3.4    技術セッション「いろいろ使える(システム理論に基づく)セーフウェアのためのモデルSTAMPとその分析法」

3.4.1    はじめに

このセッションでは、今回の3rd長崎QDGの実行委員長も実施いただきました、長崎県立大学の日下部先生に、最近注目を浴びているSTAMPを取り上げていただき、「いろいろ使える(システム理論に基づく)セーフウェアのためのモデルSTAMPとその分析法」と題して発表いただきました。

3.4.2    レポート報告

3.4.2.1   背景

安全性と信頼性は別のものです。故障していないけど安全ではない、とか故障しているけど安全、といった状態が存在します。

もちろん我々は安全なシステム(ソフトウェア)を求めているわけですが、システム(ソフトウェア)を構成するコンポーネントの複合度が上がってきており(ソフトウェア集約型システム)、個々のコンポーネントは不具合がなく、正しく動いているにも関わらず、安全ではない動作をするシステムができあがってしまう可能性があります。これは、コンポーネントの相互作用によるアクシデントであり、これまでの解析的還元論や信頼性理論ではカバーすることができない領域です。日下部先生いわく、「細胞を足していくと、果たしてリンゴの味になるのか?全体の解は、部分解を足したものには決してならないのではないか。」ということでした。

3.4.2.2   STAMP

STAMP(System Theoretic Accident Model and Processes)は、MITのNancy Leveson教授が提唱したアクシデントモデルです。背景でも述べたように、これまでのソフトウェア集約的なシステムだと、従来の解析的還元論や信頼性理論には限界があり、システム理論に基づき、コンポーネント間の相互作用に着目しています。STAMPは大きく、以下の三つの基本モデル要素で構成されています。

  1. システムの構成要素間の構造を、相互作用で表わしたコントロールストラクチャ
  2. 対象プロセスに対する抽象表現とコントロールアルゴリズムを記載するプロセスモデル
  3. 安全のための守るべき安全制約

 

これらの基本モデル要素は、コントロールストラクチャがプロセスモデルに対して、システムの安全制約が正しく適用されているかどうかに着目する、といった関係にあります。言い換えれば、アクシデントはこれまで考えられていたイベントの連鎖だけではなく、複合的に複雑な動的プロセスが関係しており、故障ではなくコントロールの問題であり、コンポーネントの振る舞いと相互作用に安全制約を課すことでアクシデントを防ぐ、ということです。

3.4.2.3   STPA

STPA(Systems Theoretic Process Analysis)は、STAMPに基づくハザード分析手法であり、トップダウンでのアプローチになっています。IPA/SECが公開している「STAMP手法に関する調査報告書」では、以下の手順が紹介されています。(詳しくはこちらを参照ください。https://www.ipa.go.jp/files/000047911.pdf

・準備1:アクシデント、ハザード、安全制約の識別

・準備2:コントロールストラクチャの構築

・Step1:安全でないコントロールアクション(Unsafe Control Action :UCA)の識別

・Step2:非安全なコントロールの原因の識別

セッションではこれらの手順について詳しくご紹介いただきました。

最後に、STAMP/STPAは、セキュリティと合わせた考え方や、教師と生徒の関係など人材育成にも使えるのではないか、と説明いただきました。なかなか奥が深く、難しい話でしたが、興味深く聞かせていただきました。

(報告:木村 良一)