名古屋大学情報連携統括本部情報戦略室教授山本修 …aofa.csce.kyushu-u.ac.jp/documents/Yamamoto-2014-03.pdf高保証アーキテクチャ指定された保証すべき性質が実現されているアーキテク

Copyright Prof. Dr. Shuichiro Yamamoto 2014 1

名古屋大学　情報連携統括本部　情報戦略室　

教授　山本修一郎

主な内容

 O-DA:Open Dependability through Assuredness

 機能安全で注目されるディペンダビリティ（保証）ケース

 運用や試験などへの適用事例の紹介

 アクター概念による保証ケース拡張


TOGによる標準Open Dependability through Assuredness


「O-DA（安全・高信頼性検証国際標準）」を発表2013年8月7日(米国時間6日)

★ 「O-DA（安全・高信頼性検証国際標準）」日経産業新聞 2013/8/8(THU) 掲載 http://www.opengroup.or.jp/pdf/

nikkeisangyo20130808_O-DA.pdf

★ 「O-DA（安全・高信頼性検証国際標準）」プレスリリース（米国時間2013年8月6日発表） http://www.opengroup.or.jp/pdf/

pressreleaseFinal_Update20130806.pdf

★ 「O-DA（安全・高信頼性検証国際標準）」プレスリリース(英語版)

　 http://www.opengroup.org/news/press/open-group-releases-dependability-through-assuredness-　™-standar


O-DA標準の構成

章内容主な項目

1 はじめに目的，概要，今後の方向性（改訂可能性）

2 定義保証，高保証アーキテクチャ，保証ケース

3 O-DAフレームワーク非機能要求としてのディペンダビリティ，保証ケース開発，説明責任，障害対応サイクル，変化適応サイクル

4 ガイドライン保証ケース構造，証拠と説明責任，保証ケース例，保証ケースの強化

5 形式手法証拠としての形式手法

付録A 高保証アーキテクチャ開発手法

背景，TOGAFにおける高保証性フレームワーク，保証内容メタモデル，アーキテクチャリポジトリ

付録B DEOS DEOSフレームワーク，DEOSサイクル, D-Case, 合成ディペンダビリティ，合意形成と説明責任


Open Dependability through Assuredness Framework

要求プロセスディペンダビリティ・モデリング

アーキテクチャ・開発

保証ケース

説明責任遂行

原因究明迅速対応未然回避

通常運用

問題検知障害対応

目的／環境変化

障害対応サイクル

変化対応サイクル

高保証性（Assuredness）

 大規模で複雑なシステムのディペンダビリティを達成するために，O-DA標準では高保証性概念を導入している．

 アーキテクチャの実装が保証すべき要求に適合していることを確信するために，満足できる水準の証拠が提供されていることについて，システムのステークホルダが合意している状態を，高保証性があるという．


高保証アーキテクチャ

 指定された保証すべき性質が実現されているアーキテクチャを高保証アーキテクチャ（Assured Architecture）という．

 保証（Assurance）

  アーキテクチャが高保証性を持つことを確認すること

 保証ケース（Assurance case）

  保証するための議論構造を記録する成果物


ディペンダビリティ (保証)ケースの例


前提

主張

戦略

証拠

TOGAF ADM

工程 ADM

準備 TOGAFアーキテクチャプロジェクトの準備活動

A.アーキテクチャ・ビジョンスコープ，制約，期待，ステークホルダを定義．事業環境を確認

B.ビジネス・アーキテクチャ, ビジネスの現行と目標アーキテクチャを定義，差異を分析

C.情報システム・アーキテクチャ情報システムの現行と目標アーキテクチャを定義，差異を分析

D.技術アーキテクチャ技術の現行と目標アーキテクチャを定義，差異を分析

E.ソリューション実施計画，展開手段，要素を定義し移行アーキテクチャを構築

F.移行計画費用対効果分析，リスク分析に基づき移行実施計画を詳細化

G.実装監督アーキテクチャ移行計画を管理．実装結果を確認

H.アーキテクチャ変更管理アーキテクチャの事業目標適合性を継続的監視，変更管理

要求管理全工程で要求確認を実施


高信頼ADMの概要

工程 AADM

準備 ①アーキテクチャリポジトリでの証拠文書と保証ケースの格納

②ディペンダビリティ委員会での主張間の優先順位の合意

A.アーキテクチャビジョン ①ディペンダビリティスコープ定義　②主張の定量評価尺度定義

③保証ケース能力評価　④ディペンダビリティパラメタ定義

B.ビジネスアーキテクチャ ①ディペンダビリティ原則定義　②BA保証ケース作成

③BA保証ケースレビュ

C.情報システムアーキテクチャ ①IA保証ケース作成　②IA保証ケースレビュ

D.技術アーキテクチャ ①TA保証ケース作成　②TA保証ケースレビュ

E.ソリューション ①BA, IA, TA保証ケースを統合　②一貫性を確認

F.移行計画 ①運用管理の保証ケース作成

②ディペンダビリティパラメタ価値分析

G.実装監督 ①保証ケースの証拠を作成　②プロセス保証ケースの証拠を作成

③網羅的に主張と証拠の関係を確認

④運用に対する保証ケースをレビュ

H.アーキテクチャ変更管理 ①運用保証ケースの証拠を管理　②主張の不成立への対応策の確認③保証ケースによるリスク管理　④保証ケースによる障害分析

要求管理保証ケースの主張と要求の追跡管理


EAL6とEAL7における形式手法の適用例

EAL 説明

EAL6 意味が定義された限定構文で記述された準形式手法を用いた機能仕様

と評価対象TOE（Target of Evaluation）の設計を比較することにより、セキュリティ要求が設計されていることを確認する．

EAL7

セキュリティポリシー，機能仕様，TOE詳細設計の間に形式的な対応関係を定義する．

評価者が行単位で対応関係を確認できるように実装コードに十分近い詳細設計である必要がある．

ポリシー，設計，実装が互いに一貫性のある証拠を形成して，結果として信頼性の高い保証ケースであることを立証する．


高保証ADMの課題

O-DAの課題フェーズ

1 証拠文書と保証ケースのアーキテクチャ・リポジトリ管理手法準備

2 主張間の優先順位の合意形成手法準備

3 保証ケースのスコープ定義手法 A

4 主張の定量的評価尺度の定義手法 A

5 保証ケース作成能力の評価手法 A

6 保証ケースレビュ手法 B,C,D

7 保証ケース統合手法，一貫性確認法 E

8 運用ならびに開発プロセスに対する保証ケース作成・確認手法 F，G

9 保証ケースと障害分析，リスク管理手法との統合手法 H

10 保証ケースの主張とシステム要求の追跡管理手法要求管理


説明対象とD-Caseが対応

 修正に基づく動的な説明プロセス


システムおよびプロセス

D-‐Case

⑤システム／プロセスの問題を修正

②システムのディペンダビリティに合意 ③あるいは、システムの問題を検出 ④あるいは、D-‐Caseの問題を修正

⑥D-‐Caseを修正

①D-‐Caseを作成

合意記述データベース

D-Caseによる説明責任の遂行手順

  上位の主張から証拠までの木の深さに従って説明

 分解の網羅性

 証拠の確信性


G1

S1

G2

S2

G3 G4

S3

G5 G6 G7 G8

E1 E2 E3 E4

E5

C1

C2 C3

なぜ失敗を繰り返すのか

失敗が繰り返されるのは、

研究成果や事例があるにもかかわらず、

それを見出さないままに

学びの機会を閉じているからである

吉川肇子, リスク・コミュニケーションのあり方

岩波　科学 2012 vol.82, No.1 pp.48-55


議論分解パターンの構成


説明対象システム

D-Case 説明

既存D-Case

証拠文書

証拠分解

対象の表記法対象が持つ共通構造

対象分解参照モデル分解

条件分解推論分解

再分解

議論パターン・ポケットガイド

議論分解パターンの事例


パターン分類説明

記述法 15

アーキテクチャ, 機能, 属性, 完全化, プロセス, プロセス依存関係 , 階層化, データフロー図, ビュウ, ユースケース, 要求, 状態遷移, 運用要求, シーケンス図, ビジネスモデル

参照モデル 10

DEOS プロセス,リスク, 組み込みシステム, コモンクライテリア, 要求テンプレート, システム境界, 欠陥モード, 非機能要求グレード, テストケース, 問題フレーム

条件 7

ECA, 条件判断, 代替案選択 , 矛盾解消, 平衡化, 改善, 明確化

推論 5

帰納法, 消去法, 否定推論, 反駁

証拠 11

法制度, 形式的証明, モデル検査, 試験成績書, 合意文書, レビュ報告書, シミュレーション, 評価報告書, 説明書, モニタノード, 文書

再利用 2

水平分解、垂直分解

議論パターン・ポケットガイド

コマンド問題フレームの例


システム

制御領域

オペレータ

コマンドの振舞い要求　

OP!E

CM!C1 C3

E

CD!C2

　振舞いがオペレータのコマンドによって制御されるような物理世界に対して適用される。問題は「オペレータのコマンドを受理して、それに従って領域を制御する」ような機械を作ることである。操作Eによる現象C1,C2を用いた機械の振る舞いが、現象C3による制御ドメインにおける振舞いに帰着する

オペレータ操作と要求現象

オペレータ操作とシステムの振舞

システムの振舞と制御領域現象

制御領域現象と要求現象

問題フレーム分解パターンの例


オペレータ操作と要求現象

オペレータ操作とシステムの振舞システムの振舞と制御領域現象

制御領域現象と要求現象

証拠分解パターン


分解パターン説明

1 レビュ分解レビュ結果を証拠として，主張を確認

2 評価分解チェックリストや投票の結果を証拠として，主張を確認

3 欠陥モード分析分解対象物の欠陥モード分析に基づき主張を確認

4 テスト分解テスト結果を証拠として，主張を確認

5 証明分解形式的証明を証拠として，主張を確認

6 モデル検査分解モデル検査結果を証拠として，主張を確認

7 シミュレーション分解シミュレーション結果を証拠として主張を確認

8 合意分解合意文書を証拠として，主張を確認

9 モニタ分解監視結果を証拠として，主張を確認

10 文書分解開発や運用に関する文書を証拠として，主張を確認

１１法制度分解規格や法制度についての文書を証拠として，主張を確認

注）５～１１は省略

テスト証拠パターン


運用サービスの継続性を確認

試験の十分性を確認


主張の定量評価尺度定義法


非機能特性を達成している

非機能特性について説明

個別特性を達成している

特性指標について説明

特性指標を達成している

特性指標達成報告

主張

説明

個別特性主張

説明

特性指標主張

証拠

保証ケースによる定量的品質評価の確認例


可用性を達成している

可用性の下位特性について説明

下位特性を達成している

指標値を達成している

下位特性の指標値を説明

指標値の達成証跡

ポータルのNFRグレード評価指標への適用結果


信頼性特性特性項目指標数

可用性(8) 運用時間（通常），業務継続性，目標復旧水準（通常），目標復旧水準（大規模災害時），稼働率，耐障害性，災害対策，回復性

２４

性能・拡張性(7) 通常時の業務量，業務量増大度，保管期間，性能目標値オンライン，性能目標値バッチ，オンラインスループット，バッチスループット

２６

運用・保守性(11) 計画停止，運用負荷削減，運用保守，復旧作業，異常検知対応，運用時間，バックアップ，運用監視，交換用部材の確保，運用環境，運用管理方針

４８

移行性(4) スケジュール，データ，リハーサル，移行トラブル１３

セキュリティ(10)

コンプライアンス，セキュリティリスク分析，セキュリティ診断，セキュリティリスク管理，アクセス・利用制限，データの秘匿，不正監視，ネットワーク対策，マルウェア対策，Web対策

３４

環境・エコロジー(3) 制約条件，システム特性，環境マネージメント１７

合計 43項目１６２

テスト十分性に対する保証ケース作成手順


要求仕様要求記述表要求逸脱分析表

結合テスト項目正常系一覧

結合テスト項目例外系一覧

テストD-Case

要求仕様の例

仕様1-1-1-1 会員がビデオを借りる

仕様1-1-1-1-1 会員がメニュ画面の[ビデオ貸し出し]リンクを押したときに開始する

仕様1-1-1-1-2 システムがビデオ貸し出し画面を表示する

仕様1-1-1-1-3 会員がレンタルしたいビデオを選択し、[次へ]ボタンを押下する

仕様1-1-1-1-4 システムが選択されたビデオの在庫の数を確認し、レンタル日数の入力画面を表示する

仕様1-1-1-1-5 会員がレンタル日数を入力し、[レンタルボタン]を押下する

仕様1-1-1-1-6 システムが配送システムに会員情報を送り、ビデオの配送を依頼し、会員にレンタル結果画面を表示する

仕様1-1-1-1-7 会員がレンタル結果画面を確認し、処理を終了する


要求記述表   ユースケースの記述だけでは，テスト条件が曖昧であるため，十分なリスクを抽出できない．このため，   要求記述表を用いて，仕様の構成要素を明確に記述することにより，条件，機能，制約を明確化する


要求仕様主体が対象に対して，条件のとき，制約を満たすように機能を実行する

会員がビデオを借りる[システムがレンタル日数の入力画面を表示する]

主体条件機能制約

前提条件：・ [ビデオ貸し出し]画面と[次へ]ボタンが表示されている・システム環境？

主体状態：会員情報が識別されている？メニュ画面を表示している？対象状態：会員情報？イベント条件：会員がレンタルしたいビデオを選択 [次へ]ボタンを押下

入力条件：会員情報？

会員がレンタルしたいビデオを選択し、[次へ]ボタンを押下するシステムが選択されたビデオの在庫の数を確認し、レンタル日数の入力画面を表示する

応答制約：出力タイミング？

出力制約：画面表示制約？ビデオ本数？

値制約: 日数の範囲？

対象

前提条件：・会員情報管理テーブルがある・会員番号？・ビデオ情報管理

要求逸脱分析表の例


テストの十分性を確認する保証ケース


金融パッケージへの適用結果


45%

39%

8% 8%

時間の内訳（全１６７時間、20機能）

要求記述表要求逸脱表保証ケース準備


ArchiMateの構成

分類 ADMフェーズ

ArchiMate コア B C D

ビジネス・アーキテクチャ情報システム・アーキテクチャ技術アーキテクチャ

動機づけ拡張

-- A H --

準備アーキテクチャ・ビジョンアーキテクチャ変更管理要求管理

実装・移行拡張 E F G

機会とソリューション移行計画実装・ガバナンス


ArchiMate言語の基本概念


項目説明

基本概念能動要素、振舞要素、受動要素

連携と相互作用複数の活動要素が連携する振舞の集まりとしての相互作用

関係合成関係、集約関係、関連関係、一般化関係：UML トリガ関係：ビジネスプロセスモデリング

階層化ビジネス層、アプリケーション層、テクノロジ層

フレームワーク能動要素、振舞要素、受動要素を列とし、ビジネス層、アプリケーション層、テクノロジ層を行とする2次元の表

ArchiMateのメタモデル


サービス

挙動要素能動構造要素

インタフェース

assigned to assigned from

accessed by

受動構造要素

accesses

realized by

realizes

accessed by

accesses

triggered by/ flow from triggers/ flow to


used by

used by

uses

uses

composes

composed of

used by

uses

ArchiMateのメタモデル要素

メタモデル要素説明

能動構造要素振舞を実行する実体

挙動要素能動構造要素によって実行される活動の単位能動構造要素に対する振舞を実行する主体

受動構造要素振舞が実行される対象となる情報やデータ、物理的実体などのオブジェクト

サービスシステムが環境に対して価値を提示する機能の単位外部に可視化できるシステムの振舞

インタフェース環境に対してサービスを提供するためのアクセス点能動構造要素の外部ビュウとサービスに対するアクセスからなる


連携と相互作用


挙動要素

相互作用連携

能動構造要素


aggregated by

aggregates

ArchiMate階層

階層要素説明

ビジネス層外部顧客に対して、製品とサービスを提供組織のビジネス主体が実行するビジネスプロセスにより実現

アプリケーション層ソフトウェアアプリケーションによって実現アプリケーション層がビジネス層を支援

テクノロジー層アプリケーション層で必要となる、処理、格納、通信などの基盤サービスを提供コンピュータ、通信ハード、システムソフトウェアなどで実現



能動構造要素

能動構造要素記号説明

ビジネス主体挙動を実行できる組織の実体

ビジネス役割指定された挙動を実行する責任主体アクタが割り当てられる

ビジネス連携集合的な役割を実行する複数のビジネス主体

ビジネスインタフェース環境に対してビジネスサービスが提供される媒介手段

場所概念空間


ビジネス能動要素

能動要素記号説明

ビジネスプロセス製品やビジネスサービスを提供することを目的とする活動順序によってグループ化された挙動要素。

ビジネス機能ビジネス資源や競争力などの選択された基準に基づいて行動をグループ化する行動要素

ビジネス相互作用ビジネス連携行動を記述するための行動要素

ビジネスイベント行動に影響を与えるような発生事象

ビジネスサービス顧客のビジネスニーズを満たすサービス


情報概念要素

情報概念要素記号説明

ビジネス対象ビジネス面での適切性をもつ受動要素

表現ビジネス対象によって運ばれる情報の知覚できる形式

意味ビジネス対象や表現を提示する知識や専門的見解

価値ビジネスサービスやビジネスプロダクトの相対的な価値、効用、重要性

プロダクト契約、合意とともに、顧客に全体として提供される首尾一貫したサービス

契約プロダクトに関連する権利と義務を規定する合意についての仕様


関係

関係記号説明

割当割当関係によってビジネスの役割を実行する主体やアプリケーションコンポネントを明示する

実現具体的な要素で抽象的な要素を実現する

利用プロセス、機能、相互作用、アクセスによる役割、コンポーネント、連携の利用

接近振舞がビジネスならびにデータオブジェクトを操作することを明示する

関連一般的な関係

契機トリガ関係を明記する


ArchiMateのメタモデル


ビジネスサービス

ビジネスプロセス/機能/相互作用

accesses

realized by

realizes

accessed by

accesses

triggered by / flow from

価値

プロダクト

契約

意味

ビジネス対象

表現ビジネスイベント

場所 assigned to assigned from

assigned from

realized by realizes

triggers

triggered by

triggers

triggered by

associated with associated

with

aggregates aggregated by

associated with

associated with

ビジネス主体

ビジネス役割

ビジネスインタフェース

ビジネス連携

uses used by

assigned to

assigned from

aggreg-‐ ated by

aggregates

used by

assigned from

assigned to used by/

composes

uses/ composed of

assigned from assigned to

aggreg-‐ated by

ArchiMateのアプリケーション層メタモデル


アプリケーションサービス

アプリケーション機能/相互作

用

accesses

realized by

realizes

accesses

uses

データ対象

assigned to

uses

triggers/ flow to triggered by/ flow from

accessed by

アプリケーション

コンポーネント

ビジネスインタフェース

uses

used by

assigned from

aggregates

assigned to

composes

uses/ composed of

assigned from

aggregated by

accessed by

used by

used by

アプリケーション連携

構造概念要素

構造概念要素記号説明名称

データ対象自動的な処理に適した受動要素。アプリケーションレベルだけでなく、ビジネスに対しても明確な意味を持つ自己充足的な情報の断片。

名詞

アプリケーション・コンポーネ

ント

内部に隠蔽した挙動とデータを、インタフェース集合によって外部に提供するように、モジュール化され展開可能で置換可能なソフトウェアシステ

ムの部分。機能の自己充足的な単位。

名詞

アプリケーション連携

挙動の組み合わせを連携して実行する複数のアプリケーション・コンポーネント。アプリケーション・コンポーネントの論理的もしくは一時的な連

携をモデル化する。

名詞

アプリケーション・インタフェース

ユーザや他のアプリケーション・コンポーネントに対してアプリケーション・サービスが提供されるアクセス点。コンポーネントの機能が他のコンポーネントからどのようにアクセスできるか、また環境からコンポーネントのどの機能が必要とされるかをアプリケーション・インタフェースが指定する。

名詞


挙動概念要素

挙動概念要素記号説明品詞

アプリケーション機能

アプリケーション・コンポネントによって実行される自動化された挙動の集合。アプリケーション機能がアプリケーション・コン

ポーネント内部の挙動を記述。

動名詞

アプリケーション相互作用

アプリケーション連携による挙動を記述。アプリケーション相互作用は、アプリケーション連携に参加するコンポーネントによって実

現される挙動の集合を記述。

動詞

アプリケーション・サービス

自動化された挙動をサービスが提供する。アプリケーション・サービスは、環境視点で意味を持つ必要がある。サービスでは、ユーザ

に有用となる機能単位を提供する必要がある

動名詞または、接尾語が

サービス


アプリケーション層モデルの基本構成


アプリケーション・インタフェース

アプリケーション・コンポーネント

アプリケーション・サービス

データ対象

割当関係

実現関係

アプリケーション・機能

アクセス関係

割当関係

挙動構造要素

情報構造要素

挙動要素

アプリケーション層モデルの基本構成


アプリケーション・コンポーネント

アプリケーション・インタフェースアプリケーション・サービス

アプリケーション機能

データ対象

ArchiMateの技術層メタモデル


基盤サービス

基盤機能

accesses

realized by

realizes

assigned from

uses

成果物 assigned to

triggered by/ flow to

accessed by

ノード

基盤インタフェー

ス

uses

used by

assigned from

assigned to

assigned to

composes

composed of

assigned from

realizes

used by

used by

デバイス

システムソフトウェア

通信パス

realizes

ネットワーク

realized by

associated with

associated with

associated with

associated with assigned to

realized by

assigned from

accessed by

accesses

uses

triggers/ flow to triggered by/

flow from

構造要素

構造要素記号説明例

ノード成果物が格納され、実行のために配置される計算資源

サーバ

デバイス成果物が格納され、実行のために配置されるハードウェア資源

メインフレームデバイス


成果物の形の中に配置されるコンポーネントやオブジェクトの具体的な種別に対するソフトウェア環境を表現

トランザクションサーバやDBMS


構造要素

構造要素記号説明例

基盤インタフェース

他のアプリケーションやノードによってノードで提供される基盤サービスが利用できるアクセスポイント

クライアントサーバソフトウェアが提供するクライアント・インタフェース

ネットワークデバイス間の通信メディアメインフレームとPCを接続するためのLANネットワーク

通信パスデータ交換する複数ノード間のリンク APサーバとクライアント間のメッセージ・キュウ


構造要素構造要素記号説明例

ノード成果物が格納され、実行のために配置される計算資源

サーバ

デバイス成果物が格納され、実行のために配置されるハードウェア資源

メインフレームデバイス


成果物の形の中に配置されるコンポーネントやオブジェクトの具体的な種別に対するソフトウェア環境を表現

トランザクションサーバやDBMS

基盤インタフェース

他のアプリケーションやノードによってノードで提供される基盤サービスが利用できるアクセスポイント

クライアントサーバソフトウェアが提供するクライアント・インタフェース

ネットワークデバイス間の通信メディアメインフレームとPCを接続するためのLANネットワーク

通信パスデータ交換する複数ノード間のリンク APサーバとクライアント間のメッセージ・キュウ


技術要素

挙動要素記号説明例

基盤機能ノードで実行できる基盤的な振舞をグループ化する挙動要素

DBMSノードによるデータの操作機能と管理機能

基盤サービス環境に対して意味があり、適切に定義されたインタフェースを介して、ノードによって提供される外部から見える機能の単位

MOMによるメッセージングサービス


情報要素記号説明例

成果物ソフトウェアの開発過程ならびに、システムの展開と運用によって利用されるか生産されるデータの物理的な場所

APサーバが提供するEJB


 O-DA:Open Dependability through Assuredness

 機能安全で注目されるディペンダビリティ（保証）ケース

 運用や試験などへの適用事例の紹介

 アクター概念による保証ケース拡張

 SEMATと保証ケース


D-Caseの全体構成例


要件定義

設計

製造

試験

サービス戦略

要件定義 D-Case

設計D-Case

製造D-Case

試験D-Case

サービス戦略D-Case

開発D-Case

運用D-Case

開発プロセス

運用プロセス

サービス設計

サービス移行

サービス運用

継続的サービス改善

サービス設計D-Case

サービス移行D-Case

サービス運用D-Case

サービス改善D-Case

保証ケースと形式手法


保証ケース形式手法

意図（主張）不変式

証拠確信度

アーキテクチャ証明対象

コンポーネント

Documents

名古屋大学 情報連携統括本部 情報戦略室 教授 山本修 …aofa.csce.kyushu-u.ac.jp/documents/Yamamoto-2014-03.pdf高保証アーキテクチャ 指定された保証すべき性質が実現されているアーキテク

名古屋大学情報連携統括本部情報戦略室教授山本修 …aofa.csce.kyushu-u.ac.jp/documents/Yamamoto-2014-03.pdf高保証アーキテクチャ指定された保証すべき性質が実現されているアーキテク