Type Iは、個別事業内のインフラ系ではあるものの、法的紛争などで信頼性の強化を求めることができるとしており、具体的には事業サービスや給付系サービス、企業間取引などを指している。経済損失レベルがType Iよりも高いType IIでは個別事業の普及範囲が大きいインフラ系で基本的信頼性が求められるものだ。たとえば放送や行政、水道、建設などを指している。
経済損失レベルが高く人的損害も伴うType IIIは、輸送や通信、金融・証券、プラント制御といった重要インフラを含んでいる。これは社会的に高い信頼性が求められると同時に社会的な影響が極大化する事態を回避しなければならないといった性質も帯びている。
人命損失が甚大になり得ると同時に経済損失も甚大になる可能性を秘めているのが、Type IVだ。このカテゴリでは、高信頼性と同時に安全性が求められる情報システムを指している。具体的には、航空管制や医療機器、航空宇宙制御、建築構造計算、救急医療などが対象としている。
今回のカテゴリ分けは、情報システムがどのように活用されているのか、障害が発生した際にどのような影響を及ぼすのかを表すと同時に、その障害の発生を防ぐための対策としてどのくらいのコストをかけるべきかの指標ともなり得る。IPAでは今回のカテゴリ分けを「システムプロファイリング」として提案している。
事例を類型化
研究会では、2006年12月から2008年末までの明らかになっているシステム障害事例85件を類型化、障害原因作り込み段階での類型化分析、障害発生要因とその対策に関する分析、障害対策に関するコスト分析を行っている。これらの分析結果から研究会では、障害再発防止に向けたチェック項目と診断方法を関連付け、情報システムレベルで不具合予兆の発見・検出・検証などを事前にコントロールするための評価指標を整備している。
システム障害とは別に、ウイルスやフィッシング詐欺といった情報セキュリティ上の問題現象(セキュリティ・インシデント)の事例も分析している。対象となったのは、2000〜2008年までの国内外の事例58件を精査した。原因を分析するとともに体系的に整理し、企画・開発・保守・運用という情報システムのライフサイクルごとにどのようなインシデントが発生しているのか、といったことをマッピングしている。
システム障害やセキュリティ・インシデントといった事実の分析を行うと同時に、これから信頼性をどうやって確保していけばいいのかと言った提案も研究されている。その方策として研究会では、システムの構築段階で、システム障害の程度を客観的に評価する必要があるとの考えから、2つの作業目標指標を整備している。
ひとつが、レビューやテストなどの作業ボリュームに対する作業工数比率などを評価する指標として「プロセス指標」だ。もう一つが、成果物の、信頼性や品質などを客観的に計測して、評価するためのものである「プロダクト指標」である。IPAでは、この2つの指標を用いることで開発段階での信頼性について定量的にコントロールできるとしている。
研究会では、活動成果として報告書をまとめているが、その位置付けは「信頼性向上のために、基本的な方向性と実現に向けたアイデア・コンセプトの試案」としている。SEC所長の松田氏も、報告書について「結論ではなくスタート」と説明する。今後は、SECを中心にシステムプロファイリング、障害の類型化と対策指針、セキュリティ重視の対策指針などの点から産業分野ごとに具体化・精緻化を進め、情報共有を図っていくとしている。
