Information-technology Promotion Agency, Japan

Copyright © 2017 IPA

「2017 STAMP Workshop」参加報告

～参加者が増え続ける本ワークショップの魅力～

独立行政法人 情報処理推進機構（IPA）

技術本部 ソフトウェア高信頼化センター（SEC）

金子 朋子

1Copyright © 2017 IPA

目次

• 開催概要

• 今回の特徴は？

• ワークショップの内容は？

• 注目すべき発表は？

• ポスターセッションは？

• 産業界への展開は？

• 日米欧の協調連携

• 第2回STAMPワークショップ in Japan

2Copyright © 2017 IPA

開催概要

• STAMP Workshop2017は2017年3月27日～30日までマサチューセッツ工科大学MIT（ボストン、米国）で開催

• 本ワークショップの講演数は３２件、 ポスター発表は9件• ワークショップは、初日1日のチュートリアルと3日間のプレゼンテーションで構成

MIT stataビル（ワークショップ会場） Nancy Leveson教授と共に

3Copyright © 2017 IPA

今回の特徴は？ワークショップ2017参加者（新旧別）

図1.ワークショップ2017参加者（新旧別）

• 2012年より始まったワークショップは今回で6回目• 参加数は２７５－３００名で昨年度より１２％増• 参加者が増え続けており、新規参加者は73%を占める

＊MIT研究室資料より引用

4Copyright © 2017 IPA

ワークショップ2017参加者（国別）

図2.ワークショップ2017参加者（国別）文字の大きさで人数の多さを表現

24か国から参加があり、 日本からは15名で、米国に次ぐ参加であった。

＊MIT研究室資料より引用

5Copyright © 2017 IPA

ワークショップ2017参加者（所属別）

図3.ワークショップ2017参加者（所属別） 文字の大きさで人数の多さを表現

• 発表をしていないが、参加者の多い企業も存在（特に自動車系）

＊スポンサー ： Akamai（当初よりスポンサーとなっている）、 GM、 JR東海＊Boeing社とEmbraer社はMITと共同で分析を実施

＊MIT研究室資料より引用

6Copyright © 2017 IPA

ワークショップ2017参加者（産業別）

図4.ワークショップ2017参加者（産業別）

20程度の産業分野より多様な企業、政府機関、大学と産官学が参加航空宇宙・防衛が４０％、自動車が２０％

Birds of a Featherセッション開催、産業別の交流航空宇宙/防衛と自動車、ヘルスケア、石油＆ガス、作業安全のグループ

＊MIT研究室資料より引用

7Copyright © 2017 IPA

ワークショップの内容は？（1） チュートリアル

STAMPとシステム理論のイントロダクション STPA、CASTの実務と議論

STPA イントロダクション

STPA実務 CAST イントロダクション、

例

サイバーセキュリティーとSTPA

STPA実務 CAST実務 サイバーセキュリティー実務 STPA における人-自動化の

インタラクション

作業場安全でのSTAMP

• チュートリアルでは基本編としてSTAMP、STPA、CASTのイントロダクション、および応用編としてそれぞれの演習を実施。

• 拡大テーマとして、今年はヒューマンファクターと作業現場での安全のプレゼンテ―ションが行われた。

8Copyright © 2017 IPA

（２） 講演：方式（手順）の提案 STPAの拡張

タイプ 対象 業界 内容 提案者方式（手順）の提案STPA の 拡張

ハザードシナリオの生成法

MIT・JAXA

MIL-STD-882EとSTAMPとの対応付け

航空宇宙・防衛

Genaral Dynamics

ISO 26262との対応付け

自動運転車 シュトゥットガルト大学、Continental AG

STPAの拡張 IoTセキュリティ

セキュリティへの対応を含めたIoTのコントロールモデル提示（自動ドアの事例で説明）

LawrenceLivermore NationalLab

STPA-SEC セキュリティ 航空 フライトマネジメントシステムへのセキュリティ適用

Embraer社・航空技術大学・アルフェナス連邦大学

セキュリティ サ プ ラ イチェーン

飲料製造者 デンマーク技術大学

STPAの産業界での実践

推進のポイント

産業界 役割の明確化、推進のこつ、資源

MIT

STPAの拡張 自動運転車 自動車 新しい非安全なヒューマンインターアクション

MIT

STPAの拡張 軍事的意思の決定

防衛 社会技術システムのコーディネーションフレームワークの提示

US Air Force

9Copyright © 2017 IPA

（２） 講演：STPAの適用

9

タイプ 対象 業界 内容

STPAの適用

現場安全 航空 ・キーとなるドライバ、傾向分析・ユーザー（human）の観点を含めて解析

BoeingMITと共同

空調制御 航空 ・設計レベルへの安全制約とレコメンデーションの生成・STPA適用のベストプラクティスとTips

EmbraerMITと共同

無人航空機システム 航空 US Air ForceMITと共同

ロータークラフトの設計

航空 US. Air Force/ArmyMITと共同

脅威・エラー管理 航空 人に対して、メンタルモデルを適用

グラーツ工業大学（オーストリア）

フライトテストでの過度の自動化のシナリオ

航空 人-自動化自動かが新たなリスクをもたらす

MIT、ブラジル空軍

電気自動車の高電圧対策

自動車 ブラウンシュヴァイク工科大学

レーン保持アシスト 自動車 ドライバの注意散漫（ヒューマンエラー）に着目

コロラド州立大学

建設現場の安全性 建設 法律、規制との関係 デモクリトス大学

飲用水供給システムのリスク分析

ライフライン 組織や社会面との関係 ベオグラード公共水道事業体、ベオグラード大学

蝸牛インプラントシステム

医療用ソフトウェア（CPS）

アーンドラ大学（インド）

10Copyright © 2017 IPA

（２） 講演：STAMPの考えの適用 CASTの適用

タイプ 対象 業界 内容STAMPの 考 えの適用

メンテナンス 鉄道 設計・企画、動的な要素や as-designedとas-buildとの差異

インペリアルカレッジ、トゥエンテ大学、オランダ鉄道メンテナンス会社

CASTの適用

ベビーフードによる事故分析

薬品 法律、規制、組織を含めた解析

ベングリオン大学（イスラエル）

自動運転での道路安全 自動車 ヒューマンエラーを分類し、CASTを拡張Teslaの事故を解析

パリ国立高等鉱業学校、ルノー

航空機事故 航空 InstitutoTecnológico deAeronáutica（ブラジル）

航空機事故 航空 InstitutoTecnológico deAeronáutica（ブラジル）

滑走路侵入 航空 ヒューマンファクター Whiteley Consulting（イギリス）

11Copyright © 2017 IPA

注目すべき発表は？自動車関連

• コンチネンタル社はISO26262に適合した自動運転の安全アーキテクチャに対するアセスメントアプローチとしてSTPAを適用。ISO26261の安全スコープの拡張へ使用方法を提示。

• 自動車の機能安全規格ISO26262次期バージョンにSTAMPが例示される見込み今後、日本でも急速な普及展開が想定される。

http://psas.scripts.mit.edu/home/2017-stamp-presentations/

12Copyright © 2017 IPA

JAXAの発表

•有用性が評価され、海外で企業の導入の進むSTAMPだが、STEP2以降の対応が明確になっていない課題を克服するため。MITと共に、より実用的な手順に洗練していく。

現状の課題

•従来より、国内でSTAMP導入を先行してきたJAXAは、昨年、ＭＩＴと共同研究を再開した。

前提条件

•今回、日本からの唯一のステージ発表となったJAXAはひとみの事故分析を事例に用い、形式解析、STEP2の手順の洗練に注力

•分析の漏れぬけをなくすために、コントロールストラクチャから、最上位のシナリオ作成方法をルール化。

•見るべきシナリオのパターンと、文言の構造をルール化

実施事項

•本研究は、今年度末に作業マニュアルとしてJAXAより発行される予定。

今後の取り組み

13Copyright © 2017 IPA

フライトマネジメントシステムに対するSTPA-Sec適用

ブラジル航空技術大学、Embraer社等とMITの共同研究• セキュリティリスクアセスメントの活動はSTPAのSTEP1と2でカバーされていることを提示• Embraer社はSTPA-SecをED-203A/DO-356Aの代替手段として提案中

http://psas.scripts.mit.edu/home/2017-stamp-presentations/

14Copyright © 2017 IPA

IoTに対するSTPAについて （Lawrence Livermore National Lab）

• IoTのもたらすセキュリティー上の脅威に対し、STPAを利用• これまで文献上で得られていた脆弱性が6-10だった事例に対し、201のセキュリティー上の脆弱性、ハザード等を発見でき、優位性を確認

IoTベーシック論理モデル

http://psas.scripts.mit.edu/home/2017-stamp-presentations/

15Copyright © 2017 IPA

「A proposal for "hint words" to identify hazard causal factors for systems including human」

•現在、安全性解析を必要とするシステムの大きな部分を占め、重要性が大きい人と組織と機械が協調して動作するシステムの安全性分析では、人と組織によって安全性が破られる原因の例が整理されていることが望まれる。

現状の課題

•人間工学における人の認知行動モデルを使い、ハザードにつながる要因を考えることができる

前提条件

•人と組織に関するハザード誘発要因を識別するヒントワードを提案。とりこの事例で説明

実施事項

•これらのＨＣＦは現実的に十分な網羅性をもつと鉄道のエキスパートからの評価を得た

効果

ポスターセッションは？IPA/SECのポスター発表

16Copyright © 2017 IPA

JASPARのポスター発表

•自動運転などより複雑でより新しいシステムは、過去の知見が通用しない場合が多く、結果の確認だけでは妥当性が判断できない

現状の課題

•MIT推奨アプローチに論証補強のため可視化を追加。STEP0のSTPAの拡張を図った

実施事項

•可視化により過程の確認できるようになった結果、妥当性が判断し易くなった

•STAMP/STPAをISO26262のレビューで使えるようになった。

効果

•JASPARのセッションでは海外自動車メーカーを中心に約100名の訪問

発表状況

17Copyright © 2017 IPA

産業界への展開は？

産業界での実践やMITの目指す今後の取り組みについて、周知や議論

産業界での実践①組織の上層部の理解を得ること②トレーナーをトレーニングすること③規制業種においては標準に入り込むことが必須であること

STPA推進のポイント①STPAファシリテーター、情報フィーダー、要求妥当性確認者等 役割明確化②コントロールアクションの抽出や抽象化のレベルにおけるSTPA作成のこつ③人、文書、ソフトウェアの必要資源

18Copyright © 2017 IPA

日米欧の協調連携

STAMPワークショップ in Japan

STAMP Workshop at MIT

European STAMP Workshop

3 or 4月開催

9 or 10月開催11 or 12月開催

http://www.ipa.go.jp/english/sec/complex_systems/stamp_workshop.html

http://psas.scripts.mit.edu/home/

http://stamp-workshop.eu/index.shtml

19Copyright © 2017 IPA

European STAMP Workshop 2017について

第5回European STAMP Workshop（ESW）• 2017年9月13日-15日 レイキャビク（アイスランド）• テーマ「複雑な社会技術システムのセーフティーとセキュリティー」

• Proceedingsを発行する国際会議として開催。

• 今回の参加でチューリッヒ大学とアムステルダム大学、次回のアイスランドの議長等、欧州主要メンバーと交流

https://en.ru.is/stamp

20Copyright © 2017 IPA

第2回STAMPワークショップ in Japan

【開催概要】名称 ：第2回STAMPワークショップ in Japan日時 ：2017年11月27日(月)、28日(火)、29日(水)主催 ：IPA/SEC会場 ：慶応大学 三田キャンパス 三田北館ホール募集人数：200名参加費：無料

＊WOCSSとの連続開催

第2回STAMPワークショップ

in Japan2017年11月@東京地区

計画中

21Copyright © 2017 IPA

ご清聴ありがとうございました

Ｔｈａｎｋｙｏｕ

Ｄａｎｋｅ

22Copyright © 2017 IPA