対策網羅性検査装置
【課題】複雑なモデルを、全ての対策、ハザードを抜けなく考慮して作成し、複雑なモデルの作成を自動化することで、検査コストの低減を図る。
【解決手段】 固有ハザード定義と一般ハザード定義を含むハザード定義と、一般対策定義と最終対策定義を含む対策定義とを有するイベント定義リストを蓄積する蓄積手段と、前記イベント定義リストから、ハザード及び対策をイベントとする状態モデルを生成する生成手段と、前記状態モデルを出力する出力手段とを有することを特徴とする対策網羅性検査装置である。この対策網羅性検査装置の出力する状態モデルにより、対策漏れの有無を容易に発見できる。
【解決手段】 固有ハザード定義と一般ハザード定義を含むハザード定義と、一般対策定義と最終対策定義を含む対策定義とを有するイベント定義リストを蓄積する蓄積手段と、前記イベント定義リストから、ハザード及び対策をイベントとする状態モデルを生成する生成手段と、前記状態モデルを出力する出力手段とを有することを特徴とする対策網羅性検査装置である。この対策網羅性検査装置の出力する状態モデルにより、対策漏れの有無を容易に発見できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、対策網羅性検査装置に関し、より詳しくは、セキュリティ設計や安全設計の対策漏れを網羅的に検査するための装置であって、セキュリティや安全に対する障害となるハザードとその対策をリストとして入力することで、対策漏れが容易に発見可能な状態モデルを出力する対策網羅性検査装置に関する。
【背景技術】
【0002】
近年、情報システムにおけるセキュリティ設計、制御システムにおける安全設計の重要性はますます高まっている。一方、セキュリティ設計と安全設計では対策のインテグリティが重要であり、多くの対策中、たった一つが不十分である場合や、また、対策の抜けがある場合、実施済みの対策が無意味になってしまう。このような問題の発生を防ぐため、対策の抜け・漏れを網羅的に検査することが重要となっている。
【0003】
開発現場の現状では、セキュリティ設計や安全設計は人手による作業が主流であり、そのため複雑なシステムでは対策十分性の検査に多くのコストがかかってしまう。また、人手による作業のため見落としなどの人為的ミスが発生しうる。このような背景から、セキュリティ設計や安全設計における対策十分性の検査作業を効率化し、かつ、見落としなどの人為的ミスを低減することが課題となっている。
【0004】
上記検査作業に関する従来手法として、FT分析(Fault Tree Analysis)、FMEA (Failure Mode and Effect Analysis)など図表を用いて分析する手法が知られている。しかし、これらの手法では、人手による作図、作表が必要であり、人為的なミスが発生しうる。また、しばしば図や表が複雑になり、全体の理解が困難となる。この結果、さらに対策の抜け漏れを招くという問題が発生している。さらに、作図、作表には多大なコストがかかる。たとえば、FMEAでは「部品1点1点から故障モードをブレイン・ストーミングで洗い出すと、部品が数百点ある場合はシステム全体で1ヶ月以上かかる」との報告もある。
【0005】
従来の手法における作図の例を示す。図15は現実のコピープロテクションシステムの一部についてハザードと対策を図的に表現したものである。図15中、符号「x」で記した部分は対策の欠落を想定している個所である。また、実際のシステムの全体を記述した場合より数よりも大規模となり、人手での作業では整合性や抜け漏れを廃して書くことは困難であり、かつ、作業コストが高い。
【0006】
システムの検査作業に関する従来の技術として、セキュリティポリシー不整合解消支援システムが提案されている(例えば、特許文献1)。この従来技術は、ファイアーウォールの設定とセキュリティポリシーの設定を比較し、通過するパケット種についての両者の無矛盾性を自動検査、さらに矛盾発生時の重篤度を数値で算出する技術である。
【0007】
また、別の従来の技術として、情報セキュリティリスク分析システムが提案されている(例えば、特許文献2)。この技術は、情報資産とその管理インフラについての情報を管理し、管理者から得たチェックリストに対して回答を分析することで脆弱性を判定する技術である。
【0008】
また、さらに別の従来の技術として、管理対象の情報システムの規則違反をチェックするポリシ型管理装置が提案されている(例えば、特許文献3)。この従来技術では、管理対象の情報システムについて、規則違反が発生しているか否かが判断される。例えば、検査規則として、正しくない状態ないし不正な状態を示す条件を記述したものを利用する場合、ポリシ記述の作用を適用した後の情報モデルが、検査規則で示された不正な状態の条件を満たすときには、規則違反が発生していると判断する。検査の結果、規則違反が発生した、つまり、情報モデルに問題がある場合には、ポリシ記述の適用に問題がある旨を示す文字列を出力する。規則違反がない場合には、ポリシ記述の命令節に定義された作用を管理対象システムに対して適用する。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2007−202079号公開公報
【特許文献2】特開2008−102859号公開公報
【特許文献3】特開2007−41677号公開公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
セキュリティ設計や安全設計の対策漏れを網羅的に検査する場合、上述の従来の人手による手法では、人為的なミスが発生しうるし、また、しばしば図や表が複雑になり全体の理解が困難となり、その結果、さらに対策の抜け漏れを招くという問題がある。さらに、作図、作表には多大なコストがかかるという問題もある。
【0011】
また、上述のセキュリティポリシー不整合解消支援システムのような従来技術は、パケット種の矛盾についての検出は可能であるが、対策とハザード整合関係、抜け漏れを検出することは出来ない。
【0012】
また、上述の情報セキュリティリスク分析システムのような従来技術は、対策とハザードの相互関係に根ざしたモデルから整合や抜け漏れを検出するものではない。
【0013】
また、上述のポリシ型管理装置のような従来技術は、管理対象システムを実行中に監視するものであり、管理対象システムの実行前に未然に設計上の問題を判断するものではない。
【0014】
本発明の目的は、複雑なモデルを、全ての対策、ハザードを抜けなく考慮して作成し、複雑なモデルの作成を自動化することで、検査コストの低減を図ることが可能な技術を提供することにある。
【課題を解決するための手段】
【0015】
上記課題を解決するための手段として、本発明は以下の特徴を有する。
本発明は、対策網羅性検査装置として提案される。この対策網羅性検査装置は、固有ハザード定義と一般ハザード定義を含むハザード定義と、一般対策定義と最終対策定義を含む対策定義とを有するイベント定義リストを蓄積する蓄積手段と、前記イベント定義リストから、ハザード及び対策をイベントとする状態モデルを生成する生成手段と、前記状態モデルを出力する出力手段とを有することを特徴としている。
【発明の効果】
【0016】
本発明によれば、複雑なモデルを、全ての対策、ハザードを抜けなく考慮して作成することが可能となるとともに、複雑なモデルの作成を自動化することで検査コストの低減を図ることができる。
【発明を実施するための最良の形態】
【0017】
以下、図面を参照しながら本発明の実施の形態について説明する。
[1.用語の定義]
まず、本発明に関する用語の定義を以下に述べる。
【0018】
[1.1.セキュリティ設計]
「セキュリティ設計」とは、システムが扱う資産、すなわち価値のあるデータや計算リソース、アクセス権などを不当に奪われないための仕組みを設計することをいう。この定義中の「仕組み」には、ソフトウェア、ハードウェアのほか、法による規制など人的社会的アプローチも含まれる。
【0019】
[1.2.安全設計]
「安全設計」とは、システムの安全を実現ための仕組みを設計することをいう。この定義中にいう「仕組み」には、ソフトウェア、ハードウェアのほか、法による規制など人的社会的アプローチも含まれる。
【0020】
[1.3.対策]
「対策」とは、セキュリティ設計、安全設計の仕組みを構成する個々の要素のことをいう。「対策」は、例えば、メールへの電子署名、重要データの暗号化、二重化、などである。
【0021】
[1.4.ハザード]
「ハザード」とは、システムのセキュリティや安全を脅かす個々の要素のことをいう。「ハザード」は、例えば、復号鍵の不正入手、センサ故障である。
【0022】
[2.第1の実施の形態]
まず、本発明の第1の実施の形態について述べる。第1の実施の形態は、対策網羅性検査装置として提案される。
【0023】
[2.1.装置の構成]
対策網羅性検査装置(以下、「検査装置」と略する)は、セキュリティ設計や安全設計における対策網羅性の検査を補助するための装置であって、セキュリティや安全に対する障害となるハザードとその対策を入力することで、対策漏れを発見可能とする状態モデルを出力する装置である。
【0024】
検査装置は、例えばコンピュータ、ワークステーションなどの情報処理装置によって実現される装置である。この情報処理装置は、演算処理装置(CPU)、主メモリ(RAM)、読出し専用メモリ(ROM)、入出力装置(I/O)、及び必要な場合にはハードディスク装置等の外部記憶装置を具備している装置である。
【0025】
図1に、第1の実施の形態にかかる検査装置の機能ブロック図を掲げる。検査装置1Aは、入力部10と、入力部10に接続されたイベント定義リスト蓄積部20と、イベント定義リスト蓄積部20に接続された状態モデル生成部30と、状態モデル生成部30に接続された出力部40とを有する。なお、ここで「接続」とは、物理的に結合されている状態に限られず、データの受け渡しが可能である状態を含む意味である。また、上記の各構成要素はCPU及びCPUによって実行されるプログラムによって実現される機能に対応するものであり、実際に各構成要素に対応するハードウェアを検査装置1Aが備えている必要はない。
【0026】
以下に上記の検査装置1Aの構成要素のそれぞれを説明する。
[2.1.1.入力部]
入力部10は、利用者からのイベント定義リスト100の入力を受付け、イベント定義リスト蓄積部20に受け渡す機能を有する。入力部10は、例えば、イベント定義リスト入力用GUI(グラフィカル・ユーザ・インターフェイス)である。
【0027】
[2.1.2.イベント定義リスト蓄積部]
本発明の蓄積手段に相当するイベント定義リスト蓄積部20は、入力部10から受け取ったイベント定義リスト100を蓄積し、状態モデル生成部30からの検索要求により、必要なイベント定義を検索し、結果を受け渡す機能を有する。
【0028】
[2.1.3.状態モデル生成部]
本発明の生成手段に相当する状態モデル生成部30は、イベント定義リスト蓄積部20から検索したイベント定義から状態モデルを生成し、出力部40に渡す機能を有する。状態モデルの生成処理については後述する。
【0029】
[2.1.4.出力部]
本発明の出力手段に相当する出力部40は、状態モデル生成部30から渡された状態モデルを出力する機能を有する。出力形態はどのようなものでもかまわない。画面表示、印刷物の作成、その他どのような出力形態であってもかまわない。
【0030】
[2.2.イベント定義リスト(入力データ)]
次に、検査装置1Aに入力されるイベント定義リスト100について説明する。図2は、イベント定義リスト100のデータ構造例を示す図である。
【0031】
イベント定義リスト100は、ハザード定義110と対策定義120とを含む。イベント定義リスト100は、複数のハザード定義と対策定義の並びである。これら定義の出現(記載)順序は任意でよい。
【0032】
ハザード定義110は固有ハザード定義111と一般ハザード定義112とを有する。
固有ハザード定義111は、システムに存在するもっとも基本的なハザードを定義する。例えば、「データの不正コピー」や「データの不正視聴」である。イベント定義リスト100における固有ハザード定義であることが識別可能に表現される。例えば、固有的であることのマーク(e.g. Normal)をハザードに付記することによって行われる。データ表現の例は、例えば「Normal->h1」のように表記する。この例ではあるハザード「h1」が固有ハザードであることを表現するものである。
【0033】
一般ハザード定義112は、特定の対策に対するハザードを定義するものである。例としては、「ICカードの不正入手」は、ICカードという対策に対するハザードであって、一般ハザード定義に相当する。イベント定義リスト100における一般ハザード定義112の表現方法は、対策と対応付けてハザードを列挙する。本実施の形態における一般ハザード定義112のデータ表現は、例えば「 !a1={h2,h3} 」のように表記する。この表記例では対策「a1」のハザードが「h2」と「h3」であることを表現している。
【0034】
対策定義120は、一般対策定義121と最終対策定義122とから構成される。
一般対策定義121は、特定のハザードに対する対策を定義するものである。例としては、「ICカードによる機器認証」であって、これはICカードの不正入手というハザードに対する対策である。一般対策定義121の表現方法は、 ハザードと対応付けて対策を列挙する。一般対策定義121のデータ表現の例は、例えば「 !h1={a1, a2}」のようになる。この例ではハザード「h1」に対する対策が「a1」と「a2」であることが表現されている。
【0035】
最終対策定義122は、ある対策が、その対策に対してハザードが存在しない完璧な対策とみなすことができるか、又は、存在するハザードを看過するような対策であることを定義するものである。最終対策定義122の例としては、「著作権法三十条2項による法規制」などである。最終対策定義122の表現方法は、最終対策であることのマーク(e.g. Normal)などを対策に付記する。最終対策定義122のデータ表現の例は、「a3->Normal」のようになる。この例では対策が「a3」が最終対策であることを表現している。
図3に、イベント定義リスト100の記述例を示す。
【0036】
[2.3.検査装置の動作]
次に、上記検査装置1Aの動作について説明する。
図4は、検査装置1Aの動作例を示したフローチャートである。以下、図3を参照しながら検査装置1Aの動作例を説明する。
【0037】
まず、利用者によってベント定義リスト100が入力部10に入力される(S11)。
利用者によるイベント定義リスト100の入力が完了すると、入力部10からイベント定義リスト蓄積部20に送られ、蓄積される(S12)。次に、状態モデル生成部30はイベント定義リスト蓄積部20のに蓄積されたイベント定義リスト100を参照し、状態モデルを生成する(S13)。なお、イベント定義リストから状態モデルを生成する方法については後述する。
【0038】
次に、状態モデル生成部30で生成された状態モデルは、出力部40に送られる(S14)。最後に、状態モデル生成部30から受け取った状態モデルは出力部40により出力される。図5に、出力部40により出力される状態モデルの状態遷移図の例を示す。図5に示した状態モデルは、図3に示したイベント定義リスト100が検査装置1Aに入力された場合に出力される状態モデルである。図5中、領域500に含まれる状態は、ハザードに対して最終対策がなされない、対策漏れの状態である。対策漏れの状態はデッドロックとして把握される。かかる部分に着目することにより、利用者は検査装置1Aから出力される状態モデルにより、対策漏れが発生しているか否かを把握することが出来る。なお、図5に示した例は単純な例であるため対策漏れの存在が自明である。しかし、状態モデルが複雑な場合には、対策漏れの存在の把握が難しいこともある。そのような場合には、検査装置1Aから出力された状態モデルを入力として、モデル検査器(SPIN,UPPALなど)によるモデル検査を行いデッドロック検出を行うことが有効になる。
【0039】
[2.3.1.状態モデル生成処理]
次に、状態モデル生成部30によって行われる状態モデルの生成(S13)の処理内容について説明する。
【0040】
図6,図7、図8は、状態モデル生成部30で実行される状態モデル生成アルゴリズムを示すフローチャートである。図7は、図6に続くフローチャート、図8は、図7とは別の図6に続くフローチャートである。
【0041】
まず、状態モデル生成部30は状態モデルにおける初期状態を生成する(S611)。次に、状態モデル生成部30は、イベント定義リスト蓄積部20のイベント定義リスト100からイベント(ハザード又は対策)を抽出する(S612)。次に、状態モデル生成部30は抽出したイベントが固有ハザード定義であるか否かを判定する(S613)。そのイベントが固有ハザード定義であると判定した場合(S613、Yes)、状態モデル生成部30は、初期状態からそのハザードをイベントとする遷移を生成する(S614)。さらに、状態モデル生成部30はこの遷移先の状態(リスク状態)を生成する(S615)。一方、前述のS613の判定において、そのイベントが固有ハザード定義でないと判定した場合(S613、No)、状態モデル生成部30はステップS614、ステップS615の処理を行うことなく後述するステップS616に進む。
【0042】
ステップS616において、状態モデル生成部30はイベント定義リスト100中の全ての固有ハザード定義を調べたか否かを判定する(S616)。全て調べていないと判定した場合(S616、No)は、状態モデル生成部30はステップS612に戻り、未処理の固有ハザード定義の抽出を行う。一方、全ての固有ハザード定義を処理したと判定した場合(S616、Yes)は、状態モデル生成部30はステップS615で新たに生成された個々のリスク状態を調べる(S617)。
【0043】
ステップS617において、状態モデル生成部30はイベント定義リスト100を検索し、そのリスク状態への遷移を発生させるハザードに対応する一般対策定義あるか否かを判定する(S618)。そのような一般対策定義がないと判定した場合(S618,No)、そのまま後述するステップS621に進む。一方、そのような一般対策定義があると判定した場合(S618,Yes)、状態モデル生成部30はその一般対策定義に対応する最終対策定義がイベント定義リスト100にあるか否かを判定する(S619)。
【0044】
ステップS619において一般対策定義に対応する最終対策定義がイベント定義リスト100にあると判定した場合(S619、Yes)、状態モデル生成部30はそのリスク状態から、その最終対策をイベントとし初期状態に向かう遷移を生成する(S620)。その後、状態モデル生成部30は全てのリスク状態を調べたか否かを判定する(S621)。ステップS621において全てのリスク状態を調べていないと判定した場合(S621,No)、ステップS617に戻り、未だ調べていないリスク状態についてステップS617以降の処理を行う。
【0045】
ステップS619において、その一般対策定義に対応する最終対策定義がイベント定義リスト100にないと判定した場合(S619、No)、状態モデル生成部30は、そのリスク状態から、対応する一般対策をイベントとする遷移を生成する(図7,S622)。さらに、状態モデル生成部30は、ステップS622で生成した遷移先に遷移先の状態(対策状態)を生成する(S623)。その後、前述したステップS621に進む。
【0046】
さて、前述したステップS621において、全てのリスク状態を調べたと判定した場合(S621、Yes)、状態モデル生成部30は、ステップS623で新たに生成された個々の対策状態を調べる(図8,S624)。状態モデル生成部30は、調べた対策状態について、その対策に対応する一般ハザード定義がイベント定義リスト100にあるか否かを判定する(S625)。そのような一般ハザード定義がないと判定した場合(S625,No)、状態モデル生成部30は、後述するステップS628にそのまま進む。一方、そのような一般ハザード定義があると判定した場合(S625,Yes)、状態モデル生成部30は、その対策状態から、その一般ハザード定義に対応するハザードをイベントとする遷移を生成する(S626)。さらに、状態モデル生成部30は、その遷移先の状態(リスク状態)を生成する(S627)。
【0047】
ステップS627の後、状態モデル生成部30は、イベント定義リスト100中の全ての一般ハザード定義を調べたか否かを判定する(S628)。全ての一般ハザード定義を調べていないと判定した場合(S628、No)、状態モデル生成部30は、ステップS625に戻り、未だ調べていない一般ハザード定義をイベント定義リスト100から抽出し、それについてステップS625を実行する。一方、ステップS628において、全ての一般ハザード定義を調べたと判定した場合(S628、Yes)、状態モデル生成部30は、全ての対策状態を調べたか否かを判定する(S629)。全ての対策状態を調べていないと判定した場合(S629、No)、状態モデル生成部30は、ステップS624に戻り、他の対策状態についてステップS624以降の処理を実行する。一方、全ての対策状態を調べたと判定した場合(S629、Yes)、状態モデル生成部30は、状態モデルの生成処理を完了する。
以上で、検査装置1Aの動作の説明を終了する。
【0048】
[2.4.利点]
第1の実施の形態にかかる検査装置1Aの利点を以下に述べる。
(1)複雑なモデルであっても、全ての対策、ハザードを抜けなく考慮して作成することができる。
(2)複雑なモデルの作成を自動化し、検査コストの低減が図れる。
【0049】
[3.第2の実施の形態]
[3.1.検査装置の構成]
本発明の第2の実施の形態について説明する。第2の実施の形態は、検査装置が状態モデルの検査を実行し、その検査結果をも出力することを特徴とする。図9は、第2の実施の形態にかかる検査装置の構成例を示した機能ブロック図である。
【0050】
検査装置1Bは、入力部10と、入力部10に接続されたイベント定義リスト蓄積部20と、イベント定義リスト蓄積部20に接続された状態モデル生成部30と、状態モデル生成部30に接続されたモデル検査部50と、状態モデル生成部30及びモデル検査部50に接続された出力部40とを有する。
【0051】
第2の実施の形態にかかる検査装置1Bは、モデル検査部50をさらに有している点を除いて、第1の実施の形態にかかる検査装置1Aと同様の構成を有している。同様の構成要素については同一の参照符号を付し、それらの詳細な説明は省略する。
【0052】
本発明の検査手段に相当するモデル検査部50は、状態モデル生成部30が生成した状態モデルによりデッドロック解析を実施し、デッドロックがあれば反例を出力部40に送り、デッドロックがなければ反例が存在しないことを示す情報を出力部40に送る機能を有する。モデル検査部50は、状態モデルのデッドロックを検出し、反例を出力することが出来るものであればどのようなモデル検査器、モデル検査プログラムを使用して実現してもかまわない。例えば、NuSMV,SPIN,UPPAAL、LTSAを本実施の形態のモデル検査部50としてよい。
【0053】
なお、本実施の形態では、出力部40は状態モデルに加えて、モデル検査部50の出力(反例、又は反例が存在しないことを示す情報)をも出力する。
【0054】
[3.2.検査装置の動作]
上記検査装置1Bの動作について説明する。図10は、第2の実施の形態にかかる検査装置1Bの動作例を示したフローチャートである。以下、図10を参照しながら説明する。
【0055】
まず、利用者によってベント定義リスト100が入力部10に入力される(S21)。
利用者によるイベント定義リスト100の入力が完了すると、入力部10からイベント定義リスト蓄積部20に送られ、蓄積される(S22)。次に、状態モデル生成部30はイベント定義リスト蓄積部20のに蓄積されたイベント定義リスト100を参照し、状態モデルを生成する(S23)。なお、イベント定義リストから状態モデルを生成する方法については、第1の実施の形態と同様である。
【0056】
次に、状態モデル生成部30で生成された状態モデルは、出力部40及びモデル検査部50に送られる(S24)。モデル検査部50は、受け取った状態モデルのデッドロック解析(モデル検査)を行い(S25)、解析結果(反例又は反例は存在しないことを示す情報)を出力部40に渡す(S26)。最後に、出力部40は、状態モデル生成部30から受け取った状態モデル及びモデル検査部50から受け取った解析結果を出力する(S27)。
【0057】
[3.3.利点]
第2の実施の形態にかかる検査装置1Bは、第1の実施の形態にかかる検査装置1Aの利点に加えて、以下の利点を有している。
【0058】
検査装置1Bによれば、対策漏れの箇所を示す情報である反例を自動的に抽出可能とすることにより、複雑なモデルであっても、対策漏れの箇所を探す作業を効率化することができる。
【0059】
[4.第3の実施の形態]
[4.1.検査装置の構成]
本発明の第3の実施の形態について説明する。第3の実施の形態は、利用者が意味を理解しやすい態様で状態モデルを出力することを特徴とする。図11は、第3の実施の形態にかかる検査装置の構成例を示した機能ブロック図である。
【0060】
第3の実施の形態にかかる検査装置1Cは、イベント意味リスト蓄積部60、意味付け状態モデル生成部70をさらに有している点を除いて、第1の実施の形態にかかる検査装置1Aと同様の構成を有している。同様の構成要素については同一の参照符号を付し、それらの詳細な説明は省略する。
【0061】
第3の実施の形態では、利用者はイベント定義リスト100に加えて、イベント意味リスト200を検査装置1Cに入力する。図12に、イベント意味リスト200の例を示す。なお、図12に示したイベント意味リスト200は、図3に示したイベント定義リスト100の例に対応する内容を有している。図12に示したように、イベント意味リスト200においては、イベント定義リスト100に記述されている、ハザードを示す符号h1〜h4と対策を示す符号a1〜a3のそれぞれについて、内容を表す説明文が対応付けられて記述されている。
【0062】
本発明の第2の蓄積手段に相当するイベント意味リスト蓄積部60は、入力されたイベント意味リスト200を蓄積する機能を有する。
【0063】
本発明の第2の生成手段に相当する意味付け状態モデル生成部70は、状態モデル30により生成された状態モデルにおいて、ハザードを示す符号、対策を示す符号を、イベント意味リスト200に記述された説明文に置換する、又はそれら符号に説明文(意味内容)を付加する機能を有する。
【0064】
[4.2.検査装置の動作]
上記検査装置1Cの動作について説明する。図13は、第3の実施の形態にかかる検査装置1Cの動作例を示したフローチャートである。以下、図13を参照しながら説明する。
【0065】
まず、利用者によってイベント定義リスト100が入力部10に入力される(S31)。
利用者によるイベント定義リスト100の入力が完了すると、入力部10からイベント定義リスト蓄積部20に送られ、蓄積される(S32)。
【0066】
また、利用者によってイベント意味リスト200が入力部10に入力される(S33)。
利用者によるイベント意味リスト200の入力が完了すると、入力部10からイベント意味リスト蓄積部60に送られ、蓄積される(S34)。
【0067】
次に、状態モデル生成部30はイベント定義リスト蓄積部20のに蓄積されたイベント定義リスト100を参照し、状態モデルを生成する(S35)。なお、イベント定義リストから状態モデルを生成する方法については、第1の実施の形態と同様であるので説明は省略する。次に、状態モデル生成部30で生成された状態モデルは、意味付け状態モデル生成部70に送られる。状態モデルを受け取った意味付け状態モデル生成部70は、状態モデルにおける、イベント(ハザード、又は対策)のIDをイベント意味リスト200の意味内容に置き換え、意味付け状態モデルを生成し、出力部40に送る(S36)。最後に、出力部40は受け取った状態モデルを出力する。図14に、出力部40により出力される意味付け状態モデルの状態遷移図の例を示す。図14に示した状態モデルは、図3に示したイベント定義リスト100及び図12に示したイベント意味リスト200が検査装置1Cに入力された場合に出力される状態モデルである。
【0068】
[4.3.利点]
第3の実施の形態にかかる検査装置1Cは、第1の実施の形態にかかる検査装置1Aの利点に加えて、以下の利点を有している。
検査装置1Cによれば、利用者が意味を理解しやすい状態モデルを得ることが出来る。
【0069】
[5.その他]
本発明は、発明の技術的範囲内において自由に変形可能である。例えば、第2の実施の形態、第3の実施の形態を組み合わせた態様でも本発明は成立する。
【図面の簡単な説明】
【0070】
【図1】第1の実施の形態にかかる検査装置の機能ブロック図
【図2】イベント定義リストの例を示す図
【図3】イベント定義リストのデータ構成例を示す図
【図4】検査装置の動作例を示したフローチャート
【図5】出力部により出力される状態モデルの状態遷移図の例を示す図
【図6】状態モデル生成アルゴリズムを示すフローチャート
【図7】図6に続くフロ−チャート
【図8】図6に続くフローチャート
【図9】第2の実施の形態にかかる検査装置の構成例を示した機能ブロック図
【図10】第2の実施の形態にかかる検査装置の動作例を示したフローチャート
【図11】第3の実施の形態にかかる検査装置の構成例を示した機能ブロック図
【図12】イベント意味リストの例を示す図
【図13】第3の実施の形態にかかる検査装置の動作例を示したフローチャート
【図14】出力部により出力される意味付け状態モデルの状態遷移図の例を示す図
【図15】従来の手法による、ハザードと対策を表現した図
【符号の説明】
【0071】
1A,1B,1C…対策網羅製検査装置
10…入力部
20…イベント定義リスト蓄積部
30…状態モデル生成部
40…出力部
50…モデル検査部
60…イベント意味リスト蓄積部
70…意味付け状態モデル生成部
100…イベント定義リスト
200…イベント意味リスト
【技術分野】
【0001】
本発明は、対策網羅性検査装置に関し、より詳しくは、セキュリティ設計や安全設計の対策漏れを網羅的に検査するための装置であって、セキュリティや安全に対する障害となるハザードとその対策をリストとして入力することで、対策漏れが容易に発見可能な状態モデルを出力する対策網羅性検査装置に関する。
【背景技術】
【0002】
近年、情報システムにおけるセキュリティ設計、制御システムにおける安全設計の重要性はますます高まっている。一方、セキュリティ設計と安全設計では対策のインテグリティが重要であり、多くの対策中、たった一つが不十分である場合や、また、対策の抜けがある場合、実施済みの対策が無意味になってしまう。このような問題の発生を防ぐため、対策の抜け・漏れを網羅的に検査することが重要となっている。
【0003】
開発現場の現状では、セキュリティ設計や安全設計は人手による作業が主流であり、そのため複雑なシステムでは対策十分性の検査に多くのコストがかかってしまう。また、人手による作業のため見落としなどの人為的ミスが発生しうる。このような背景から、セキュリティ設計や安全設計における対策十分性の検査作業を効率化し、かつ、見落としなどの人為的ミスを低減することが課題となっている。
【0004】
上記検査作業に関する従来手法として、FT分析(Fault Tree Analysis)、FMEA (Failure Mode and Effect Analysis)など図表を用いて分析する手法が知られている。しかし、これらの手法では、人手による作図、作表が必要であり、人為的なミスが発生しうる。また、しばしば図や表が複雑になり、全体の理解が困難となる。この結果、さらに対策の抜け漏れを招くという問題が発生している。さらに、作図、作表には多大なコストがかかる。たとえば、FMEAでは「部品1点1点から故障モードをブレイン・ストーミングで洗い出すと、部品が数百点ある場合はシステム全体で1ヶ月以上かかる」との報告もある。
【0005】
従来の手法における作図の例を示す。図15は現実のコピープロテクションシステムの一部についてハザードと対策を図的に表現したものである。図15中、符号「x」で記した部分は対策の欠落を想定している個所である。また、実際のシステムの全体を記述した場合より数よりも大規模となり、人手での作業では整合性や抜け漏れを廃して書くことは困難であり、かつ、作業コストが高い。
【0006】
システムの検査作業に関する従来の技術として、セキュリティポリシー不整合解消支援システムが提案されている(例えば、特許文献1)。この従来技術は、ファイアーウォールの設定とセキュリティポリシーの設定を比較し、通過するパケット種についての両者の無矛盾性を自動検査、さらに矛盾発生時の重篤度を数値で算出する技術である。
【0007】
また、別の従来の技術として、情報セキュリティリスク分析システムが提案されている(例えば、特許文献2)。この技術は、情報資産とその管理インフラについての情報を管理し、管理者から得たチェックリストに対して回答を分析することで脆弱性を判定する技術である。
【0008】
また、さらに別の従来の技術として、管理対象の情報システムの規則違反をチェックするポリシ型管理装置が提案されている(例えば、特許文献3)。この従来技術では、管理対象の情報システムについて、規則違反が発生しているか否かが判断される。例えば、検査規則として、正しくない状態ないし不正な状態を示す条件を記述したものを利用する場合、ポリシ記述の作用を適用した後の情報モデルが、検査規則で示された不正な状態の条件を満たすときには、規則違反が発生していると判断する。検査の結果、規則違反が発生した、つまり、情報モデルに問題がある場合には、ポリシ記述の適用に問題がある旨を示す文字列を出力する。規則違反がない場合には、ポリシ記述の命令節に定義された作用を管理対象システムに対して適用する。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2007−202079号公開公報
【特許文献2】特開2008−102859号公開公報
【特許文献3】特開2007−41677号公開公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
セキュリティ設計や安全設計の対策漏れを網羅的に検査する場合、上述の従来の人手による手法では、人為的なミスが発生しうるし、また、しばしば図や表が複雑になり全体の理解が困難となり、その結果、さらに対策の抜け漏れを招くという問題がある。さらに、作図、作表には多大なコストがかかるという問題もある。
【0011】
また、上述のセキュリティポリシー不整合解消支援システムのような従来技術は、パケット種の矛盾についての検出は可能であるが、対策とハザード整合関係、抜け漏れを検出することは出来ない。
【0012】
また、上述の情報セキュリティリスク分析システムのような従来技術は、対策とハザードの相互関係に根ざしたモデルから整合や抜け漏れを検出するものではない。
【0013】
また、上述のポリシ型管理装置のような従来技術は、管理対象システムを実行中に監視するものであり、管理対象システムの実行前に未然に設計上の問題を判断するものではない。
【0014】
本発明の目的は、複雑なモデルを、全ての対策、ハザードを抜けなく考慮して作成し、複雑なモデルの作成を自動化することで、検査コストの低減を図ることが可能な技術を提供することにある。
【課題を解決するための手段】
【0015】
上記課題を解決するための手段として、本発明は以下の特徴を有する。
本発明は、対策網羅性検査装置として提案される。この対策網羅性検査装置は、固有ハザード定義と一般ハザード定義を含むハザード定義と、一般対策定義と最終対策定義を含む対策定義とを有するイベント定義リストを蓄積する蓄積手段と、前記イベント定義リストから、ハザード及び対策をイベントとする状態モデルを生成する生成手段と、前記状態モデルを出力する出力手段とを有することを特徴としている。
【発明の効果】
【0016】
本発明によれば、複雑なモデルを、全ての対策、ハザードを抜けなく考慮して作成することが可能となるとともに、複雑なモデルの作成を自動化することで検査コストの低減を図ることができる。
【発明を実施するための最良の形態】
【0017】
以下、図面を参照しながら本発明の実施の形態について説明する。
[1.用語の定義]
まず、本発明に関する用語の定義を以下に述べる。
【0018】
[1.1.セキュリティ設計]
「セキュリティ設計」とは、システムが扱う資産、すなわち価値のあるデータや計算リソース、アクセス権などを不当に奪われないための仕組みを設計することをいう。この定義中の「仕組み」には、ソフトウェア、ハードウェアのほか、法による規制など人的社会的アプローチも含まれる。
【0019】
[1.2.安全設計]
「安全設計」とは、システムの安全を実現ための仕組みを設計することをいう。この定義中にいう「仕組み」には、ソフトウェア、ハードウェアのほか、法による規制など人的社会的アプローチも含まれる。
【0020】
[1.3.対策]
「対策」とは、セキュリティ設計、安全設計の仕組みを構成する個々の要素のことをいう。「対策」は、例えば、メールへの電子署名、重要データの暗号化、二重化、などである。
【0021】
[1.4.ハザード]
「ハザード」とは、システムのセキュリティや安全を脅かす個々の要素のことをいう。「ハザード」は、例えば、復号鍵の不正入手、センサ故障である。
【0022】
[2.第1の実施の形態]
まず、本発明の第1の実施の形態について述べる。第1の実施の形態は、対策網羅性検査装置として提案される。
【0023】
[2.1.装置の構成]
対策網羅性検査装置(以下、「検査装置」と略する)は、セキュリティ設計や安全設計における対策網羅性の検査を補助するための装置であって、セキュリティや安全に対する障害となるハザードとその対策を入力することで、対策漏れを発見可能とする状態モデルを出力する装置である。
【0024】
検査装置は、例えばコンピュータ、ワークステーションなどの情報処理装置によって実現される装置である。この情報処理装置は、演算処理装置(CPU)、主メモリ(RAM)、読出し専用メモリ(ROM)、入出力装置(I/O)、及び必要な場合にはハードディスク装置等の外部記憶装置を具備している装置である。
【0025】
図1に、第1の実施の形態にかかる検査装置の機能ブロック図を掲げる。検査装置1Aは、入力部10と、入力部10に接続されたイベント定義リスト蓄積部20と、イベント定義リスト蓄積部20に接続された状態モデル生成部30と、状態モデル生成部30に接続された出力部40とを有する。なお、ここで「接続」とは、物理的に結合されている状態に限られず、データの受け渡しが可能である状態を含む意味である。また、上記の各構成要素はCPU及びCPUによって実行されるプログラムによって実現される機能に対応するものであり、実際に各構成要素に対応するハードウェアを検査装置1Aが備えている必要はない。
【0026】
以下に上記の検査装置1Aの構成要素のそれぞれを説明する。
[2.1.1.入力部]
入力部10は、利用者からのイベント定義リスト100の入力を受付け、イベント定義リスト蓄積部20に受け渡す機能を有する。入力部10は、例えば、イベント定義リスト入力用GUI(グラフィカル・ユーザ・インターフェイス)である。
【0027】
[2.1.2.イベント定義リスト蓄積部]
本発明の蓄積手段に相当するイベント定義リスト蓄積部20は、入力部10から受け取ったイベント定義リスト100を蓄積し、状態モデル生成部30からの検索要求により、必要なイベント定義を検索し、結果を受け渡す機能を有する。
【0028】
[2.1.3.状態モデル生成部]
本発明の生成手段に相当する状態モデル生成部30は、イベント定義リスト蓄積部20から検索したイベント定義から状態モデルを生成し、出力部40に渡す機能を有する。状態モデルの生成処理については後述する。
【0029】
[2.1.4.出力部]
本発明の出力手段に相当する出力部40は、状態モデル生成部30から渡された状態モデルを出力する機能を有する。出力形態はどのようなものでもかまわない。画面表示、印刷物の作成、その他どのような出力形態であってもかまわない。
【0030】
[2.2.イベント定義リスト(入力データ)]
次に、検査装置1Aに入力されるイベント定義リスト100について説明する。図2は、イベント定義リスト100のデータ構造例を示す図である。
【0031】
イベント定義リスト100は、ハザード定義110と対策定義120とを含む。イベント定義リスト100は、複数のハザード定義と対策定義の並びである。これら定義の出現(記載)順序は任意でよい。
【0032】
ハザード定義110は固有ハザード定義111と一般ハザード定義112とを有する。
固有ハザード定義111は、システムに存在するもっとも基本的なハザードを定義する。例えば、「データの不正コピー」や「データの不正視聴」である。イベント定義リスト100における固有ハザード定義であることが識別可能に表現される。例えば、固有的であることのマーク(e.g. Normal)をハザードに付記することによって行われる。データ表現の例は、例えば「Normal->h1」のように表記する。この例ではあるハザード「h1」が固有ハザードであることを表現するものである。
【0033】
一般ハザード定義112は、特定の対策に対するハザードを定義するものである。例としては、「ICカードの不正入手」は、ICカードという対策に対するハザードであって、一般ハザード定義に相当する。イベント定義リスト100における一般ハザード定義112の表現方法は、対策と対応付けてハザードを列挙する。本実施の形態における一般ハザード定義112のデータ表現は、例えば「 !a1={h2,h3} 」のように表記する。この表記例では対策「a1」のハザードが「h2」と「h3」であることを表現している。
【0034】
対策定義120は、一般対策定義121と最終対策定義122とから構成される。
一般対策定義121は、特定のハザードに対する対策を定義するものである。例としては、「ICカードによる機器認証」であって、これはICカードの不正入手というハザードに対する対策である。一般対策定義121の表現方法は、 ハザードと対応付けて対策を列挙する。一般対策定義121のデータ表現の例は、例えば「 !h1={a1, a2}」のようになる。この例ではハザード「h1」に対する対策が「a1」と「a2」であることが表現されている。
【0035】
最終対策定義122は、ある対策が、その対策に対してハザードが存在しない完璧な対策とみなすことができるか、又は、存在するハザードを看過するような対策であることを定義するものである。最終対策定義122の例としては、「著作権法三十条2項による法規制」などである。最終対策定義122の表現方法は、最終対策であることのマーク(e.g. Normal)などを対策に付記する。最終対策定義122のデータ表現の例は、「a3->Normal」のようになる。この例では対策が「a3」が最終対策であることを表現している。
図3に、イベント定義リスト100の記述例を示す。
【0036】
[2.3.検査装置の動作]
次に、上記検査装置1Aの動作について説明する。
図4は、検査装置1Aの動作例を示したフローチャートである。以下、図3を参照しながら検査装置1Aの動作例を説明する。
【0037】
まず、利用者によってベント定義リスト100が入力部10に入力される(S11)。
利用者によるイベント定義リスト100の入力が完了すると、入力部10からイベント定義リスト蓄積部20に送られ、蓄積される(S12)。次に、状態モデル生成部30はイベント定義リスト蓄積部20のに蓄積されたイベント定義リスト100を参照し、状態モデルを生成する(S13)。なお、イベント定義リストから状態モデルを生成する方法については後述する。
【0038】
次に、状態モデル生成部30で生成された状態モデルは、出力部40に送られる(S14)。最後に、状態モデル生成部30から受け取った状態モデルは出力部40により出力される。図5に、出力部40により出力される状態モデルの状態遷移図の例を示す。図5に示した状態モデルは、図3に示したイベント定義リスト100が検査装置1Aに入力された場合に出力される状態モデルである。図5中、領域500に含まれる状態は、ハザードに対して最終対策がなされない、対策漏れの状態である。対策漏れの状態はデッドロックとして把握される。かかる部分に着目することにより、利用者は検査装置1Aから出力される状態モデルにより、対策漏れが発生しているか否かを把握することが出来る。なお、図5に示した例は単純な例であるため対策漏れの存在が自明である。しかし、状態モデルが複雑な場合には、対策漏れの存在の把握が難しいこともある。そのような場合には、検査装置1Aから出力された状態モデルを入力として、モデル検査器(SPIN,UPPALなど)によるモデル検査を行いデッドロック検出を行うことが有効になる。
【0039】
[2.3.1.状態モデル生成処理]
次に、状態モデル生成部30によって行われる状態モデルの生成(S13)の処理内容について説明する。
【0040】
図6,図7、図8は、状態モデル生成部30で実行される状態モデル生成アルゴリズムを示すフローチャートである。図7は、図6に続くフローチャート、図8は、図7とは別の図6に続くフローチャートである。
【0041】
まず、状態モデル生成部30は状態モデルにおける初期状態を生成する(S611)。次に、状態モデル生成部30は、イベント定義リスト蓄積部20のイベント定義リスト100からイベント(ハザード又は対策)を抽出する(S612)。次に、状態モデル生成部30は抽出したイベントが固有ハザード定義であるか否かを判定する(S613)。そのイベントが固有ハザード定義であると判定した場合(S613、Yes)、状態モデル生成部30は、初期状態からそのハザードをイベントとする遷移を生成する(S614)。さらに、状態モデル生成部30はこの遷移先の状態(リスク状態)を生成する(S615)。一方、前述のS613の判定において、そのイベントが固有ハザード定義でないと判定した場合(S613、No)、状態モデル生成部30はステップS614、ステップS615の処理を行うことなく後述するステップS616に進む。
【0042】
ステップS616において、状態モデル生成部30はイベント定義リスト100中の全ての固有ハザード定義を調べたか否かを判定する(S616)。全て調べていないと判定した場合(S616、No)は、状態モデル生成部30はステップS612に戻り、未処理の固有ハザード定義の抽出を行う。一方、全ての固有ハザード定義を処理したと判定した場合(S616、Yes)は、状態モデル生成部30はステップS615で新たに生成された個々のリスク状態を調べる(S617)。
【0043】
ステップS617において、状態モデル生成部30はイベント定義リスト100を検索し、そのリスク状態への遷移を発生させるハザードに対応する一般対策定義あるか否かを判定する(S618)。そのような一般対策定義がないと判定した場合(S618,No)、そのまま後述するステップS621に進む。一方、そのような一般対策定義があると判定した場合(S618,Yes)、状態モデル生成部30はその一般対策定義に対応する最終対策定義がイベント定義リスト100にあるか否かを判定する(S619)。
【0044】
ステップS619において一般対策定義に対応する最終対策定義がイベント定義リスト100にあると判定した場合(S619、Yes)、状態モデル生成部30はそのリスク状態から、その最終対策をイベントとし初期状態に向かう遷移を生成する(S620)。その後、状態モデル生成部30は全てのリスク状態を調べたか否かを判定する(S621)。ステップS621において全てのリスク状態を調べていないと判定した場合(S621,No)、ステップS617に戻り、未だ調べていないリスク状態についてステップS617以降の処理を行う。
【0045】
ステップS619において、その一般対策定義に対応する最終対策定義がイベント定義リスト100にないと判定した場合(S619、No)、状態モデル生成部30は、そのリスク状態から、対応する一般対策をイベントとする遷移を生成する(図7,S622)。さらに、状態モデル生成部30は、ステップS622で生成した遷移先に遷移先の状態(対策状態)を生成する(S623)。その後、前述したステップS621に進む。
【0046】
さて、前述したステップS621において、全てのリスク状態を調べたと判定した場合(S621、Yes)、状態モデル生成部30は、ステップS623で新たに生成された個々の対策状態を調べる(図8,S624)。状態モデル生成部30は、調べた対策状態について、その対策に対応する一般ハザード定義がイベント定義リスト100にあるか否かを判定する(S625)。そのような一般ハザード定義がないと判定した場合(S625,No)、状態モデル生成部30は、後述するステップS628にそのまま進む。一方、そのような一般ハザード定義があると判定した場合(S625,Yes)、状態モデル生成部30は、その対策状態から、その一般ハザード定義に対応するハザードをイベントとする遷移を生成する(S626)。さらに、状態モデル生成部30は、その遷移先の状態(リスク状態)を生成する(S627)。
【0047】
ステップS627の後、状態モデル生成部30は、イベント定義リスト100中の全ての一般ハザード定義を調べたか否かを判定する(S628)。全ての一般ハザード定義を調べていないと判定した場合(S628、No)、状態モデル生成部30は、ステップS625に戻り、未だ調べていない一般ハザード定義をイベント定義リスト100から抽出し、それについてステップS625を実行する。一方、ステップS628において、全ての一般ハザード定義を調べたと判定した場合(S628、Yes)、状態モデル生成部30は、全ての対策状態を調べたか否かを判定する(S629)。全ての対策状態を調べていないと判定した場合(S629、No)、状態モデル生成部30は、ステップS624に戻り、他の対策状態についてステップS624以降の処理を実行する。一方、全ての対策状態を調べたと判定した場合(S629、Yes)、状態モデル生成部30は、状態モデルの生成処理を完了する。
以上で、検査装置1Aの動作の説明を終了する。
【0048】
[2.4.利点]
第1の実施の形態にかかる検査装置1Aの利点を以下に述べる。
(1)複雑なモデルであっても、全ての対策、ハザードを抜けなく考慮して作成することができる。
(2)複雑なモデルの作成を自動化し、検査コストの低減が図れる。
【0049】
[3.第2の実施の形態]
[3.1.検査装置の構成]
本発明の第2の実施の形態について説明する。第2の実施の形態は、検査装置が状態モデルの検査を実行し、その検査結果をも出力することを特徴とする。図9は、第2の実施の形態にかかる検査装置の構成例を示した機能ブロック図である。
【0050】
検査装置1Bは、入力部10と、入力部10に接続されたイベント定義リスト蓄積部20と、イベント定義リスト蓄積部20に接続された状態モデル生成部30と、状態モデル生成部30に接続されたモデル検査部50と、状態モデル生成部30及びモデル検査部50に接続された出力部40とを有する。
【0051】
第2の実施の形態にかかる検査装置1Bは、モデル検査部50をさらに有している点を除いて、第1の実施の形態にかかる検査装置1Aと同様の構成を有している。同様の構成要素については同一の参照符号を付し、それらの詳細な説明は省略する。
【0052】
本発明の検査手段に相当するモデル検査部50は、状態モデル生成部30が生成した状態モデルによりデッドロック解析を実施し、デッドロックがあれば反例を出力部40に送り、デッドロックがなければ反例が存在しないことを示す情報を出力部40に送る機能を有する。モデル検査部50は、状態モデルのデッドロックを検出し、反例を出力することが出来るものであればどのようなモデル検査器、モデル検査プログラムを使用して実現してもかまわない。例えば、NuSMV,SPIN,UPPAAL、LTSAを本実施の形態のモデル検査部50としてよい。
【0053】
なお、本実施の形態では、出力部40は状態モデルに加えて、モデル検査部50の出力(反例、又は反例が存在しないことを示す情報)をも出力する。
【0054】
[3.2.検査装置の動作]
上記検査装置1Bの動作について説明する。図10は、第2の実施の形態にかかる検査装置1Bの動作例を示したフローチャートである。以下、図10を参照しながら説明する。
【0055】
まず、利用者によってベント定義リスト100が入力部10に入力される(S21)。
利用者によるイベント定義リスト100の入力が完了すると、入力部10からイベント定義リスト蓄積部20に送られ、蓄積される(S22)。次に、状態モデル生成部30はイベント定義リスト蓄積部20のに蓄積されたイベント定義リスト100を参照し、状態モデルを生成する(S23)。なお、イベント定義リストから状態モデルを生成する方法については、第1の実施の形態と同様である。
【0056】
次に、状態モデル生成部30で生成された状態モデルは、出力部40及びモデル検査部50に送られる(S24)。モデル検査部50は、受け取った状態モデルのデッドロック解析(モデル検査)を行い(S25)、解析結果(反例又は反例は存在しないことを示す情報)を出力部40に渡す(S26)。最後に、出力部40は、状態モデル生成部30から受け取った状態モデル及びモデル検査部50から受け取った解析結果を出力する(S27)。
【0057】
[3.3.利点]
第2の実施の形態にかかる検査装置1Bは、第1の実施の形態にかかる検査装置1Aの利点に加えて、以下の利点を有している。
【0058】
検査装置1Bによれば、対策漏れの箇所を示す情報である反例を自動的に抽出可能とすることにより、複雑なモデルであっても、対策漏れの箇所を探す作業を効率化することができる。
【0059】
[4.第3の実施の形態]
[4.1.検査装置の構成]
本発明の第3の実施の形態について説明する。第3の実施の形態は、利用者が意味を理解しやすい態様で状態モデルを出力することを特徴とする。図11は、第3の実施の形態にかかる検査装置の構成例を示した機能ブロック図である。
【0060】
第3の実施の形態にかかる検査装置1Cは、イベント意味リスト蓄積部60、意味付け状態モデル生成部70をさらに有している点を除いて、第1の実施の形態にかかる検査装置1Aと同様の構成を有している。同様の構成要素については同一の参照符号を付し、それらの詳細な説明は省略する。
【0061】
第3の実施の形態では、利用者はイベント定義リスト100に加えて、イベント意味リスト200を検査装置1Cに入力する。図12に、イベント意味リスト200の例を示す。なお、図12に示したイベント意味リスト200は、図3に示したイベント定義リスト100の例に対応する内容を有している。図12に示したように、イベント意味リスト200においては、イベント定義リスト100に記述されている、ハザードを示す符号h1〜h4と対策を示す符号a1〜a3のそれぞれについて、内容を表す説明文が対応付けられて記述されている。
【0062】
本発明の第2の蓄積手段に相当するイベント意味リスト蓄積部60は、入力されたイベント意味リスト200を蓄積する機能を有する。
【0063】
本発明の第2の生成手段に相当する意味付け状態モデル生成部70は、状態モデル30により生成された状態モデルにおいて、ハザードを示す符号、対策を示す符号を、イベント意味リスト200に記述された説明文に置換する、又はそれら符号に説明文(意味内容)を付加する機能を有する。
【0064】
[4.2.検査装置の動作]
上記検査装置1Cの動作について説明する。図13は、第3の実施の形態にかかる検査装置1Cの動作例を示したフローチャートである。以下、図13を参照しながら説明する。
【0065】
まず、利用者によってイベント定義リスト100が入力部10に入力される(S31)。
利用者によるイベント定義リスト100の入力が完了すると、入力部10からイベント定義リスト蓄積部20に送られ、蓄積される(S32)。
【0066】
また、利用者によってイベント意味リスト200が入力部10に入力される(S33)。
利用者によるイベント意味リスト200の入力が完了すると、入力部10からイベント意味リスト蓄積部60に送られ、蓄積される(S34)。
【0067】
次に、状態モデル生成部30はイベント定義リスト蓄積部20のに蓄積されたイベント定義リスト100を参照し、状態モデルを生成する(S35)。なお、イベント定義リストから状態モデルを生成する方法については、第1の実施の形態と同様であるので説明は省略する。次に、状態モデル生成部30で生成された状態モデルは、意味付け状態モデル生成部70に送られる。状態モデルを受け取った意味付け状態モデル生成部70は、状態モデルにおける、イベント(ハザード、又は対策)のIDをイベント意味リスト200の意味内容に置き換え、意味付け状態モデルを生成し、出力部40に送る(S36)。最後に、出力部40は受け取った状態モデルを出力する。図14に、出力部40により出力される意味付け状態モデルの状態遷移図の例を示す。図14に示した状態モデルは、図3に示したイベント定義リスト100及び図12に示したイベント意味リスト200が検査装置1Cに入力された場合に出力される状態モデルである。
【0068】
[4.3.利点]
第3の実施の形態にかかる検査装置1Cは、第1の実施の形態にかかる検査装置1Aの利点に加えて、以下の利点を有している。
検査装置1Cによれば、利用者が意味を理解しやすい状態モデルを得ることが出来る。
【0069】
[5.その他]
本発明は、発明の技術的範囲内において自由に変形可能である。例えば、第2の実施の形態、第3の実施の形態を組み合わせた態様でも本発明は成立する。
【図面の簡単な説明】
【0070】
【図1】第1の実施の形態にかかる検査装置の機能ブロック図
【図2】イベント定義リストの例を示す図
【図3】イベント定義リストのデータ構成例を示す図
【図4】検査装置の動作例を示したフローチャート
【図5】出力部により出力される状態モデルの状態遷移図の例を示す図
【図6】状態モデル生成アルゴリズムを示すフローチャート
【図7】図6に続くフロ−チャート
【図8】図6に続くフローチャート
【図9】第2の実施の形態にかかる検査装置の構成例を示した機能ブロック図
【図10】第2の実施の形態にかかる検査装置の動作例を示したフローチャート
【図11】第3の実施の形態にかかる検査装置の構成例を示した機能ブロック図
【図12】イベント意味リストの例を示す図
【図13】第3の実施の形態にかかる検査装置の動作例を示したフローチャート
【図14】出力部により出力される意味付け状態モデルの状態遷移図の例を示す図
【図15】従来の手法による、ハザードと対策を表現した図
【符号の説明】
【0071】
1A,1B,1C…対策網羅製検査装置
10…入力部
20…イベント定義リスト蓄積部
30…状態モデル生成部
40…出力部
50…モデル検査部
60…イベント意味リスト蓄積部
70…意味付け状態モデル生成部
100…イベント定義リスト
200…イベント意味リスト
【特許請求の範囲】
【請求項1】
固有ハザード定義と一般ハザード定義を含むハザード定義と、一般対策定義と最終対策定義を含む対策定義とを有するイベント定義リストを蓄積する蓄積手段と、
前記イベント定義リストから、ハザード及び対策をイベントとする状態モデルを生成する生成手段と、
前記状態モデルを出力する出力手段と
を有することを特徴とする対策網羅性検査装置。
【請求項2】
前記生成手段は、
初期状態を生成し、
イベント定義リスト固有ハザード定義を検索し、見つかった場合、
前記初期状態からハザードをイベントとする遷移を生成し、遷移先の状態であるリスク状態を生成し、
生成された個々のリスク状態について、そのリスク状態への遷移を起こすハザードに対応する一般対策定義を検索し、見つかった場合、更に一般対策定義の対策に対応する最終対策定義を検査し、見つかった場合、そのリスク状態から、最終対策をイベントとし、前記初期状態に向かう遷移を生成し、一方、最終対策定義が見つからなかった場合は前記リスク状態から、前記見つかった一般対策定義に対応する対策をイベントとする遷移を生成し、この遷移先の状態である対策状態を生成し、
生成された個々の対策状態について、その対策状態への遷移を起こすイベントに対応する一般対策定義に記述された対策に対応する一般ハザード定義を検索し、見つかった場合、前記対策状態から、見つかった一般ハザード定義に対応するハザードをイベントとする遷移を生成し、遷移先の状態であるリスク状態を生成する
ことにより前記状態モデルの生成を行う
ことを特徴とする請求項1に記載の対策網羅性検査装置。
【請求項3】
前記対策網羅性検査装置は、
前記状態モデルに基づいて、デッドロック解析を実施し、デッドロックがあれば反例を出力手段に送り、デッドロックがなければ反例が存在しないことを示す情報を出力手段40に送る検査手段をさらに有する
ことを特徴とする、請求項1又は2に記載の対策網羅性検査装置。
【請求項4】
前記対策網羅性検査装置は、
前記イベント定義リストに含まれるハザード及び対策のそれぞれの意味内容を記述したイベント意味リストを蓄積する第2の蓄積手段と、
前記イベント意味リストを参照して、前記状態モデルのイベントのそれぞれについて意味内容が付加された意味付き状態モデルを生成する第2の生成手段と
をさらに有する
ことを特徴とする、請求項1又は2に記載の対策網羅性検査装置。
【請求項1】
固有ハザード定義と一般ハザード定義を含むハザード定義と、一般対策定義と最終対策定義を含む対策定義とを有するイベント定義リストを蓄積する蓄積手段と、
前記イベント定義リストから、ハザード及び対策をイベントとする状態モデルを生成する生成手段と、
前記状態モデルを出力する出力手段と
を有することを特徴とする対策網羅性検査装置。
【請求項2】
前記生成手段は、
初期状態を生成し、
イベント定義リスト固有ハザード定義を検索し、見つかった場合、
前記初期状態からハザードをイベントとする遷移を生成し、遷移先の状態であるリスク状態を生成し、
生成された個々のリスク状態について、そのリスク状態への遷移を起こすハザードに対応する一般対策定義を検索し、見つかった場合、更に一般対策定義の対策に対応する最終対策定義を検査し、見つかった場合、そのリスク状態から、最終対策をイベントとし、前記初期状態に向かう遷移を生成し、一方、最終対策定義が見つからなかった場合は前記リスク状態から、前記見つかった一般対策定義に対応する対策をイベントとする遷移を生成し、この遷移先の状態である対策状態を生成し、
生成された個々の対策状態について、その対策状態への遷移を起こすイベントに対応する一般対策定義に記述された対策に対応する一般ハザード定義を検索し、見つかった場合、前記対策状態から、見つかった一般ハザード定義に対応するハザードをイベントとする遷移を生成し、遷移先の状態であるリスク状態を生成する
ことにより前記状態モデルの生成を行う
ことを特徴とする請求項1に記載の対策網羅性検査装置。
【請求項3】
前記対策網羅性検査装置は、
前記状態モデルに基づいて、デッドロック解析を実施し、デッドロックがあれば反例を出力手段に送り、デッドロックがなければ反例が存在しないことを示す情報を出力手段40に送る検査手段をさらに有する
ことを特徴とする、請求項1又は2に記載の対策網羅性検査装置。
【請求項4】
前記対策網羅性検査装置は、
前記イベント定義リストに含まれるハザード及び対策のそれぞれの意味内容を記述したイベント意味リストを蓄積する第2の蓄積手段と、
前記イベント意味リストを参照して、前記状態モデルのイベントのそれぞれについて意味内容が付加された意味付き状態モデルを生成する第2の生成手段と
をさらに有する
ことを特徴とする、請求項1又は2に記載の対策網羅性検査装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2010−244139(P2010−244139A)
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願番号】特願2009−89497(P2009−89497)
【出願日】平成21年4月1日(2009.4.1)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願日】平成21年4月1日(2009.4.1)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]