Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Loading in …3
×
1 of 24

2014年度 計算機科学概論・第14回 技術者倫理篇

0

Share

Download to read offline

2014年度 計算機科学概論
第14回 技術者倫理篇
脇田建担当

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

2014年度 計算機科学概論・第14回 技術者倫理篇

  1. 1. 計算機科学概論・講義資料 脇田 建 大学院情報理工学研究科数理・計算科学専攻 7 月 17 日 1 / 24
  2. 2. 目次 社会的 IT 基盤の事故 IT 基盤の深刻な事故 閑話休題:最も高くついて1バイトの間違い 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL 形式的手法 数学の定理の形式的な証明 ソフトウェアの形式的検証の試み 2 / 24
  3. 3. 社会的 IT 基盤の事故 世間を揺がす社会基盤の事故 2012.12: 中央自動車道笹子トンネル天井板落下事故 130m にわたってコンクリートの天井板が落下.死亡者 9 名, 負傷者 2 名,完全復旧まで 3 ヶ月. 3 / 24
  4. 4. 社会的 IT 基盤の事故 IT 基盤の深刻な事故 2011 年 3 月:みずほ銀行での障害 3.11 震災発生 3.14 義援金口座で取引数/日がオーバーフロー 3.14 TV 局が法人・リーフ口で口座新設.それでも旧口座への 振り込みが集ってしまった. 3.14 夜間の一括処理が異常終了 ← 振り込みデータの処理件数 がオーバーフロー(日中とは別の上限値) 3.15 10:25 オンラインシステムが 90 分遅れで起動 ←夜間処理 が終了しなかったから 3.15 午後,別の義援金口座への送金が急増し,オーバーフロー 15 日中に送信すべき振り込み 31 万件が未了 ← 夜間処理が終了 しなかったから 未送信問題への対応中に二重振り込みのミス 4 / 24
  5. 5. 社会的 IT 基盤の事故 IT 基盤の深刻な事故 口座の種類 口座種別 記帳の有無 個人 通帳口(記帳あり) 法人 リーフ口(記帳なし) 2005.9: 個人・リーフ口で口座開設 2007.12 TV 局の要望で個人・通帳口に設定変更 5 / 24
  6. 6. 社会的 IT 基盤の事故 IT 基盤の深刻な事故 システム障害はなぜ二度起きたか 日経コンピュータ,システム障害はなぜ二度起きたか∼みずほ 12 年 の教訓,2011 年 8 月 日経コンピュータ「動かないコンピュータ」シリーズ 6 / 24
  7. 7. 社会的 IT 基盤の事故 IT 基盤の深刻な事故 あわや人命にかかわる事態に 2011 年 1 月 東京消防庁・ケーブル配線ミスで 119 番通報が混乱 緊急車両の出動支援の情報システムが 16 時間にわたって停止. 通報への対応に大幅な遅れ.原因はいつのまにかネットワーク スイッチにループ接続された 1 本の LAN ケーブル. 2010 年 1 月 国土交通省・羽田空港の管制システムがダウン レーダー情報システムへの気象データの統合により,メモリー のオーバーフロー.管制用端末が起動できず,手作業に.欠航 24 便,遅延 177 便. 2009 年 3 月 気象庁・データ配信が 17 時間停止 サーバ内の時計が故障.データベースの時刻フィールドが破壊. 他のプロセスも停止.バックアップへの回線切替器も停止. 日経コンピュータ,システム障害はなぜ二度起きたか,2011 年 8 月 より, 7 / 24
  8. 8. 社会的 IT 基盤の事故 IT 基盤の深刻な事故 動かないコンピュータ 1. 楽天証券: 取引システムの一括処理が不具合.3 度の業務改善命令 2. ソフトバンク: 基幹系ハード処理能力不足のため MNP 処理が停止 3. 全日本航空: 認証サーバの認証期限切れのため端末が停止.63 便欠航 4. 東京工業取引所: 待機系ルータの過負荷のため本番系がダウン 5. 国土交通省: 航空管制システムのダウン 6. JR 北海道: SQL インジェクション攻撃.4 ヶ月の閉鎖 7. ゴルフダイジェスト: SQL インジェクション攻撃.10 日間の販売停止 8. NTT レゾナント: Web メールの刷新に失敗.苦情が 2 ヶ月. ITpro「動かないコンピュータ」その後 8 / 24
  9. 9. 社会的 IT 基盤の事故 IT 基盤の深刻な事故 動かないコンピュータ 楽天証券 500 件の障害データを蓄積・活用 ソフトバンク IT スキル強化に活路を見いだす 全日本航空 楽しくない DVD を “鑑賞” する 東京工業取引所 4 ヶ月でバグ修正と再テスト 国土交通省 IT ベンダーの開発現場に足を運ぶ JR 北海道 8 万人分の顧客データを捨てる ゴルフダイジェスト 監視サービスをオーダーメード NTT レゾナント 利用者への告知は最低 1 ヶ月前 ITpro「動かないコンピュータ」その後 興味のある方はネット検索して下さい 9 / 24
  10. 10. 社会的 IT 基盤の事故 閑話休題:最も高くついて1バイトの間違い 最も高くついた 1 バイトの間違い Poul-Henning Kamp. The most expensive one-byte mistake. Queue, Vol. 9, No. 7, pp. 40:4040:43, July 2011. 配布資料参照 10 / 24
  11. 11. 社会的 IT 基盤の事故 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL ISO/IEC 15408 の EAL EAL 保証内容 主な用途 EAL1 機能テスト 民生 EAL2 構造テスト 民生 EAL3 方法論に基づいたテスト,デバッグ 民生 EAL4 方法論に基づいた設計,テスト,レビュー 民生・政府機関・軍事 EAL5 準形式的設計,テスト 政府機関・軍事 EAL6 準形式的に検証された設計,テスト 政府機関・軍事 EAL7 形式的に検証された設計,テスト 政府機関・軍事 11 / 24
  12. 12. 社会的 IT 基盤の事故 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL (評価保証レベル) EAL1(機能テスト) 主な対象 セキュリティへの脅威が重大ではない場合に適用され、 特定の機能の要件が対処されていることを確認する。仕 様に対する評価者のテスト、ガイダンスの調査など開発 者の支援を受けずに最小の費用で評価を実施できる。 保証内容 EAL1 は、評価されていない IT に比べ、保証の増加を提 供する。 12 / 24
  13. 13. 社会的 IT 基盤の事故 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL EAL2(構造テスト) 主な対象 古くから継承されたシステムの安全性を確保するなど完 全な開発資料を提供できないような場合で、低レベルか ら中レベルの保証されたセキュリティを要する環境で適 用できる。開発者からの設計情報と開発者テスト結果の 提供レベルで評価を実施する。また、開発環境における 構成管理や製品の配付の手続を評価する。 保証内容 EAL2 は、EAL1 の保証に加え、開発者テスト、基本的 攻撃能力を想定した脆弱性分析、さらに詳細な TOE 仕 様に基づく評価者のテストを要求する。 13 / 24
  14. 14. 社会的 IT 基盤の事故 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL EAL3(方式テスト及びチェック) 主な対象 中レベルの保証されたセキュリティを必要とし、既存の 適切な開発方法を大幅に変更することなく、TOE とそ の開発の完全な調査を要する状況に適用される。 保証内容 EAL3 は、EAL2 の保証に加え、テストの網羅性や開発 時の TOE 改ざんを防止するメカニズムや手続を要求 する。 14 / 24
  15. 15. 社会的 IT 基盤の事故 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL EAL4(方式設計、テスト及びレビュー) 主な対象 既存の商用製品の開発に対し、セキュリティに係るエン ジニアリングコストの追加を受け入れられ、中レベルか ら高レベルの保証されたセキュリティを必要とする場合 に適用される。 保証内容 EAL4 は、EAL3 の保証に加え、より多くの設計記述、 ソースコードなどのセキュリティ機能のすべての実装表 現、開発時の TOE 改ざんを防止する向上されたメカニ ズムや手続を要求する。 事例 SUSE Linux Enterprise Server 100, Windows {2000, 2003, XP, Vista, 7} 15 / 24
  16. 16. 社会的 IT 基盤の事故 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL EAL5(準形式的設計及びテスト) 主な対象 EAL5 レベルの保証をはじめから達成する意図を持って 開発され、高レベルのセキュリティを必要とし、専門的 なセキュリティエンジニアリング技法の適用する適切な コストを負担する場合に適用される。 保証内容 EAL5 は、EAL4 の保証に加え、準形式的な設計記述、構 造化され分析可能なアーキテクチャ、TOE 改ざんを防 止するさらに向上されたメカニズムや手続を要求する。 事例 さまざまなスマートカード 16 / 24
  17. 17. 社会的 IT 基盤の事故 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL EAL6(準形式検証済み設計及びテスト) 主な対象 保護する資産の価値が、高い保証のための追加的な開発 コストを正当化するようなリスクの高い状況で使用する 場合に適用される。 保証内容 EAL6 は、EAL5 の保証に加え、さらに広範囲な分析、 実装の構造化表現、さらなるアーキテクチャ構造、さら に広範囲な評価者の脆弱性評定、さらに向上された構成 管理と開発環境の制御を要求する。 事例 Green Hills Software の実時間 OS INTEGRITY-178B 17 / 24
  18. 18. 社会的 IT 基盤の事故 国際的セキュリティ認証レベル:ISO/IEC 15408 の EAL EAL7(形式的検証済み設計及びテスト) 主な対象 リスクが非常に高いか、高い資産価値により、さらに高 い開発コストが正当化される場合に適用される。 保証内容 EAL7 は、EAL6 の保証に加え、数学的検証を伴う形式 的表現と対応、広範囲のテストを使用する包括的分析を 要求する。 事例 Tenix Interactive Link Data Diode Device, Fox Data Diode 18 / 24
  19. 19. 形式的手法 後半は「形式的手法」 19 / 24
  20. 20. 形式的手法 数学の定理の形式的な証明 形式的な検証(∼ 証明?) 四色定理 いかなる地図も隣接する領域が異なる色になるように塗るには 4 色 あれば十分である. 1852 ガスリーによる問題の定式化 1879: ケンプによる「証明」 1890: ケンプの「証明」に間違いが 1976: アッペルとハーケンが計算機 を利用して「証明」 1995: アッペルらの証明の簡素化 2000: Gonthier と Werner らが形式 的証明に挑戦 2004: 四色定理の形式的証明の完 了.プログラムの正しさも証明. 20 / 24
  21. 21. 形式的手法 数学の定理の形式的な証明 四色定理の形式化 Theorem four_color : forall m simple_map m -> map_colorable 4 m. simple_map と map_colorable はそれぞれ 30 行以内のスクリ プトで定義可能 四色定理の証明のスクリプトは 60,000 行 21 / 24
  22. 22. 形式的手法 数学の定理の形式的な証明 定理の形式的な証明の試み 2012.9: 奇数位数定理 (Gonthier ら 15 人× 7 年) 150,000 行の Coq スクリプト.紙上の証明(250ページ)の 約 4.5 倍の規模. Affeldt & Hagiwara: シャノンの定理 Kepler 予想(無限の空間の球の被覆) 1998: Hales が証明(300 ページ,40,000 行のプログラム)を提 出,未だに,査読中.現在,Hales は証明の形式化に挑戦中(20 年かかると言われている) 22 / 24
  23. 23. 形式的手法 ソフトウェアの形式的検証の試み ソフトウェアの検証 C コンパイラ (Compcert プロジェクト, since 2004) “2006 年当時は「Compcert の検証の完成度は 80%ぐらいだ」と 思っていたが,2013 年に「振りかえってみれば 20%にすぎな かったといわざるをえない」 実時間 OS のマイクロカーネル seL4 (NICTA 研究所) プロジェクト ソフトウェア スクリプト 人年 費用 Compcert ??? 50,000 4 ??? seL4 7,500 200,000 25 $700/行 23 / 24
  24. 24. 形式的手法 ソフトウェアの形式的検証の試み Curry-Howard の対応 (Affeldt, p. 486) 形式論理における論証∼プログラミング言語の型つけ規則 a が言明 A の証明である∼値 a が型 A を持つ 24 / 24

×