オープニング

「A New Way to Engineer for Safety and Security」（同時通訳付き）

マサチューセッツ工科大学(MIT) 航空宇宙学部 教授 エンジニアリングシステム学科 教授

ナンシー・レブソン（Nancy Leveson）氏

パネルディスカッション:「日本におけるSTAMP活用の仕方について」（同時通訳付き）

パネル１：事後V＆VにおけるSTAMP適用事例 ／ パネル２：自動車システム開発へのSTAMP適用事例パネル３：こうのとりの安全解析へのSTAMP適用事例／パネル4：形式手法とSTAMP／STPAの併用に関する研究事例

（※パネルの詳細は裏面をご覧ください）

◆モデレーター： 松本 隆明（IPA/SEC 所長）◆パネラー：

ナンシー・レブソン 氏（マサチューセッツ工科大学）兼本 茂 氏（公立大学法人会津大学） 野本 秀樹 氏（有人宇宙システム株式会社）日下部 茂 氏（国立大学法人九州大学） 中沢 孝志 氏（日産自動車株式会社）

質疑応答 ／クロージング

プログラムの詳細及びお申込みはこちら

http://sec.ipa.go.jp/seminar/20150618.html

ご参加いただいた皆さまに、SEC BOOKS（書籍）を進呈します

システムベースのエンジニアリング

最 新 動 向最 新 動 向

13：00

13：10

15：00

17：00

複雑化するシステムの安全性とセキュリティを確保するためにすべきこと!

主 催

開催日時

開催場所

定 員

参加費

システムのセーフティ／セキュリティに携わるすべての方へ

■お問い合わせ■独立行政法人情報処理推進機構(IPA)

技術本部 ソフトウェア高信頼化センター(SEC) 企画グループTEL：03-5978-7543Mail：sec-pr@ipa.go.jp

近年、コンピューターシステムはネットワークを通じて異なる機器やシステム同士が繋がるようになり、ますます大規模・複雑化しています。それに伴い、人とシステム、あるいはシステムとシステム間の複合原因によるシステム障害が増加し、システム単体ではなく、“異なるもの同士が繋がったシステム全体”での障害対策が求められるようになってきました。そのような状況において、これらのシステムにおける安全性解析に関する新しい手法として、STAMPが産業界において注目されています。本セミナーでは、STAMPの提唱者であるナンシー・レブソン教授を招聘し、セキュリティ分野へのSTAMPの適用など、MITにおける先進

の研究動向について紹介します。また、ナンシー・レブソン教授と国内有識者によるパネルディスカッションでは、我が国の産業界におけるSTAMPの具体的な適用事例やSTAMP応用に関する検討事例の紹介を含め、今後の実開発現場へのSTAMP活用における課題・留意点について討論します。

STAMPを実際に使用した事例とそこから得られた知見と課題について述べていただきそれぞれのテーマについて討議します。

近年、システム同士がネットワークで接続され、協調・連携することによって新たなサービスや高度な機能が実現されていますが、それに伴いサイバー攻撃も高度化し、サイバーセキュリティの脅威が高まっています。このような状況において、システムの安全性（Safety）確保のためには、システムそのものの出来だけではなく、外部からの攻撃からの安全性（Security）も含めた取り組みが必須となってきました。本講演では、システム安全性解析手法STAMPについて、セキュリティ分野への適用を目指した研究内容など、最新の研究動向を解説します。また、海外における最近のSTAMP適用事例についても紹介します。

独立行政法人情報処理推進機構 （IPA）技術本部 ソフトウェア高信頼化センター（SEC）

2015年6月18日（木）13:00～17:30 200名

5,000円（税込）東京大学 伊藤謝恩ホール [東京都文京区本郷7-3-1]

15：00

パネル１：事後V＆VにおけるSTAMP適用事例

日常生活の中に多く入り込みつつある組込みシステムは、非常に大規模で複雑化しているにもかかわらず、最終的なユーザーは、取り扱いの専門的な教育や訓練を必ずしも受けていません。このような状況においては、システムの誤操作や故障を未然に防いだり、障害発生時には早期に発見し、被害を最小限に抑える必要があります。一方で、米国でのトヨタ自動車製のクルマの電子制御システムが直面したトラブルのように、制御ソフトウェアの設計コンセプトに問題がないことをメーカー自身がいくら説明しても、第三者によって健全性が検証されるまで、社会の納得を得られなかったこともあります。そこで、IPA/SECが設置した「システム障害原因診断WG」においてJASAと共同で、「モデルベースシステムズエンジニアリング

（MBSE）」に基づき、第三者の立場で、障害原因を迅速・的確に診断する手法を開発・提供することを目指した「事後V＆V（ Post hoc Verification & Validation）」という考え方を提唱しています。事後V&Vにおいてシステム障害の原因仮説を策定する際にFTA、FMEA、HAZOPなど従来のハザード分析手法に加え、STAMPを適用することの有効性に着目しています。

パネル２：自動車システム開発へのSTAMP適用事例

近年ますます激化する自動車の燃費向上、商品力向上競争を勝ち抜くため、パワートレインや車両やシステムは機能向上とともに、システム間協調の加速により複雑化しています。QCTを確保しつつこの状況に対応するために、日産はシステムを適切なサイズに階層分割したシステムズエンジニアリングプロセスを導入しています。今回、システムズエンジニアリングプロセスとSTAMPを融合し有効活用した事例を紹介します。新システムの開発現場において、STAMPで提唱されているどの要素技術を、開発プロセスのどこに、どのように組み込めばシステム安全性確保に寄与するか。また、既存の開発プロセス変更による影響を最小化することができるか。実際にSTAMPを適用して開発プロセス改善を行った事例を紹介し、課題を共有します。

パネルディスカッション:「日本におけるSTAMP活用の仕方について」（同時通訳付き）STAMPを実際に使用した事例とそこから得られた知見と課題について述べていただきそれぞれのテーマについて討議します。

公立大学法人会津大学コンピュータ理工学部 コンピュータ理工学科 コンピュータ産業学講座 教授兼本 茂 氏

日産自動車株式会社第一パワートレイン開発本部 パワートレイン性能開発部 システムズエンジニアリング推進グループ 主担中沢 孝志 氏

1974年大阪大学工学部原子力工学科卒業。1976年日本原子力事業株式会社を経て、1989年から株式会社東芝 原子力技術研究所にて、原子炉の監視診断技術の開発などに従事した後、2005年に会津大学コンピュータ理工学部教授に就任。産業学講座教授として、コンピュータ技術の産業応用に関する研究を行う中で、組込みシステムの機能安全に関する研究・教育を行っている。

パネル３：こうのとりの安全解析へのSTAMP適用事例

宇宙ステーション補給機（こうのとり）の安全解析へのSTAMP適用事例を紹介します。宇宙機システムには高い安全性と人間の介在が求められます。この宇宙機システムでSTAMPによって、人間を含むシステムを構成するコンポーネントのダイナミックな関係性やシステムが置かれるコンテキストを考慮して、安全性や事故の分析が実現可能であるか／有効な結果を生み出せるかを検討します。

有人宇宙システム株式会社有人宇宙システム安全開発保証部 グループリーダー 野本 秀樹 氏

1987年早稲田大学政治経済学部卒業。1996年日本で初めてのソフトウェアIV&V（独立評価）事業を宇宙ステーション計画において開始。NASA,ESA,Draper研究所と共同で研究を始める。1998年から、当時ワシントン州立大学教授のナンシー・レブソン教授と共同で宇宙ステーション補給機（こうのとり）のソフトウェア独立評価を、SpecTRM手法を用いて実施開始。1999年から、こうのとりの誘導制御の安全解析を行いつつ、有人宇宙システム株式会社のIV&Vチームリード就任。2008年MIT航空宇宙研究所ナンシー・レブソン研究室において宇宙機ソフトウェアのモデルベース検証技術の研究を行う。2009年こうのとり１号機の飛行管制官として実運用も担当。以降、2015年の５号機までランデブ飛行のとりまとめを実施。2013年JAXAにおいて、新型宇宙機アーキテクチャの研究を立ち上げ現在、有人宇宙システム株式会社安全開発保証部ソフトウエアグループリーダー。STAMP/STPAを中心とする独立評価業務のとりまとめを実施。宇宙、自動車、原子力、鉄道等の分野に活動を広げている。

1991年新潟大学工学部卒業。同年日産自動車株式会社入社。燃費・動力性能計画、戦略立案業務、日産初の直噴ガソリンエンジン用制御開発、車両／補機協調制御開発を経て、2010年よりシステム開発プロセス革新、ツール導入を担当し、2013年よりシステムズエンジニアリング推進グループ主担としてSEプロセス導入や手法開発に取り組む。

パネル4：形式手法とSTAMP／STPAの併用に関する研究事例

国立大学法人九州大学大学院システム情報科学研究院 准教授 日下部 茂 氏

形式手法を活用したソフトウェアのライフサイクルプロセスのテーラリングを研究テーマの一つとしています。STAMP／STPAについては、実際のライフサイクルプロセスにおけるモデリングや分析への導入、その際の形式手法の効果的な併用、といった課題に取り組んでいます。

ソフトウェアライフサイクルのテーラリングにおいて、STAMP／STPAはソフトウェアのライフサイクル全般に有用と考えていますが、STAMP／STPA導入時に形式手法を併用し適切な抽象度での厳密なモデルの記述と分析を可能とすれば、さらにその有用性が高まると考えています。また、形式手法導入時にもSTAMP／STPAを併用することは、何をどの抽象度で厳密にモデル化し分析すべきかという問題を解決するうえで有用だと考えています。このような考えにもとづき、モデル規範型の形式手法を組み合わせた、広く現場で使えるSTAMP／STPAプロセスの確立を目指した現在の取組みを紹介し、課題を共有します。