノード ゴール システムは ディペンダブル である 対象システムに対して 議論すべき命題 ハザードごと に議論する ゴールが満たされることを サブゴールに分 割して詳細化するときの議論の仕方 戦略 前提 エビデンス ハザード リスト テスト 結果 外部接続 ゴールや戦略を議論するとき その前提とな る情報 詳細化されたゴールを最終的に保障するもの ゴールを保障するための十分な議論もしくは エビデンスがない 未達成 モニタ 解説 システム ログ 運転中のシステムより取得可能なエビデンス 他のシステムのD-Caseへのリンク DEOSプロジェクト研究成果集 P41, 図4-5: D-Caseの例 http://www.jst.go.jp/crest/crest-os/osddeos/data/deos-fy2013-ss-01j.pdf 24
CAE (Claims, Arguments and Evidence) クレーム (Claim) サポート 議論 (Argument) サブクレーム (Subclaim) 証拠 (Evidence) サブクレーム (Subclaim) クレーム 正しい又は誤りであ ると評価することが できる議論の中での 主張 それぞれのクレームは いくつかの サブクレーム 議論 又は証拠でサ ポートされる サブクレームは付加的な文脈に関係 する資料 例えば使用される用語や 範囲の説明 を含んでいるかもしれ ない 議論 クレームを支持して 提示する議論アプ ローチの記述 この要素はオプションであるが 多 くの場合 親クレームを満足するた めのアプローチの説明を含めると良 い もしクレームをサポートするアプ ローチが 対象とする読者によって 良く理解されているか 単純であれ ば 単にサポートするクレームから 直接リンクすることが許容される 証拠 クレーム又は議論を 支持して提示される 証拠への参照 通常 証拠ノードは要約され そし て証拠を含む関連する外部レポート へリンクします http://www.adelard.com/asce/choosing-asce/cae.html 25
アシュアランスケースの国際標準化 国際標準化の活動の中心 OMG (Object Management Group) UML, CORBA System Assurance Platform Task Force (SysA PTF) ARM (Argumentation Metamodel) FTF beta 統合 SACM (Structured Assurance Case Metamodel) (2012年6月) SAEM (Software Assurance Evidence Metamodel) FTF beta GSNとCAEを統合したメタモデル http://www.omg.org/spec/sacm/1.1/pdf/ 26
GSN を例とした記法の説明 27
GSNの規格 GSNの仕様は GSNワーキング グループの以下のWebサイトから入手可能 Goal Structuring Notation The GSN Working Group Online http://www.goalstructuringnotation.info/documents/gsn_standard.pdf GSN COMMUNITY STANDARD VERSION1 November 2011 以下 GSN CS V1 28
TIM KELLY S HOME PAGES TIM KELLY氏 イギリス ヨーク大学 コンピュータ サイエンス学部 高信頼性システム 教授 高信頼性システム エンジニアリング研究グループ ジョイントリーダ Arguing Safety: A Systematic Approach to Managing Safety Cases 安全を議論する セーフティ ケースを管理するための体系的アプローチ 29
D-Case Editor D-Case Editorは型チェック機能などを持つ アシュアランスケースのエディター Eclipseのプラグインで Eclipse GMFを使って実装 主な機能 アシュアランスケースの表記法であるGSN ( Goal Structuring Notation ) をサポート GSNパターンライブラリ 基礎的な変数型チェック機能 D-Caseの整合性検査 対象システムのモニタリング機能 スクリーンショット http://www.jst.go.jp/crest/crest-os/tech/d-caseeditor/index.html 30
Eclipse (統合開発環境) Eclipse イクリプス または エクリプス は IBMによって開発された 統合開発環境 (IDE) の一つ 高機能ながらオープンソース であり Javaをはじめとする いくつかの言語に対応する Eclipse自体はJavaで記述され ている http://ja.wikipedia.org/wiki/eclipse_(%e7%b5%b1%e5%90%88%e9%96%8b%e7%99%ba%e7%92%b0%e5%a2%83) 31
D-Case Editorのインストール 1. Java VMをダウンロードしてインストール https://java.com/ja/download/ 2. D-Case Editorパッケージ版ダウンロード *1 http://www.jst.go.jp/crest/crest-os/tech/d-caseeditor/download_files/eclipsewin32.zip 3. eclipsewin32.zipを解凍 4. 解凍済みフォルダーにあるeclipse.exeを起動 5. 起動時ウインドウ Workspace Launcher の Workspace: に解凍 フォルダーの下にある[workspace を指定する * 1. パッケージ版にはEclipseにすでにD-Case Editorのプラグインが組み込み済み またサンプルのWorkspaceも入っているので それを指定すればすぐに利用可能 32
より簡単にGSNを書いてみたい人へ D-Case Stencil - PowerPoint Add-in for D-Case がお勧め 簡単にインストールして PowerPointが使える人なら誰でも使える 作ったデータもDcase Editorに取り込みができる http://www.jst.go.jp/crest/crest-os/tech/d-casestencil/index.html インストールマニュアルはここ 操作マニュアルもあります ダウンロードはここから 33
D-Case Stencil - PowerPoint Add-in for D-Case インストール後 D-Caseタブを選択 ノード 追加されるメニュー インストールするとD-CASE タブが追加される D-CASE Editorへの取り込みも サポートされている 34
GSNノード ゴール ID, ツールにより自動で設定される Goal: G_1 システムは安全である 保証したいこと 主張 例 システムは安全である ゴールはさらに詳細なゴール サブゴール に分解される 主張 35
GSNノード ソリューション Evidence: E_1 ハザード *11の 回避方法 ゴールが成り立つことを最終的の保証するもの 例 テスト結果 運用事例など D-Caseではエビデンス 根拠 GSN CS V1はソリューション(ID: Sn1, Sn2 ) 証跡 アイテム *1 危害要因のこと リスクの原因とその属性のことを意味する 36
GSNノードのつなげ方1 支援リンク Goal: G_1 ハザード1が回避さ れている Evidence: E_1 ハザード1の回避 方法 支援リンク(SupportedBy) 矢印の方向に注意 この構造はソリューションで 示される証跡がゴールに記載 される主張が正しいことを示 している 黒矢印 37
GSNノード 戦略 Goal: G_1 システムは安全である ゴール(G_1)をサブゴール(G_2, G_3)に分けると きの考え方 例 ハザード がすべて回避されていることを保証する議論 Strategy: S_1 ハザードがすべて回 避されていることを 保証する議論 Goal: G_2 ハザード1が回避 されている Goal: G_3 ハザード2が回避され ている この戦略に従い トップのゴールが下の2 つのサブゴールに分解される ここでは ハザード分析をした結果を用い て 各ハザード毎にその安全性を保証する 議論を構築する戦略である Evidence: E_1 ハザード1の回避 方法 38
GSNノード 前提 Goal: G_1 システムは安全である システムの状態 環境などゴールを議論するとき の前提等 例 リスク分析の結果得られたハザードのリスト Strategy: S_1 ハザードがすべて回 避されていることを 保証する議論 Goal: G_2 ハザード1が回避 されている Evidence: E_1 ハザード1の回避 方法 Context: C_1 同定されたハザード ハザード1 ハザード2 Goal: G_3 ハザード2が回避され ている 戦略での使われ方 説明に関連する付加情報の宣言 使用される言葉の定義や説明 ゴールでの使われ方 主張の範囲の定義 制約 主張と関連した補足説明 ゴールとコンテキスト間に矛盾がないように注意 39
GSNノードのつなげ方2 前提リンク Goal: G_1 システムは安全である 前提リンクは 白矢印で表し 文脈的関係性を説明 Strategy: S_1 ハザードがすべて回 避されていることを 保証する議論 Goal: G_2 ハザード1が回避 されている Evidence: E_1 ハザード1の回避 方法 Context: C_1 同定されたハザード *2ハザード1 ハザード2 Goal: G_3 ハザード2が回避され ている 前提リンク(InContextOf) GSNでは白矢印 2 同定 どうてい とは ある対象について そのものにかかわ る既存の分類のなかからそれの帰属先をさがす行為 リスクの性質等を考慮しながら絞り込んでいくことを意味する 40
未展開記号 Goal: G_1 システムは安全である Strategy: S_1 ハザードがすべて回 避されていることを 保証する議論 Goal: G_2 ハザード1が回避 されている Context: C_1 同定されたハザード *2ハザード1 ハザード2 Goal: G_3 ハザード2が回避され ている Undeveloped: U_1 Evidence: E_1 ハザード1の回避 方法 ゴールを保障するための十分な議論又はエビデンスがない これはゴールやストラテジーにつけることができる 41
ゴールをサブゴールに分解する GSNは 保証したいこと ゴール を複数のサブゴールに分割することによ り詳細化し 詳細化されたサブゴール毎にそのサブゴールが成り立つことを 示す根拠により保証することにより 最初のゴールを保証するものである つまり ゴールをどのようにサブゴールに分 割するかが非常に重要である Goal: G_1 ゴール ゴールをどのようにサブゴールに分割するか を示すのが戦略であり ここに議論が存在 Strategy: S_1 戦略 Goal: G_2 サブゴール Goal: G_3 サブゴール ゴール分解に 議論分解パターン を利用 42
議論分解パターン 項番 分解パターン 説明 1 アーキテクチャ分解 (architecture) システム構成に従って分解 2 機能分解 (functional) 主張を機能構成に従って分解 3 属性分解 (set of attributes) 特性を複数の属性に分解 4 帰納分解(infinite set) 帰納法による分解 N=1の時主張が成立 N=Kの時出張が成立ならN K 1でも主張が成立 5 完全分解 (complete) 説明対象のすべての要素による分解 6 単調分解 (monotonic) 新システムによる旧システムの改善点による分解 7 修正分解 (concretion) 曖昧性の明確化による分解 8 プロセス分解 プロセスの入力 処理 出力に対して主張を分解 9 プロセス関係分解 プロセス先行後続関係に基づいて主張を分解 10 階層分解 対象の階層構成に基づいて 主張を分解 11 DFD分解 DFDの階層構成に基づいて 主張を分解 12 ビュウ分解 UMLのビュウ構成に基づいて 主張を分解 13 ユースケース分解 ユースケースに基づいて 主張を分解 14 要求記述分解 要求の記述項目に対して 主張を分解 15 状態遷移分解 状態遷移に対して 主張を分解 16 運用要求記述分解 運用要求定義票に基づき 主張を分解 17 シーケンス分解 シーケンス図に基づいて 出張を分解 18 ビジネスプロセス分解 ビジネスプロセスモデル記法に基づき主張を分解 Safety and Assurance Cases: Past, Present and Possible Future an Adelard Perspective, Robin Bloomfield and Peter Bishop http://www.scsc.org.uk/pubs/2010%20bloomfield.pdf ( )はBloomfieldのMain types 議論パターンポケットガイド アルファ版 P32 対象分解パターン 参照 43
議論分解パターン例 属性分解 Context: C_1 ディペンダブル属性 可用性 安全性 信頼性 保守性 一貫性 Goal: G_1 システムは ディペンダブルである Strategy: S_1 属性ごとに議論 Goal: G_2 システムは可用性 を持つ Goal: G_3 システムは安全性 を持つ Goal: G_4 システムは信頼性 を持つ Goal: G_5 システムは保守性 を持つ Goal: G_5 システムは一貫性 を持つ 実践D-Case ディペンダビリティケースを活用しよう P67 44
GSNの実際の記述例 既製システムをISO26262に適合させる場合のセーフティケースの利用とその評価 実施報告書 2013年2月 IPA 実験のためのモデルシステム 対象 自動車用ドアロックシステム 構造や制御の仕組みが比較的シンプルであり自動車に対する専門知識が無くても理解し易い ライフサイクル 概要設計 システム設計 ハザード分析 リスク評価技法 FMEA Failure Mode and Effects Analysis FTA Fault Tree Analysis http://www.ipa.go.jp/files/000026856.pdf 45
アシュアランスケースの利用 46
正統派と非正統派 アシュアランスケース利用には 正統派と非正統派がある 正統派 認証規格に利用 非正統派 認証規格の利用以外の広い応用範囲への利用 47
アシュアランスケースと認証規格 Safety Caseの作成 提出を義務付けている規格 Yellow Book: 鉄道システムの改変時の安全管理 EUROCONTROL: 安全で機能的な航空管制管理 ISO26262: 自動車の電気 電子システムの機能安全規格 Def-Stan 00-56: 英国防衛省策定の防衛システムの安全管理 US. Food and Drug Administration (FDA) Infusion Pump Improvement Initiative: 点滴ポンプなどの医療器具の病院導入時 今後はセーフティだけでなく セキュリティ等 にも広がる可能性大 CC-Case: file:///e:/download/ipsjcss2013066.pdf http://lab.iisec.ac.jp/degrees/d/theses/iisec_d24_thesis.pdf http://hceme.blog84.fc2.com/blog-entry-2234.html 48
どのような利用があるのか ① 説明責任をはたすため 欧米では説明責任をはたすために 規格として求められるケースもある ② ステークスフォルダーとの情報共有のため マネージャレベルでも アシュアランスケースから何が設計されているか 理解が可能 ③ 設計の再利用のため 何か設計 実装されているか容易に分かる ④ ソフトウェアの相互の信頼性確認のため つながる世界において ソフトウェアの相互の信頼性確認のための基礎 ETロボコンへの応用例 富士ゼロックス 株 伊東敦 http://www.jst.go.jp/crest/crest-os/osddeos/event/201211/et2012c805.pdf 計画立案時の事例 株 デンソークリエイト 小林 展英 http://www.jst.go.jp/crest/crest-os/osddeos/event/201402/deos_13.pdf シミュレーションへの適用例 三菱電機 株 森 素子 http://deos.or.jp/event/files/et2014presentation_mitsubishielectric.pdf 49
より詳しく学習するために 書籍教材 D-Case入門 ディペンダビリティ ケースを書いてみよう 松野裕 高井利憲 山本修一郎 発行所 株式会社ダイテックホールディング http://www.dimensions-japan.org/dcase/pdf/dcaseintro.pdf 実践D-Case ディペンダビリティケースを活用しよう 松野裕 山本修一郎 2013年3月25日発行 ISBN 978-4-86293-091-0 基礎編 5 アシュアランスケース概論 6 D-Case作法 応用編 7 D-Case演習 8 議論分解パターン 9 D-Case Editorの使い方 3 D-Case/GSNの基礎 4 D-Case作成法 5 議論分解パターン http://www.dimensions-japan.org/dcase/pdf/jissendcase.pdf ビデオ教材 GSN解説(1) - GSN (Goal Structuring Notation)とは何か 名古屋大学 山本修一郎教授 (2:58) https://www.youtube.com/watch?v=cv8oj4mcmwm GSN解説(2) - GSNの基礎とその構成要素 名古屋大学 山本修一郎教授 (2:32) https://www.youtube.com/watch?v=0ooxmxrnzs0 アシュランス セイフティーケース概論 歴史的背景と制度 産総研 https://www.youtube.com/watch?v=vedmkvmcbeg 田口研治 招聘研究員(4:54) GSN記法チュートリアル 書き方のコツ 産総研 相馬 研究員(2:40) https://www.youtube.com/watch?v=s32klhbt96c 50
より詳しく学習するために セミナー報告書 SEC高信頼化技術適用事例セミナー D-Caseの適用事例に学ぶ 合意形成と説明責任 D-Caseで高信頼性をどのように保証するか D-Case活用の基本パターン IPA/SEC 連携委員 国立大学法人名古屋大学 情報連携統括本部 情報戦略室 教授 山本 修一郎 氏 http://sec.ipa.go.jp/users/seminar/seminar_tokyo_20150717-01.pdf D-Caseを用いたゴール共有による開発プロセスの適用 ETロボコンでの試行と成果 富士ゼロックス株式会社 コントローラ開発本部 コントローラプラットフォーム第二開発部 マネージャー 土樋 祐希 氏 http://sec.ipa.go.jp/users/seminar/seminar_tokyo_20150717-02.pdf D-Caseで開発成果の品質をどのように説明するか ソフトウェア開発現場におけるD-Case活用事例 株式会社デンソークリエイト プロジェクトセンター シニアデスク 小林 展英 氏 http://sec.ipa.go.jp/users/seminar/seminar_tokyo_20150717-03.pdf http://sec.ipa.go.jp/seminar/20150717.html 51
より詳しく学習するために セミナー報告書 SEC高信頼化技術適用事例セミナー D-Caseの適用事例に学ぶ 合意形成と説明責任 第三者検証における保証の見える化 独立検証及び妥当性確認 IV&V における事例紹介 国立研究開発法人宇宙航空研究開発機構 研究開発部門 第三研究ユニット 研究員 神戸 大輔 氏 http://sec.ipa.go.jp/users/seminar/seminar_tokyo_20150717-04.pdf D-Case実用化へ向けた活動の動向について 日本の安全 安心を世界で共有するために 一般社団法人ディペンダビリティ技術推進協会 DEOS DEOSプロジェクト http://deos.or.jp/consortium-guidance/index-j.html D-Caseの実用化へ向けた標準化 認証制度 https://www.ipa.go.jp/sec/info/21050617.html D-Case部会主査 日本大学理工学部 応用情報工学科 准教授 松野 裕 氏 http://sec.ipa.go.jp/users/seminar/seminar_tokyo_20150717-05.pdf http://sec.ipa.go.jp/seminar/20150717.html 52
つながる世界での応用 53
つながる世界 での安心 安全の仕組み環境の整備に向けて 課題 品質基準が異なる製品を接続する際 その全体品質が一番低い部分の品質に依存する課題 安全性 セキュリティ等 利用者が製品やサービスを組み合わせて利用する際 すべての接続品質の検証が困難という課題 目指す 世界 リスクのある連携動作に警告発生 環境の整備に向けた活動 異なる品質基準の製品間の制御可否判断 トラスト環境の整備 H26年度 セーフティ セキュリティ設計 の見える化 ソフトウェア相互の 信頼性確認の仕組み 54
設計品質の見える化の推進 H26年度 設計品質の見える化 セーフティ セキュリティ設計 の普及 促進 セーフティ セキュリティ設計 の品質の見える化 ガイドブック作成 品質向上のためのセーフティ セキュリティ設計の勧め 2015年 プロモーション セミナー 雑誌 H27年度以降 ソフトウェア相互の信頼性確認の仕組み 見える化 アシュアランスケース WOCS2 13th(3日目 1/21 15:40 16:30 招待講演 つながる世界 IoT時代 の天使と悪魔 警告発生 制御可否 中尾セーフティ セキュリティ設計 昌善 氏 独立行政法人情報処理推進機構 ソフトウェア高信頼化センター 55
Check Catch Search Click 56