ハイブリッド認証に向けての工学的アプローチ - ipa1-5...

田口研治＠産業技術総合研究所

第１１回クリティカルソフトウェアワークショップ（11th WOCS2）

ハイブリッド認証に向けての工学的アプローチ

2014年01月16日

（独）産業技術総合研究所

セキュアシステム研究部門（RISEC)

システムライフサイクル研究グループ

田口研治


自己紹介

【経歴】産業技術総合研究所招聘研究員（併任） 2010年4月～

（株）シーエーブイテクノロジーズ代表取締役社長 2011年4月（設立）～産業界における11年間の経験

– ソフトウェア業界における研究開発・コンサルティング大学・研究機関での13 年間の経験

– 海外の大学教員（5年間） Uppsala Uni. (Sweden), Bradford Uni. (UK)

– 国立情報学研究所特任教授（ 5年間）

【共同研究】＋新列車制御システムの評価・安全分析

【規格、国際会議関連】 International Conference on Formal Engineering Methods 2012 のプログラム委員長 OMG System Assurance Platform Task Force の co-chair

FP7 OPENCOSS プロジェクトの External Advisory Board Member

IPA/SEC コンシューマデバイス安全標準化WG 副主査 SICE 認証工学 WG 主査

【専門分野】＋高信頼システム開発方法論（形式検証、国際規格認証、システム保証、安全・脅威分析方法論）＋形式手法、ソフトウェア工学、システムアシュアランスに関する、多くの主要な国際会議の PC等を歴任（iFM’03, TASE ‘03, ICFEM ’03, ASSURE ‘03, ICECCS ‘03）


著書（編者、著者）

Integrated Formal Methods (iFM) 国際会議設立(1999年）。共同編者

International Conference on Formal Engineering Methods (ICFEM) 国際会議2012年。共同編者

ソフトウェア科学基礎、近代科学社 2008年。共同著者

ACM SIGCSE, inRoads Bulletin, 2009年。共同編者(Special Issue on Formal Methods Education and Training)

セキュリティ要求工学の実効性、情報処理学会学会誌 2009年。共同編者


産総研/RISEC における規格・認証への取り組み

• 様々な（機能）安全規格・ガイドラインに対する企業の取り組みを支援– 電気・電子機器 IEC 61508

– 車載組み込みシステム ISO 26262

– 鉄道システム IEC 62278

– 航空機 DO-178C

• システムの品質の保証のための、最適な開発技術、開発プロセス、システム保証の研究開発を支援– 認証を含めたシステム保証プロセス構築– 安全分析支援、安全管理システム構築支援– 認証プロセス

• 新たな規格策定への取り組み– コンシューマディバイス安全規格の策定支援

マルチドメイン（横断的、包括的）アプローチ

システムアシュアランスからのアプローチ

規格の策定から認証までを包括的に実施


講演内容1. 安全、セキュリティ規格認証を取り巻く状況

1-1 背景

1-2 様々な問題点

1-3 欧州における新しい研究動向（OPENCOSS）

1-4 日本の立ち位置

1-5 認証工学（Certification Engineering）

2. 認証に関する様々な工学的アプローチ

2-1 主なアプローチ

2-2 モジュラー認証（Modular Certification)

2-3 ハイブリッド認証（Hybrid Certification)

2-4 共通認証言語（Common Certification Language)

2-5 モデルベース規格策定方法論（Model-based Design Methodology for Standards/Guidelines)

2-6 コンシューマデバイス安全規格

2-7 DCM の一部

3. SafSec 方法論

3-1 SafSec の概要

3-2 SafSec Standard: 概要

3-3 SafSec Standard: 用語の構造

3-4 SafSec Standard: GSN

3-5 SafSec Standard: 要件3-6 SafSec Guidance：概要3-7 SafSec Guidance: 比較表

4. SafSec の実証実験

4-1 SafSec の試行例

4-2 実施範囲

4-3 ロスの統合

4-4 安全性、セキュリティのロスとそれらの統合

4-5 報告内容

5. ハイブリッド認証の課題

5-1 ハイブリッド認証の問題点

5-2 ハザード（脅威）分析とリスクアセスメント

5-3 理想的なセキュリティ分析

5-4 セキュリティ⇔安全性?

5-5 セキュリティ・安全規格の現状

5-6 車載組込みシステムの場合

6. まとめ

6-1 本日の講演のまとめ

参考文献


１．安全、セキュリティ規格認証を取り巻く状況


1-1. 背景

製品の安全性（信頼性、セキュリティ）を保証することが必要条件。

様々な製品が開発され、それに従い新たな規格・ガイドラインが策定。

製品開発における主な手法が差分開発（レガシー部分の拡大）。

第三者認証機関による、適合性確認が社会的に認知され広く利用。

社会的コンセンサス・制度

製品開発

第三者機関による適合性確認

市場に製品を出すまでの期間の短縮。

新たな開発技術、検証技術、品質保証技術の導入。

製品・プロセス認証に関する問題点

認証機関の問題点

標準・規格に関する問題点


1-2. 様々な問題点製品・プロセス認証に関する問題点

適合性確認のための費用• 航空機の例

DO-178B 認証の場合、通常は 20%~40% のコスト。問題が生じた場合には 70%~200% （[1]）

認証に係る期間• 数か月~数年

• 認証のための開発プロセスの見直し規格において規定されているプロセスと既存のプロセスのギャップが存在

認証に関するコスト-利益などのデータの欠如• 客観的なデータが存在しない

効果が不明• 規格通りに製造した製品において、実際にどれだけシステムの品質、安全性、信頼性が向上したかが不明

適合性確認のための明確な基準の欠如• 規格にどこまで適合しているかどうかを明確に示す判断基準、ツール支援が無い

認証機関の問題点

認証機関・認証官により、要求される成果物の内容、質が異なる

標準・規格に関する問題点

標準・規格の記述が曖昧• 解釈が一意的に定まらず、解釈の幅が大きく、学習コストが高い

認証プロセスが記述されていない• 成果物や開発プロセス、開発技術等については記述されているが、どのようなプロセスで認証が行われるかは規格には記述されてい

ない。


1-3. 欧州における研究動向（OPENCOSS）

• OPENCOSS（Open Platform for EvolutioNaryCertification Of Safety-critical Systems）

• http://www.opencoss-project.eu/

プロジェクト名研究ファンド予算期間

OPENCOSS FP7-ICT 約12 M Euro (1,572,000,000円) 2011/10~2015/03

OPENCOSS の目標：認証のためのマルチドメイン（鉄道、航空機、自動車）の共通プラットフォームの作成認証コストの 40% 削減安全リスクの 20% 削減技術革新と製品改訂に対する 20% の潜在的な増加参画組織：TECNALIA (Spain), Alstom Transport (France), AdaCore (France),

inspearit (formerly DNV Global IT Services, France), U. York (UK), Fiat (Italy),

THALES Avionics (France) , 他アドバイザりボード：European Railway Agency, EADS, BAE Systems, Airbus, TUV

Rheinland, NASA, AIST, Toyota, 他

http://www.opencoss-project.eu/


1-4. 日本の立ち位置

規格の策定（ISO, IEC, IEEE, OMG）主に欧米の後追い

認証機関徐々に国産認証機関が立ち上がってきているが、認証に関する国際マーケットでのプレゼン

スはゼロ日本品質保証機構（JQA）

（独）交通安全環境研究所（鉄道認証室（NRCC)）

…

プライベート認証国際承認の枠外である認証が行われている

認証に関する研究産総研を中心に活動が始動

強い製品開発 vs 弱い国際標準化活動

この構図からの脱皮が必要！

「認証工学」の確立に向けて！


1-5. 認証工学（Certification Engineering）

認証工学とは？

規格・標準化

信頼性工学

ソフトウェア工学

安全性工学

認証

システム保証認証、規格策定だけではなく、システム保証の枠組みを含んだ学際分野。

工学的、科学的方法論の確立様々なステークホルダ（メーカー、認証機関、大学研究機関）が利害関係を超えて、

課題に取り組むことが出来るフォーラムの提供。

SICE （計測自動制御学会）において「認証工学 WG」が 2013年12月に設立。今後、学会活動（研究会、講演会）を実施する予定。


2．認証に関する様々な工学的アプ

ローチ


2-1. 主なアプローチ

モジュラー認証Modular Certification

ハイブリッド認証Hybrid Certification

共通認証言語Common Certification Language

モデルベース規格策定方法論Model-based Standard/Guideline Development

Methodology


2-2. モジュラー認証（Modular Certification）

• 様々な製品が標準化された参照アーキテクチャに基づいて開発されている• 自動車（AUTOSAR）

• 航空機（Integrated Modular Avionics)

• アーキテクチャ上、コンポーネントとして設計、実装されたソフトウェアに対して個々に認証が可能になれば、差分開発した部分だけの認証が実施可能。– 認証コストの削減につながる

• 現在のところ、様々な提案があるが、まだ現実的には利用されていない。

[18] J. Rushby: Modular Certification, CSL Technical report, SRI International, 2001.


2-3. ハイブリッド認証（Hybrid Certification）

• ハイブリッド認証（新たな造語）とは、異なるシステム属性に関する複数の規格によ

る同時認証を意味する。

• 多くのシステムが複数のシステム属性（安全性、信頼性、セキュリティ）を満たすこ

とが望まれている。

• 一つの規格において、複数のシステム属性を取り扱う規格は少ない

• 鉄道規格である IEC 62278 (EN 50126）([3])においては、信頼性

（Reliability）、可用性（Availability）、保守性（Maintainability)、安全性

（Safety)が取り扱われる。

• セキュリティと安全性に関する同時認証

• 英国 MOD による SafSac [9], [10] 方法論による試行。

[9] Praxis: SafSec: Integration of Safety & Security Certification, SafSec Methodology: Guidance Material, 2006.

[10] Praxis: SafSec: Integration of Safety & Security Certification, SafSec Methodology: Standard, 2006.


2-4.共通認証言語（Common Certification Language）

FP7 の OPENCOSS において開発中。

セーフティケースの記述、根拠書類の特性に関する記述、コンプライアンス管理の記述を包括する言語を設計すること目指している。

現時点では、言語としての設計まで到達していない。

製品に対して認証を取得する場合、製造メーカーと認証機関との間のコミュニケーションを支援する言語があることが望ましい。

個々の製品別ではなく、汎用的な言語があることが望ましい。

マルチドメイン（自動車、航空機、鉄道）の言語の設計を目指している。


2-5.モデルベース規格策定方法論（Model-based Design Methodology for Standards/Guidelines）

• 国際規格やガイドラインを、モデルベースで策定するという方法論。

• モデルの記述のために、自然言語より正確に記述できる言語・表記法を利用

– 規格の曖昧さの排除

– ステークホルダ間の合意形成を支援

• 将来的には、ツールにおいて実行可能な規格の策定を目指す。

従来と同じ規格・ガイドライン

規格のモデル

規格の実行可能なモデル

例えば、UML プロファイルで記述。

安全分析ツールや、何がトレーサブルかどうかなどを記述

ツールが解釈することで、成果物と規格との適合性確認が自動的に可能

[17] K. Taguchi, et. al: Meta-modelling approach to standardizing Safety-Sensitive Consumer Devices, APCOSEC 2013


• OMG (Object Management Group) System Assurance PTF

– 座長の一人（田口研治（産総研））• IPA/SEC コンシューマデバイス安全標準化WG

– 主査（新誠一、電気通信大教授）、副査（田口研治、産総研）

2-6.コンシューマデバイス安全規格

ディペンダビリティプロセスの定義

Dependability Assurance Case Template (DAC)

Dependability Conceptual Model (DCM)

Dependability Process Model (DPM)

ディペンダビリティケースによる保証の構造記述

ディペンダビリティ概念モデルの定義

消費者機械規格

自動車介護ロボットスマートハウス・・・

目的：消費者機械という製品カテゴリーに対するディペンダビリティの保証。

特徴：日本主導型の製品のシステム保証と、開発方法論。

[14] Dependability Assurance Framework for Safety-Sensitive Consumer Devices (SSCD), sysA/2013-11-01, 2013[16] 大畠, 他, “消費者機械安全性・信頼性保証の国際標準化”, SEC journal No. 27, 2012年1月, 第7巻第4号


ディペンダビリティ保証のレベルの定義

概念モデルと、概念の定義が英語で記述。

規格策定における概念定義に関する議論が容易規格の利用者の概念に対する理解が容易

2-7.DCM の一部


3. SafSec 方法論


3-1. SafSec の概要（[9], [10]）目的

既存の安全とセキュリティの規格を置き換えるものではなく、既存の規格に対して、より効

率的に認証を得るための枠組みの提供。

特徴

プロセスベースでは無く、ゴールベース（モジュラーなDependability case を元に保証を

行う）。

ディペンダビリティを規格の基本的なシステム特性としている。

対象規格

安全規格（Def-Stan 00-56 [4] )

セキュリティ規格（ISO/IEC 15408、通称 Common Criteria [6]）

実施機関

英国防衛省（MOD）による支援により、（旧） Praxis High Integrity Systems 社（新：

Altran Praxis 社）が実施。

構成される文書

SafSec Standard と SafSec Guidance

対象システム

AAvA (Advanced Avionics Architectures) のための IMA (Integrated Modular

Avionics) を対象とし、モジュラー認証を支援。


3-2.SafSec Standard: 概要構成

用語集説明用のモデル構造化された要件

特徴的な用語ディペンダビリティ Dependability (The ability to deliver service that can justifiable be trusted）

ロス（ハザードや脆弱性の代りの統一的な概念） Loss (A state of the system that has the potential to lead to an undesired external effect)

原因インパクト分析（安全分析、脅威分析（リスクアセスメントを含む）） Cause and Impact Analysis (An analysis of losses that ties together cause and impact that follows from

these causes

アセット Asset (Defining dependability requires that there is an understanding of the entities of value in the domain

in which the system operats. These valued entities are assets. The entities may be people, equipment,

data or services.

軽減議論 Mitigation Argument (An argument that a set of dependability specifications are appropriate to mitigate

the risk associated with a loss to an acceptable level. This means a justification, with appropriate

evidence, that the stated DSs are sufficient to achieve a residual risk that meets the dependability target)


3-3.SafSec Standard: 用語の構造

([] P20 Figure 1)

ハザード（00-56)

脆弱性（IS1）

ロスの深刻度と頻度の組み合わせ（00-56)

モジュール化された議論構造に関する箇所

FTA, ハザード分析（00-56)

脅威分析 (CC)

保護資産（CC）

リスクが回避されていることを保証する議論


3-4. SafSec Standard: GSN GSN (Goal Structuring Notation) は

York 大学の Tim Kelly 教授により開発された議論構造を記述するための記法。

モジュールとパターンによる拡張がある。

GSN Community Standard により規定

認証のための根拠資料として利用されるセーフティケース（アシュアランスケース）の記述のために主に利用されている。

– EUROCONTROL (The European Organisation for the Safety of Air Navigation)

– Rail Yellow Book

– MoD Defence Standard 00-56

– ISO 26262 [5]

– US. Food and Drug

Administration Infusion Pump

Improvement Initiative

ゴール : システムが満足するべき目標(部分目標)

ストラテジー : 論証の方法。ゴールからサブゴールを導く方針

ソリューション : 論証をサポートする具体的な証拠

コンテキスト : 議論の背景や文脈


3-5. SafSec Standard: 要件

規格との適合性確認は、枚挙された要件を満たすかどうかにより行われる。要件は、議論構造内の「主張（Claim）」の形で記述される。

GSN による記述（一部のみ）（ChangeVision社の Astah/GSN を利用）

最上位の充足すべき要件：

G1: システムがディペンダブルであることを論証できる（System

Is demonstrably dependable)

G2: 十分なロスが同定され軽減されている（Sufficient losses are

Identified and mitigated)


SafSec Standard における要件の構造（[10]）


3-6. SafSec Guidance：概要

Guidance においては、 Standard で示された記述をより、具体的に示している。

Annex において、実際に実施に必要な作業についての説明（例）ロスオプ会議（ロスの同定を実施） LossOp (Loss and Operability Study) Meeting

ロスは、様々なシステム属性、アセット、システム構成部分において同定される。

ロス（属性）アセットシステムもしくはコンポーネント

機密性システムコンフィグデータシステム管理部

完全性アプリケーションメッセージシステム管理部

可用性メニュー選択アプリケーション

ロスに対するリスクアセスメントは、原因インパクト分析により実施される。

原因分析（Causal analysis) 頻度を決定する

インパクト分析（Impact analysis）深刻度を決定する


3-7. SafSec Guidance: 比較表

SafSec 概念安全領域における概念セキュリティ領域における概念

アシュアランス要件 SIL EAL

原因分析 FTA, FMEA 脅威/脆弱性分析

ディペンダビリティケースセーフティケース ST (セキュリティターゲット）

ディペンダビリティ要件安全要件セキュリティ・オブジェクティブ

ロスハザード脆弱性

リスク頻度と深刻度頻度と深刻度

概念の関係

DefStan 00-56 の保証要件との関係

DefStan 00-56 SafSec 要件

Hazard Identification

and Analysis

G5, G6, G7

Risk Estimation G6, G7

Risk Reduction G12, G13

CC の保証要件との関係

CC SafSec 要件

ADV_FSP G15

ASE_OBJ G12

ATE_COV G10, G17, G18


4. SafSec 実証実験例


4-1. SafSec の試行例

IPA/SEC ソフトウェア品質説明力強化に向けた実験 http://www.ipa.go.jp/sec/softwareengineering/reports/20130215-2.html

IC カードを用いた社会情報基盤システムにおける、安全性とセキュリティの同時認証に関する実証実験実施会社：（株）シーエーブイテクノロジーズ

報告書 http://www.ipa.go.jp/files/000026855.pdf

SafSec における上流部分を IC カードを利用した社会情報基盤システムを想定して実施。

対象システム： VRICS （Value and Right Circulation control System）九州大学福田晃教授、石田浩二客員准教授との共同研究

セキュリティの脅威と安全性のハザードに関する統合について試行し、SafSec と、通常と想定されるプロセスの間の工数の考察を行った。


4-2. 実施範囲


4-3. ロスの統合

ハザード分析脅威分析

安全性セキュリティ

ロスオプ会議（Loss and Operability Study meeting

セキュリティのLoss安全性のLoss

ロスログ

安全性、セキュリティ双方の）専門家が集まり重複等を排除する。

同定されたロスのリスト、各ロスに対し深刻度、頻度などを加え更新していく。


4-4.安全性、セキュリティのロスとそれらの統合

• 安全性のロス : 27件

• セキュリティのロス : 10件

• 統合されたロス : 34件

– 3件の重複を排除

① 正しくないコマンドデータによるICカードへのアクセス

② ICカードデータアクセス中の電源途絶

③ 不正な通信データによるサーバへのアクセス


4-5.報告内容

• 工数算定部分

– SafSec のプロセスと、そうでなプロセスを想定し、プロセスの中のアクティビティの工数を試算

– SafSec の方が工数の削減

• SafSec プロセスの特徴

– 統合を早い段階で行うことにより大きな手戻りが無くなることが観察された。


5. ハイブリッド認証の課題


機能安全規格（例:IEC 61508)

セキュリティ規格(例: ISO/IEC 15408)

製品


ハザードの同定＆リスクのアセスメント脅威の同定＆リスクのアセスメント

開発プロセス開発プロセス

課題：１）安全・セキュリティ分析

＋分析手法＋リスクアセスメント

２）開発プロセス＋異なるプロセスの擦り合わせ

が必要３）開発手法

＋技術の補完＋適用技術に関する読み替え

４）成果物＋成果物を各規格毎に分離

5-1. ハイブリッド認証の問題点二つの異なるプロセスとして実施した場合の問題点

認証のコストの問題 = 安全規格認証 + セキュリティ規格認証+α （理想：－α）


5-2.ハザード（脅威）分析とリスクアセスメント

製品


ハザードの同定＆リスクのアセスメント脅威の同定＆リスクのアセスメント

開発プロセス開発プロセス

課題：

１）ハザード分析と脅威分析の問題安全側とセキュリティ側では分析

手法が異なる脅威が安全性を脅かす場合の影

響を考慮する必要がある脅威分析に関する、十分に有効

性のある実証された方法論が無い

２）リスクアセスメントの問題安全側（SIL, ASIL, SL, …)とセ

キュリティ側（SL, EAL, …）は異なるメトリックスを利用しているので、アセスメントを統合して行うことは困難

３）ハザード分析（FTA、FMEA）の手法が確立されているのに対して、脅威分析の手法が確立されていない


5-3.理想的なセキュリティ分析

今後、セキュリティ分析の手法を確立するためには、安全側の手法を参考に発展、確立する必要がある。

予備ハザードリスト（Preliminary Hazard List)

予備脅威リスト?

（Preliminary Threat List)

予備ハザード分析（Preliminary Hazard Analysis)

予備脅威分析（Preliminary Threat Analysis)

存在しない。今後開発する必要がある（業界独自の脅威リストを用意するのが望ましい）

FTA

（Fault Tree Analysis)アタック木分析

（Attack Tree Analysis)

FMEA

（Failure Modes and Effects Analysis)


5-4. セキュリティ⇔安全性?

セキュリティ => セーフティセーフティ => セキュリティ

+ 脅威 => 安全機能を損なう => 事故

+ 脅威 => フェースセーフ機能 => システム停止

セーフティ要件に対する設計、実装にセキュリティ上の脆弱性が存在

• （機能）安全規格から見ると「セキュリティ」の問題がどのように「セーフティ」に影響するかを考える必要がある。• ただし、情報の漏えいといった問題が安全性に影響しない場合が多

いことは注意が必要。

• 「セーフティ」が「セキュリティ」に影響を与える場合は、例えば、セキュリティ要件の設計に脆弱性がある、といった問題が考えられる。


5-5. セキュリティ・安全規格の現状

ドメインセーフティセキュリティ

航空機 DO-178C, ED 202

車載電子機器 ISO 26262 ??

ドメイン複数システム属性セキュリティ

鉄道 EN 50126 / IEC 62278 (RAMS) EN50159-2 / IEC 62280-2

（機能）安全の規格があるドメインに対して、セキュリティ規格の策定が始まっている。 CC (IEC/ISO 15048) を利用する動きもある。

鉄道関係では、セキュリティの規格は通信系のみただし、通信系に対してはドイツ鉄道から CC の Protection Profile が発行

E DIN VDE V 0831-102 (VDE V 0831-102):2012-05

航空機に関しては、双方をどのように認証するかの試行がある。

[19] P. Bieber, J-P Blanquart, G Descargues, M Dulucq, Y. Fourastier, E. Hazane, M. Julien, L. Leonardon,

G. Sarouille: Safety and Security Assurance in Aerospace Embedded Systems, DRTSS, 2012


5-6.車載組込みシステムの場合

車載組込み機器に関するセキュリティの規格は現在存在しない今後、セキュリティ規格の策定に関しては、いくつかのシナリオが考えられる

シナリオ#1: 既存の規格体系を元に策定シナリオ#2: 様々なセキュリティ規格との適用）

どちらにしても、どのように両者の規格を適用するかについては、統合のための方法論が必要になると想定される。

IEC 61508

ISO 26262

IEC ?

ISO ?

シナリオ #1

機能安全セキュリティ

もしくは

Ｘ ?

シナリオ #2

ISO 26262

CC

SAE

Security Guidelines


６．まとめ


6-1. 本日の講演のまとめ

現在の国際規格、規格への認証に関する問題点の指摘

認証に関する新たな研究動向の紹介

安全とセキュリティの同時認証のための方法論 SafSec の紹介

ハイブリッド認証における課題の指摘

いままで、規格策定や認証に対して工学的なアプローチを取ろうとする考え方自体が無かったが、現在では様々な斬新な方法論が生まれつつある。

今後、このような動向に注目する必要がある。

認証に工学を、認証に科学を！


認証工学にご興味がある人

国際規格策定や製品・プロセス認証に関する工学的、科学的方法論の確立のためには、課題やその解決方法について、幅広く議論が出来る場が必要です。

そのために、メーカー、認証機関、研究機関が、認証や規格に関する諸問題を研究するためのフォーラムを設立します。

認証に関する新たな学問分野「認証工学」を確立し、新たな知見を創出する場として今後活動します。

SICE の「認証工学WG」では、今後認証に関するシンポジウム、研究会を開催します。ふるってのご参加をお願いします。


参考文献[1] V. Hilderman and T. Baghai: Avionics Certification -A Complete Guide to DO-178 (Software) DO-254 (Hardware), Avionics

Communications Inc., 2008.

[2] IEC 62278/EN 50126: Railway applications – Specification and demonstration of reliability, availability, maintainability and

safety (RAMS).

[3] IEC 62280-2/EN 50159-2: Railway applications – Communication, signalling and processing systems - Part 2: Safety-related

communication in open transmission systems, 2002.

[4] Def Stan 00-56: Safety Management Requirements for Defence Systems, 2007.

[5] ISO 26262- Part 1~Part 10, Road vehicles – Functional safety, 2011.

[6] ISO/IEC 15408: Common Criteria for Information Technology Security Evaluation, version 3.1, revision 4, 2012.

[7] IEC 61508 Part 1~ Part 7 : Functional safety of electrical/electronic/programmable electronic safety-related systems -, 2010.

[8] RTCA: Software Considerations in Airborne Systems and Equipment Certification, RTCA DO178C, 2011.

[9] Praxis: SafSec: Integration of Safety & Security Certification, SafSec Methodology: Guidance Material, 2006.

[10] Praxis: SafSec: Integration of Safety & Security Certification, SafSec Methodology: Standard, 2006.

[11] E DIN VDE V 0831-102 (VDE V 0831-102):2012-05, Electric signaling systems for ailways – Part 102: Protection profile for

technical functions in railway signalling, 2012.

[12] EUROCAE WG 72: ED 202 – Airworthiness Security Process Specification, 2010.

[13] ISA: Security for industrial automation and control systems, Part 3-3: System security requirements and security levels,

ISA-62443-3-3, Draft 4, 2013,

[14] Dependability Assurance Framework for Safety-Sensitive Consumer Devices (SSCD), sysA/2013-11-01, 2013

[15] A. Avizienis, J-C Laprie, Randell, “Basic Concepts and Taxonomy of Dependable and Secure Computing”, IEEE

Transactions on Dependable and Secure Computing, Vol. 1, 2004

[16] 大畠, 他, “消費者機械安全性・信頼性保証の国際標準化”, SEC journal No. 27, 2012年1月, 第7巻第4号

[17] K. Taguchi, et. al: Meta-modelling approach to standardizing Safety-Sensitive Consumer Devices, APCOSEC 2013.

[18] J. Rushby: Modular Certification: CSL Technical report, SRI International, 2001.

[19] P. Bieber, J-P Blanquart, G Descargues, M Dulucq, Y. Fourastier, E. Hazane, M. Julien, L. Leonardon, G. Sarouille: Safety

and Security Assurance in Aerospace Embedded Systems, DRTSS, 2012

ハイブリッド認証に向けての工学的アプローチ - ipa1-5...

Documents