(2018年10月号掲載)
 記事をPDFで読む

3. セキュリティを考慮した安全性

国立大学法人 名古屋大学 大学院 情報学研究科 教授 山本 修一郎
博士(工学)

IEEE COMPUTER誌の8月号に、Bloomfield氏 がセキュリティを考慮した安全性(SIS, Security Informed Safety)について寄稿していたので紹介したい[1]。彼はAdelard社の創設者で、City, University of Londonの教授でもある。

SISのねらい

SISのねらいは、安全性技術者(safety engineer)がセキュリティについての認識を深めることと、そのためにプロセスと知識を提供することである。Bloomfieldらは、政府の支援を受けて、鉄道分野と自動車分野におけるcodes of practice (CoPs) を開発した。セキュリティエンジニアと安全性エンジニアの協働作業プロセスを作成した。このプロセスは、安全性技術者のためにセキュリティ知識を提供するとともに、セキュリティ技術者に安全性知識を提供している。製品とサービス、活動のセキュリティ関連リスクが、安全性について受け入れ不能なリスクを引き起こさないことをCoPで確認する必要がある。

また、相互依存性が考慮され、単一または少数の要素の障害が広範囲に影響する可能性がある場合についても、システム論的リスクを管理するための推奨事項を提示している。CoPのもう一つの重要な側面は、トランスポーテーション・エコシステムを構成するすべての組織がトランスポーテーションシステムのユーザーと社会全体に対して安全性リスクを最小化することについてより良い活動をすべきだという認識である。換言すれば、特定の組織に閉じて安全性リスクを最小化するだけでは不十分だという認識が重要である。

CoPの作成

BloomfieldらによるCoPの作成では、次の方針を設定している。

[方針1]既存の関連原則と、SISについての考察およびアセスメント経験の分析に基づく一般原則を収集

[方針2]注釈とコメントを提供することにより、一般原則を鉄道と自動車分野に適応

[方針3]CoPの適用について、詳細説明とガイダンスからなる支援情報を付録として提供

CoPの開発では、以下に示すようにトップダウン手法とボトムアップ手法を組み合わせている。

◆トップダウン手法

CoPの一般原則を確認するために、CAE(Claims-Argument-Evidence)ケースを作成している。CAEケースでは、原則が産業界の高水準ビジョンをどのように支援するかを示すことができる。CAEケースでは、ゴールを下位ゴールに段階的に分解する。また最下位ゴールを証拠によって保証することにより、最上位のゴールが成立することを論理的に確認できる。

トップダウン手法では、まずトランスポーテーション分野の包括的なビジョンから始める。たとえば、鉄道システムが安全でセキュアであると誰もが確信しているように世界をみている。このことから、最上位の主張を導くことができる。

「鉄道移動に対して、サイバーセキュリテイの課題が、受け入れ不可能なリスクを発生することはないという正当化された確信(confidence)がある」

次いで、アシュアランスについてのCAE手法を用いて、原則の集合によって支持される下位の主張のネットワークを作成できる。このようにして作成されたCAEでは、以下のような主張から構成されている。

・現在と将来の組織的側面

・資源と競争優位性

・開発サイクル

・保証ケース

・製品の将来の振る舞い

・他のステークホルダの確信

◆ボトムアップ手法

ボトムアップ手法の場合、重要安全分野についての既存のセキュリティおよび安全性に焦点をあてた原則とガイダンスから出発する。たとえば、表1のような文書がある。

表1 CoPで参考にした資料

これらの文書で記述されている原則の共通性分析に基づいて、共通する課題を抽出できる。これらの共通課題をトップダウン手法の推奨ガイドラインと比較することにより、重要項目が適切に網羅されていることを確認できる。この結果、①組織的セキュリティ原則、②製品あるいはプロジェクトライフサイクル原則、③設計原則という3種類の原則があることを明らかにしている。

CoPの内容

作成されたCoPの構成を表2に示す。CoPの章は、1.セキュリティポリシ、組織、文化、2.セキュリティを考慮した開発プロセス、3.効果的な防御の維持、4.インシデント管理、5.セキュア安全性設計、6.安全でセキュアな世界への貢献からなる6章となっている。

表2 CoPの構成

まず、第1章では既存の安全性ポリシーと組織文化へのセキュリティの影響について述べている。2章では、システムライフサイクル工程におけるセキュリティ要求について説明している。3章では、効果的に防御を維持するために、運用時のセキュリティ保証について述べている。4章では、セキュリティインシデントの管理プロセスについて述べている。5章では、システム設計におけるセキュリティ開発について述べ、セキュア安全性設計を明らかにしている。6章では、トランスポーテーション・エコシステムのセキュリティを向上するための外部組織との協調と連携について述べ、安全でセキュアな世界への貢献のあり方を明らかにしている。

なお、表2では3種類の原則との対応関係も示した。

CoPの各章では、具体的な推奨対策を説明している。推奨対策では、アウトカムベースですべきこととすべきでないことについて対策内容と関連資料へのノートが示されている(表3)。

表3 CoP 6章の内容例

まとめ

本稿で紹介した、CoPについて、まとめると以下の3点になる。

・CoPは、一般原則に基づくトップダウン手法と実在のガイドラインに基づくボトムアップ手法の両面から構成すべきである。

・セキュリティを考慮した安全設計のためのCoPが対象とするトランスポーテーションシステムは、SoSである。

・個別システムに閉じた安全設計だけでなく、相互接続性を考慮した広範囲の安全性リスクについても保証する必要がある。

【参考文献】

[1] Robin Bloomfield, Peter Bishop, Eoin Butler, Robert Stroud, Security-Informed Safety: Supporting Stakeholders with Codes of Practice, IEEE COMPUTER, August 2018, pp.60-65

<システム安全性のことなら下記へ>

yamamotosui@icts.nagoya-u.ac.jp