SafetyとSecurityの分断は米国でもあるんですよね。。。カーネギーメロン大学 SEI

こんにちは、丸山満彦です。

SafetyとSecurityの分断は米国でもあるんですよね。。。日本でもそういう話があるのですが、むしろそれは米国でもあるから日本でもあるということなのだろうと思います。。。なので、この話は世界的な共通の話ですね。。。

カーネギーメロン大学内にあるソフトウェアエンジニアリング協会のブログでもその点が指摘されています。。。

● Carnegie Mellon University - Software Engineering Institute - blog

・2020.05.10 Integrating Safety and Security Engineering for Mission-Critical Systems by SAM PROCTER and SHOLOM COHEN

出だしはこんな感じです。。。

Critical systems must be both safe from inadvertent harm and secure from malicious actors. However, safety and security practices have historically evolved in isolation. Safety-critical systems, such as aircraft and medical devices, have long been analyzed for problems that could arise accidentally or from component degradation. They have been considered standalone systems, however, that were impervious to security issues because they had no networking capabilities. Security research, on the other hand, focused to a large extent on low-level issues (e.g., buffer overflows) and often did not make explicit connections to safety goals. There is a growing understanding that the safety and security communities are not well coordinated, and a growing recognition that this disconnect is harmful. In this blog post, we describe how research on safety and security engineering at the SEI is being applied to improve this coordination.

重要なシステムは、不注意による被害からの安全性と、悪意のある攻撃者からのセキュリティの両方が求められます。しかし、安全性とセキュリティは、これまで別々に考えられてきました。航空機や医療機器などの安全性が求められる重要なシステムは、偶発的に発生する可能性のある問題や、部品の劣化に起因する問題を長い間分析してきました。しかし、これらのシステムは、ネットワーク機能を持たないスタンドアローンのシステムと考えられており、セキュリティの問題には無縁でした。一方、セキュリティの研究は、バッファオーバーフローなどの低レベルの問題に重点が置かれており、安全性の目標との明確な関連性がないことが通常でした。このように、安全性とセキュリティの両分野がうまく連携していないことが明らかになってきており、このような断絶は有害であるという認識が高まっています。このブログの記事では、SEIの安全性とセキュリティエンジニアリングに関する研究が、この連携を改善するためにどのように応用されているかを紹介します。

今後は、AIの活用等も考慮していく必要がありますね。。。