事例紹介: - IPA · • 内容:sysmlを用いたstamp記述支援の事例紹介 •...
Transcript of 事例紹介: - IPA · • 内容:sysmlを用いたstamp記述支援の事例紹介 •...
All rights reserved, Copyright © IPA 2015
事例紹介:SysMLを用いたSTAMP記述支援
ET2015 IPAブースプレゼン@パシフィコ横浜
2015年11月20日
仙台高等専門学校
岡本圭史
All rights reserved, Copyright © IPA 2015
はじめに
2
All rights reserved, Copyright © IPA 2015
背景
• システム安全性解析手法WG
– 動機:大規模で複雑な組込みシステムに対する安全性解析手法へのニーズ
– 活動内容:システム安全性解析手法について調査・検討
– 手法:システム理論に基づく事故モデル(STAMP)およびその安全解析手法(STPA)
• STAMP(System-Theoretic Accident Model and Processes)
– システムを構成するコンポーネント間の相互作用に着目
– 安全制約:安全が守られるために必要なルール
– プロセスモデル:コントローラーが持つアルゴリズム
– コントロールストラクチャ:コンポーネント間の機能動作を示したシステムの設計図
• STAMPに基づく安全分析法(STAMPはあくまでもモデル)– STPA(System- Theoretic Process Analysis):ハザード分析手法
– CAST(Causal Analysis using System Theory):事故分析手法
https://www.ipa.go.jp/sec/about/system.html
STAMP手法に関する調査報告書, IPA/SEC, 2015 3
All rights reserved, Copyright © IPA 2015
STAMP/STPA
• トップダウン式
–システム全体から目標とする箇所まで少しずつ焦点を当てていく形
• STPAの手順
–準備1 : アクシデント,ハザード,安全制約の識別
–準備2 : コントロールストラクチャの構築
– STPA Step1 : 安全でないコントロールアクション(Unsafe Control Action:UCA)の識別
– STPA Step2 : Causal factor (誘発要因)の特定
STAMP手法に関する調査報告書, IPA/SEC, 2015
CASTでも実施
4
All rights reserved, Copyright © IPA 2015
安全制約の例
• アクシデント:喪失を伴う,システムの事故
• ハザード:アクシデントにつながるシステムの状態
• 安全制約:システムが安全に保たれるために必要な制約
• 安全制約記述の課題
– 表形式では、導出の妥当性が見えにくい
STAMP手法に関する調査報告書, IPA/SEC, 2015導出5
All rights reserved, Copyright © IPA 2015
コントロールストラクチャの例
– コントロールストラクチャ(CS):コンポーネント間の機能動作を示したシステムの設計図
• コンポーネント間でやり取りされる制御の指示やフィードバックなどを矢印で結んで表す
• CS記述における課題– コンポーネント間関係の抜け防止
– コンポーネントとその中身の整合性の維持
– CSの適切な粒度の選択
STAMP手法に関する調査報告書, IPA/SEC, 2015
コンポーネント(緊急用コントローラ)
コンポーネント(バルブ)
制御の指示(緊急排水)
6
All rights reserved, Copyright © IPA 2015
今回の内容とアプローチ
• 内容:SysMLを用いたSTAMP記述支援の事例紹介
• アプローチ:SysMLツールの活用– 単純作業の削減(記述の漏れ防止等)
– 人間は高度作業に注力(STAMPは強制連想させるツール)
• 支援1:コントロールストラクチャ(CS)の記述支援– ツール支援:コンポーネント間の関係の抜け防止
– ツール支援:コンポーネントとその中身の対応付け
• 支援2:安全制約の記述支援– 記述法支援:安全制約導出の妥当性の可視化(表形式では見えにくい)
– 記述法支援:安全制約導出の容易化(導出戦略を導出関係に付記)7
All rights reserved, Copyright © IPA 2015
SysMLダイアグラムの分類
SysML
ダイアグラム
振る舞い図 要求図 構造図
アクティビティ図
シーケンス図
状態機械図
ユースケース図
ブロック定義図
内部ブロック図
パラメトリック図
パッケージ図
=安全制約記述= コントロールストラクチャ要素の整理
8
All rights reserved, Copyright © IPA 2015
適用事例:化学プラントシミュレータ
化学プラント* 水位を一定に保つフィードバック制御構造* 溢水を防ぐ安全制御系等を含む
9
All rights reserved, Copyright © IPA 2015
SysMLを用いたコントロールストラクチャの記述支援
10
All rights reserved, Copyright © IPA 2015
SysMLを用いたCS記述の事例1
1. 要素の階層的整理:ブロック定義図BDDを作成
2. 抽象コントロールストラクチャ(CS)を記述A) BDDの上位ブロックのみで内部ブロック図IBD(= 抽象CS)を作成
3. 詳細CSを記述A) 下位ブロックのIBDを作成
B) 下位ブロックのIBDを抽象CSに埋め込んで、全体IBD(= 詳細CS)を作成
– 初期CSはすべての関連要素を入れて構築(後検証工程で要素を絞る)
– 注意:この段階である程度の抽象化が行われている
4. 適切な詳細度のCSを記述A) 詳細CSのモデル要素を適切にまとめる(=適切な詳細度のCS)
B) 必要に応じてブロック定義図BDDを修正する11
All rights reserved, Copyright © IPA 2015
SysMLを用いたCS記述の事例2
詳細CS抽象CS
適切な詳細度のCS
詳細化:サブシステムの中身を明確化
抽象化:要素をまとめてサブシステムに
視点
ブロック定義図
Simulinkの場合サブシステムの展開
1
2
3 4
整合性の確保
中身との対応付け
関係の抜け防止
3.5
12
All rights reserved, Copyright © IPA 2015
化学プラント:ブロック定義図
要素の階層構造の定義
液体循環装置の構成要素
操作卓の構成要素
コントローラ
13
All rights reserved, Copyright © IPA 2015
化学プラント:内部ブロック図(抽象版)
抽象CS
• 大まかなコントロールループは出現• STPA⇒ハザードへ至るシナリオが思いつきにくい?
作成
化学プラント:ブロック定義図
ブロック定義図の化学プラントの階層上位の要素のみで構成
14
All rights reserved, Copyright © IPA 2015
液体循環装置:内部ブロック図
下位ブロックの内部ブロック図
作成 液体循環装置の構成要素
化学プラントの資料
化学プラント:ブロック定義図
15
All rights reserved, Copyright © IPA 2015
化学プラント:内部ブロック図(詳細版)
詳細CS
抽象CS
詳細化
抽象CS
液体循環装置:内部ブロック図
コントローラ
操作卓
液体循環装置:内部ブロック図
詳細過ぎて理解困難?⇒整理してCS作成
16
All rights reserved, Copyright © IPA 2015
化学プラント:内部ブロック図(兼本版)
Operator
Drain valve
Controller for
emergency
Water level
sensor for
emergency
Tank Process
制御対象
アクチュエータ
センサ
コントローラ
整理
詳細CS
適切な詳細度のCS
視点:水位の制御
抽象化
人間系
17
All rights reserved, Copyright © IPA 2015
化学プラント:内部ブロック図(MIT版)
Valves
Computer
Human operator
Plant
Override the process
Open/close valves
Water levels at Tanks #1 and #2
Alert & AlarmComputer instruction to valves
Valve Positon
Computer
Human
Operator
Valves
Plant
視点:排水弁の制御 詳細CS
整理
コントローラ
制御対象
センサ
人間系
適切な詳細度のCS
抽象化
18
All rights reserved, Copyright © IPA 2015
SysML(要求図)を用いた安全制約の記述支援
19
All rights reserved, Copyright © IPA 2015
要求図を用いた安全制約の記述例
「アクシデント -> ハザード -> 安全制約」の導出を要求図として記述
要求
要求
要求
要求図:要求のトレーサビリティをサポートするために,テキストベースの要求と,他の要求,設計要素,テストケースとの関係を表す図.(文献:システムズモデリング言語SysMLより)
根拠
導出の理由を「根拠」として記述• 導出の合意形成が容易• 第三者による導出の妥当性検証が容易
モデル要素と安全制約の対応が明確20
All rights reserved, Copyright © IPA 2015
要求図とGSNを用いた安全制約の記述例
要求図
GSN記述
説明力と可読性のバランス
赤枠内の導出根拠をGSNで記述・参照
21
All rights reserved, Copyright © IPA 2015
まとめ
22
All rights reserved, Copyright © IPA 2015
まとめ
• SysMLを用いたSTAMP記述支援の事例紹介– STAMP/STPA:複雑なシステムの安全分析に有効な手法
• SysMLによるコントロールストラクチャの記述– ブロック定義図+内部ブロック図⇒ コントロールストラクチャ
– 関係の抜け防止に有効
– 抽象版(全体)と詳細版(部分)の対応が明確
• SysMLによる安全制約の記述– 「アクシデントハザード安全制約」を要求図として記述
– 導出の根拠が明確⇒合意形成が容易に・導出の妥当性検証が容易に
– モデル要素と安全制約の対応が明確23
All rights reserved, Copyright © IPA 201524
All rights reserved, Copyright © IPA 201525
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべきITに関する基礎的な知識が証明できる国家試験です。
ITパスポート公式キャラクター上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
All rights reserved, Copyright © IPA 201526
Windows Server 2003のサポートが2015年7月15日に終了しました。
サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が成功する可能性が高まります。
周辺ソフトウェアもサポートが順次終了していくため、あわせて対策が必要です。
サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの影響調査や改修等について迅速な対応をお願いします。
会社の事業に悪影響を及ぼす被害を受ける可能性があります
IPA win2003 検索詳しくは
なおWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします
脆弱性が未解決なサーバ
脆弱性を悪用した攻撃
ホームページの改ざん
重要な情報の漏えい
他のシステムへの攻撃に悪用
業務システム・サービスの停止・破壊
データ消去
Windows Server 2003のサポート終了に伴う注意喚起
All rights reserved, Copyright © IPA 201527
Check!Catch!
Search!
Click!