-
情報システムのディペンダビリティ
システムのディペンダビリティ(dependability)とは、大まか にいえば、 広い意味での信頼性といえます。狭い意味での信頼性は、 システムが正しいサービスを継続して提供できるか どうかを表す性質ですが、ディペンダビリティといった場合には、 それに加えて、安全性なども考慮します。
詳しくは、ディペン ダビリティの周辺の用語を整理した標準的な論文である Basic concepts and taxonomy of dependable and secure computing を参照してください。
もともと、信頼性(reliability)や安全性(safety)はそれぞれ 別々に研究されてきましたが、だんだんとそれぞれの扱う範囲が 広がっていき、また重なる部分も多くなってきたため、それらの 研究分野で対象とする性質を全て含むような用語として ディペンダビリティは現れました。あと、セキュリティ(security)も 広い意味で使われることがありますので、それぞれの関係を図 で表すと次のようになります。
図にはそれぞれの大まかな特徴も書いてあります。ディペンダビリティ という用語の「こころ」は、「ユーザから見れば安全性とか信 頼性とか細かいことは興味がないので、 とにかく安心して使えるシステムがほしい」と 行ったところだと思います。訳としては、「安心」が適してい るかなと思います。
新しいディペンダビリティの概念確立に向けて
従来のディペンダビリティは、当然かもしれませんが、 事前の対策に重点が置かれていました。予めできる限りの リスク分析・リスク評価を行い、それらに対して 対策を施すという方針です。もちろん、事前の対策は できる限りのことはしておかなければならないことは 当然ですが、現在の情報システムは、それでも事故は 避けられないということが、共通の認識になりつつあります。 例えば、IPAの 重要インフラ情報システム信頼性研究会平成21年度報告書には、 起こってはいけないはずの重要インフラ情報システムにおける事故が 多く報告されています。多くはソフトウェアのバグが原因ですが、 これは、ある程度の規模のソフトウェアであれば、 原理的になくすことができません。 ソフトウェアのバグ以外にも、現在の情報システムは、様々な レベルでの不確実性や多様性を持ち、そのような中でも 利用者は何らかの意味で「安心」してシステムを使いたいと願 うのは当然のことです。このような問題に立ち向かうプロジェ クトが、現在私が関わっている CREST「実用化を 目指した組込みシステム用ディペンダブル・オペレーティング システム」研究領域(DEOSプロジェクト)です。
少しまとめると、今後は事故が 発生することを前提とした対応が重要になると思われます。 そこで、我々が重視しているは次の二つです。
- 利害関係者間での合意形成
- 情報システムの危機管理
このうち、危機管理に関してはまだ研究を始めたばかりですので、 合意形成について簡単に説明します。
-
利害関係者間での合意形成
情報システムの事故が避けられないのであれば、そのこと も含めてシステムに関係する利害関係者の間で、様々な合意を 形成することが重要な役割を果たすことになります。例えば、 あるシステムを開発する際、現状では開発者と発注者はシステムの リスクに関して共通の認識を持っているとは限りません。これを、 明示的に様々なリスク、および想定していない事故が発生した場合の 対応に関して合意しておくことにより、発注者がリスクを無視した システムの使用をしたり、開発者が無限責任を負わされることが なくなると期待されます。このような合意の枠組みとして 現在保証ケース(assuarance case)が注目されています。
保証ケースはもともと安全システムなどの分野で発達してきた 文化である安全ケース(safety case)などをもとにして いるもので、現在、国際標準規格が策定されつつあります (ISO/IEC JTC1/SC7/WG7)。 産総研では私を含めてこの国際標準化に何人かが関わっています。