Software Reliability Enhancement Center© 2015 IPA, All Rights Reserved

ETWest2015

2015年6月10日

独立行政法人情報処理推進機構（ＩＰＡ）

技術本部 ソフトウェア高信頼化センター（ＳＥＣ）

西尾 桂子

セーフティ＆セキュリティ設計とその見える化の推進～「つながる世界のセーフティ＆セキュリティ設計ガイド」の紹介～

2© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

「つながる世界」での安全・安心の仕組み環境の整備に向けて

仮説

リスクのある連携動作に警告発生 異なる品質基準の製品間の制御可否判断目指す世界【 】

品質の見える化

仕組み構築のための環境の提供

ソフトウェアの相互の信頼性の確認

警告発生・制御可否

トラスト環境の整備

•品質基準が異なる製品を接続する際、その全体品質が一番低い部分の品質に依存

•利用者が製品やサービスを組み合わせて利用する際、すべての接続品質の検証が困難

（安全性、セキュリティ等）

警告

クラウドサービス

3© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

ソフトウェア・サプライチェーン実態調査報告書

正式名： ソフトウェア開発の取引構造（サプライチェーン）の実態に関わる課題の調査報告書公開日： 2014年7月25日https://www.ipa.go.jp/sec/reports/20140725.html

【調査対象分野】市場規模が大きく、対策により得られる効果の大きい分野：自動車、クラウドサービス、スマートフォン世界的シェア及び日本の競争優位性が高く、日本の強みを生かすことができる分野：デジタル複合機安全性が求められる分野：ヘルスケア機器、サービスロボット、鉄道ネットワーク化により新たな産業の創出が期待される分野：スマート家電

【ソフトウェア・サプライチェーン定義】

ソフトウェアの開発から、それがエンドユーザに使用されるまでの流通、その後の運用・保守、およびユーザが組合せて利用するまでの、それに関与する組織の活動、役割、情報、資源等を指すものとする。

4© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

サプライチェーンの類型による整理

類型 説明 典型例

従来型※1

垂直統合型

調達者仕様決定型

資本関係にある企業グループ内で安定的な関係により開発（仕様策定、開発、製造、試験等）を行う。エンドユーザに近いサプライチェーンの下流からニーズに基づき調達者が主導で仕様を策定する。

自動車分野の系列取引

供給者仕様決定型※2

企業グループ内で、コア技術や先端技術を持つ子会社が、供給者主導で仕様を策定する。資本関係が強い場合、水平分業に移行せず垂直統合型を維持する場合がある。

（このケースは少ない）

水平分業型

調達者仕様決定型調達側が主体的に決めた仕様に基づいて、資本関係の有無に係らず固定化されない複数企業から発注先を決定する。

開発委託など

供給者仕様決定型製品の部品を提供する企業が仕様決定権を持ち、複数の調達先に供給する。調達者にとって部品の管理が希薄になる場合がある。

OSS, COTSなどのメジャー製品ベンダ

ユーザ組合せ型※1

（サービス連携型）複数の企業により提供される製品・サービスをユーザが自ら組合せて選択し、同時利用する。

スマートフォンアプリ、クラウドサービス連携など

※1：ユーザへの利用形態に焦点を当てた分類※2：表においては体系的な整理の軸として記載するが、少ないケースであるため、対象とする類型に含めない。

5© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

取引関係図

垂直統合型・調達者仕様決定型 水平分業型・調達者仕様決定型

水平分業型・供給者仕様決定型ユーザ組合せ型

①

②

③

品質確保に影響を与える要因：３つの変化

6© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

代表的類型パターン（スマート家電）

家電メーカグループ内ソフトウェアベンダ

外部ソフトウェアベンダ

部品メーカ

家電メーカ

OS

・ スマート家電製品・ スマートフォン用アプリ

開発委託

サービスプロバイダ サービス部品提供

セットメーカソフトウェアベンダ

アプリケーション開発

受託開発

機器部品提供

OSベンダ

ソフトウェア部品提供

受託開発

住宅設備機器メーカ

住宅設備機器

ツール提供調達

カスタマイズサービス提供

検証委託

検証サービス

組込みソフトサーバソフト

調達

部品組込みソフト

組込みソフトサーバソフト

開発委託

調達

ユーザ組合せ型

水平分業型（調達者仕様決定型）

垂直統合（調達者仕様決定型）

機器部品提供

利用者企業単位

（色枠）ポジション

取引関係

ソフトウェア種類等

凡例

水平分業型（供給者仕様決定型）

7© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

サプライチェーンの主な変化と課題

利用者

調達者

供給者

ソフトウェア開発の水平分業化への変化

例： 鉄道、クラウド 等

利用者

調達者

供給者Ａ

供給部品のソフトウェア仕様決定者の変化

例： スマートフォン（Android OS）、（クラウド利用）ヘルスケア機器等

製品・サービス

ソフトウェア

製品・サービス

ソフトウェア

製品・サービスをユーザが組合せて利用する形態への変化

例： スマートハウス、 スマート家電

利用者

相互に連携し、新たな機能を提供

【課題】

• トレーサビリティ確保が重要であるが、サプライチェーンが複雑になり、部品供給元トレースが困難になる。

• 情報漏えい、不正プログラムの埋込みの危険性が増大する。

【課題】

• 利用時の品質を出荷時にすべて想定し、検査することが困難になる。

• 製品・サービスを提供する複数の企業の責任の所在が曖昧になる。

• 利用者が連携時のリスクを十分に理解できていない。

供給者B

供給者C

供給者xx

利用者

調達者

供給者（調達側仕様に

合わせたソフトウェア）

利用者

調達者

供給者（OSS）

ブラックボックス化

供給者（クラウドサービス）

【課題】

• 調達者からの仕様決定や不具合修正の優先付け等の制御が利かなくなる。

• 通信におけるセキュリティ問題発生リスクが増大する。

一次提供者

垂直統合型 水平分業型 調達者仕様決定型 供給者仕様決定型 ユーザ組合せ型従来型

製品・サービス

ソフトウェア

製品・サービス

ソフトウェア

通信

利用者

仕様決定

仕様決定

仕様決定

8© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

接続先の信頼度をどう判定するのか

設計品質（セーフティ・セキュリティ）の見える化必要

クラウドシステム

自動運転の車ロボット

スマートフォン

仕様

仕様

仕様

仕様

セーフティ・セキュリティがどこまで作り込まれているか分からないと接続判定できない

9© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

セーフティ・セキュリティ設計、見える化とは

セーフティ設計とは、設計の段階で安全を作りこむことを意味しており、そのためのリスク分析とリスク低減を行うこと

セキュリティ設計とは、設計の段階で脆弱性の低減や脅威への対策を考慮に入れることを意味しており、そのためのリスク分析とリスク低減を行うこと

設計品質の見える化とは、対象システム（製品）の設計品質（セーフティやセキュリティ等）が設計において確保されていることを、エビデンスを使って論理的に第三者に分かるように説明を行うこと

ここでの定義

10© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

トヨタ製自動車の「意図しない急加速（UA）」

2009～2010年日本メーカ製自動車の「意図しない急加速」に関するクレームが急増

米国議会や米運輸省道路交通安全局(NHTSA)から報告を求められるもメーカ側は説明に苦慮

NHTSAは米国航空宇宙局(NASA)に脆弱性の有無の調査を要請

上記の結果ＮＡＳＡ が実施したこと

調査範囲

電子スロットル制御(Electronic Throttle Control)システムの設計及び/もしくは実装に実際に意図しない加速(Unintended Acceleration)を引き起こすことが予期できる脆弱性があるかないかを決定する。

UAを引き起こす可能性はあるか

通常の使用で実際に起こりうるか

実施した解析（いずれもツールを最大限活用）

実装コードの解析

ロジックの解析

モデルベースのテスト

実時間性の解析

結果

NASAの解析とテストでは、消費者が報告したような、大きなUAを引き起こすETCの不具合の証拠は見つからなかった。 出典：http://www.nhtsa.gov/PR/DOT-16-11

11© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

客観的・合理的な説明の必要性

日本企業は利用者の要望に個々に答え、高品質ブランドを構築 日本製ソフトウェアの品質は海外に比べて1桁以上高いとの調査報告あり

グローバル市場においては客観的・合理的な説明が求められる

客観的・合理的な説明が必要

製品自体の品質を事実に基づいて論理的に説明できなくてはならない

国際標準（ISO/IEC）等、世界的に合意されている基準類を用いた説明、または、それに準じた説明（規格適合、規格認証 等）

専門性のある第三者による説明（第三者確認、第三者証明 等）

信頼性の見える化 品質説明力強化利用者視点の 利用者への

高品質・高信頼の実現

ステークスフォルダ・利用環境を含めた（システムズエンジニアリング的に捉えた）

これまで

しかしながら

12© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

アンケート調査結果セーフティ・セキュリティ設計の見える化推進のための

【調査対象分野】自動車、スマートフォン、ヘルスケア、スマート家電 【調査目的】• セーフティ設計、セキュリティ設計の分野別の実施状況の把握• 実際に使われているセーフティ設計、セキュリティ設計手法の把握• 実際に使われている設計品質の見える化の手法の把握• アシュアランスケースの活用事例収集

セーフティ・セキュリティの重要要件を現場で判断する基本方針がなく、重大な事件・事故につながる仕様の判断が経営的関与なく現場でされている

結果の詳細はプレゼン時のみ

13© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

セーフティ・セキュリティ設計普及と見える化の取り組み

WG名： サプライチェーンにおける品質の見える化WG

期間： 2014年9月～2015年５月

目的：設計品質の見える化のためのセーフティとセキュリティ設計の取組みとハザード・脅威事例を含めて分かり易く解説するガイドブックの作成とそのプロモーション

メンバー： セーフティ or セキュリティの有識者

主査： 情報セキュリティ大学院大学 後藤教授

成果物： ガイドブック

14© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

サプライチェーンにおける品質の見える化WG委員

氏名 所属 Safety Security提供利用 補足

主査 後藤 厚宏情報セキュリティ大学院大学

〇 提供

委員 田口 研治認証工学WG、産総研

〇 〇 提供 アシュアランスケース,GSN専門家

〃 櫛引 豪 JQA 〇 利用 認証機関

〃 金田 光範 JASA、産技研 〇 提供 機能安全

〃 小林 展英 デンソークリエイト 〇 利用 D-Case適用企業,想定利用者(自動車)

〃 梅田 浩貴 JAXA 〇提供利用

GSN適用団体,想定利用者(IV&V)

〃 林 彦博 パナソニック 〇 利用 セキュリティ、想定利用者

〃 麻薙 年男 東芝情報システム 〇 利用 想定利用者(医療、エネルギー)

〃 森川 聡久 ヴィッツ 〇 〇 利用 想定利用者(組み込み系)

〃 奥原 雅之 富士通 〇 利用 想定利用者(エンタープライズ系)

IPA 中野 学IPAセキュリティセンター 〇 提供 オブザーバ

IPA 鈴木 基史 IPA SEC 事務局

IPA 西尾 桂子 IPA SEC 事務局

IPA 宮原 真次 IPA SEC 事務局

15© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

ガイドブックの構成案

現状と背景(1章)

事故事例(2章)

リスク対応した開発プロセス(3章)

セーフティ開発(4章) セキュリティ開発(5章)

設計品質の見える化(6章)

経営者層、品質説明責任者にも読んで頂きた

い内容

ソフトウエア開発者向けの入門レベルの

内容

対象読者

リーダー

組み込み系のソフトウェア技術者

「セーフティ＆セキュリティ設計」は、製品開発の根幹に係り、つながる世界では更に重要になる。その重要性を認識してもらうために、本ガイドブックの読者は組込み系のソフトウェア技術者や、品質の説明責任を持つリーダー層（経営層）を対象とする。

← 品質説明責任者（経営層）

←実装責任者

普及のための

ガイドブック

16© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

ガイドブック 内容紹介

プレゼン時のみ

17© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

S&S見える化セミナー予定

項目 第1四半期 第2四半期 第3四半期 第4四半期

S&S見える化

ガイドブック

▲ET-WEST

▲ET

品質の見える化ＷＧ

公開準備 ガイドブック発行予定

Ｓ＆Ｓ見える化 普及活動

第1回S&S見える化セミナー 第2回S&S見える化セミナー

第3回S&S見える化セミナー

連携セミナー 連携セミナー時間 コンテンツ

9:30-10:00 受付

10:00-12:00 セーフティ設計 講義/演習

12:00-13:00 昼食休憩

13:00-14:00 セーフティ設計 講義/演習

14:00-14:15 休憩

14:15-15:45 見える化（セーフティケース） 講義/演習

15:45-16:00 休憩

16:00-17:30 見える化（セーフティケース） 講義/演習

セーフティ設計見える化コース（７月）

18© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

Windows Server 2003のサポートが、2015年7月15日に終了します。サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が成功する可能性が高まります。

サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの影響調査や改修等について計画的に迅速な対応をお願いします。

会社の事業に悪影響を及ぼす被害を受ける可能性があります

IPA win2003 検索詳しくは

またWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします

脆弱性が未解決なサーバ

脆弱性を悪用した攻撃

ホームページの改ざん

重要な情報の漏えい

他のシステムへの攻撃に悪用

業務システム・サービスの停止・破壊

データ消去

Windows Server 2003のサポート終了に伴う注意喚起

19© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

「ｉパス」は、ITを利活用するすべての社会人・学生が備えておくべきITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター上峰亜衣（うえみねあい）

【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html

20© 2015 IPA, All Rights Reserved Software Reliability Enhancement Center

Check！Catch！

Search！

Click！