KnowledgeLine -> publicLine

　前章で定義したように、オープンシステムディペンダビリティは「変化しつづけるシステム」に対するディペンダビリティである。オープンシステムディペンダビリティの実現のためには、反復的プロセスとしてのアプローチが必須であり、そのようなプロセスは、目的や環境の変化に対してシステムを継続的に変更して行くためのサイクルと、障害に対して迅速に対応するためのサイクル、を備えていなければならないと考える。そして、それらのサイクルからなるプロセスは、構成要素として要求マネジメントプロセス、開発プロセス、通常運用プロセス、障害対応プロセス、説明責任遂行プロセスなどを含む「プロセスのプロセス（Process of Processes）」であり、それらの構成要素プロセスは相互に有機的に結びつけられていなければならないと考える。我々はそのような統合的反復プロセスとしてDEOSプロセスを提案する。

　DEOSプロセスの実施にはそれを支援するためのアーキテクチャが必須である。アーキテクチャは要求マネジメントプロセスを支援するためのツール群、合意内容を収納し維持するための合意記述データ^†ベース、ディペンダブルなソフトウェアを開発するためのプログラム検証やベンチマーキング、フォールトインジェクションテストなどのツール群、システムの状態を常にモニターし、記録・報告し、障害発生時に動的に対応して障害の影響を最小限にとどめるためのプログラム実行環境、などをそなえていなければならないと考える。我々はそのようなアーキテクチャとしてDEOSアーキテクチャを提案する。

　要求は、DEOSプロセスにおいて変化をマネジメントする上で最も基本的な要素である。本章では、要求マネジメントの観点からDEOSプロセスを説明する。

　要求マネジメントは、①要求抽出・リスク分析、②要求に対するステークホルダ合意の形成、③合意された要求の実現確認と説明責任遂行、④要求変化と合意の更新という４つのフェーズからなる。合意形成^†の過程で、抽出された要求は見直される事もある（図６参照）。

　図６では合意された要求はプログラムとして実装されるものと、D-Scriptに変換されるものがあることを示す。D-REではD-Scriptの実行をログで記録することで説明責任を遂行する。

　DEOSプロセスの要諦は（1）変化対応サイクルと障害対応サイクルの同時存在であり、（2）変化対応サイクルにおけるステークホルダ間のディペンダビリティに関する合意された要求をD-Case^†に記述している点であり、（3）障害対応サイクルにおける障害発生時の迅速対応や障害発生の未然回避をD-Case^†に基づいて遂行できる点である。D-Case^†を設計図とするなら、その実現形態が実行環境であり、そこにはステークホルダの合意された要求が反映されている。しかし、ステークホルダの要求は各種環境の変化を要因として変化するので、ある時点で合意されたD-Case^†は別の時点では変化していることになる。このD-Case^†の変化に実行環境は対応する必要がある。以下、実行環境が備えるべき機能を述べる。

動作監視：D-Case^†に記述された対象システムがステークホルダによる合意通りに（即ち変動許容範囲で）運用され稼働しているかを監視する。その際に「合意通り」を裏付けるデータ^†を収集する必要がある。ステークホルダはD-Case^†モニタノードとして監視ポイントを記載している。本稿ではモニタノードで収集されたデータ^†をエビデンスと呼び、ステークホルダの説明責任遂行の際のデータ^†とする。

再構成：D-Case^†の変化に対応するために実行環境を再構成する。その為には、システム構成要素を隔離する機能が必要である。障害発生時には障害部位を隔離し、他の部位に影響を与えないようにする。隔離の仕方や再構成の仕方は対象部位により、また実行状況により異なり、実行時の柔軟性が要求されるので、次に述べるスクリプトが必要になる。

スクリプト：システム再構成時には対象毎に異なる再構成手順を実行し、動作監視時にはモニタノードに対応して監視手順とエビデンス収集手順を実行する。これらの実行手順を記述したプログラムをスクリプトと呼ぶ。実行環境はこのスクリプトを安全・確実に実行する必要がある。

記録：動的監視により得られたエビデンス、再構成の記録、スクリプトの実行記録を始め、OSD実現に有益な情報を記録する。これらの記録は、アクセス管理、暗号化^†、改竄検出を行い、情報の整合性を守る必要がある。

セキュリティ機能：動作監視、再構成、スクリプト、そして記録機能を安全に実行するためにセキュリティ機能が必要となる。

　前記機能群は次のサブシステムから構成される実行環境として提供され、本セッションではこれらを総称してDEOS実行環境（D-RE：DEOS Runtime Environment）と呼ぶ（図１１参照）。以下、本節ではDEOSアーキテクチャの2構成要素であるDEOS実行環境（D-RE）とDEOS動的対応スクリプト（D-Script）に関して述べる。D-REに関しては特に動作監視とエビデンスの収集の観点から、及びアプリケーションライフサイクル管理と、セキュリティ対応の観点から述べる。D-Scriptに関しては特にD-Scriptを用いることによりOSD実現の為にシステム制御を如何に柔軟に実行するか、という観点から述べる。

　DEOSプロジェクトでは、利用可能なソフトウェア開発支援ツールは出来るだけ利用していく方針である。一方でDEOSに固有のツールは独自に開発する。そのようなツールとして、ソフトウェア検証ツール、ディペンダビリティテスト支援ツールの開発を行っている。

　本章では、DEOSプロセス/アーキテクチャを適用することによりシステムが開放系障害に対してどれだけ対処できるようになるかを説明する。そのために、これまでに発生したいくつかの障害事例、あるいは、大規模ソフトウェアシステムで今後想定されるシステム障害事例を引用する。

１）ソフトウェアの欠陥が障害を引き起こすケース
現代社会では鉄道の自動改札システムにICカードが広く使われている。ある朝自動改札システムは立ち上がらなかった。何が原因だったのかまったく分からず、すぐには直せなかった。このため、サービス開始から数時間、自動改札システムは稼働せず、しかたなく鉄道会社は全ての駅の自動改札システムを開放して、乗車を無料とした。真の原因を見つけ出す作業に手間取り、復旧は数時間後であった。

　DEOSが適用されていれば、障害対応サイクルのD-Case^†に迅速対応方法が合意されている。例えば、ダウンする前の状態に戻すという対処である。もちろん無条件に戻せるとは限らない。このケースでは、昨夜まで運用されていたシステムがダウンしたので、夜のサービス停止中にシステムに加えた変更が引き金になった可能性は高いので、昨夜の変更は何があったかを調べた。その結果プログラムの更新はなかったが、自動改札機で不審なICカード使用をチェックする不審カード情報がダウンロードされた事が分かった。そのため不審カード情報を使う事を諦めれば、すなわち昨日までの不審カード情報でオペレーションを再開する事がステークホルダ間で決定されれば、ダウンする前の状態にシステムを戻し、運用を再開することが可能となる。新しい情報に基づく昨日中に発見された新しい不正使用者を見逃す事になるが、昨日と同等のサービスは継続できる。

　別の対処としては、個々の自動改札機をサーバから切り離して動作させる方法があったであろう。個々の自動改札機は最大数日分のトランザクションデータ^†をローカルに保存できる仕様だったので、これを利用すれば、当面の運用は継続することが可能である。このように、D-Case^† に事前のステークホルダ合意が記述され、そこから生成されたD-Script が実行されることにより、迅速対応ができる。

　システムの根本的改修は、DEOSが適用されていれば、変化対応サイクルで行う。障害対応サイクルで、昨夜不審カード情報がダウンロードされた事でシステムがダウンした事が分かっているので、その関連を、障害発生までに出力された動作状況ログ等を分析して、原因を包含しそうなソフトウェアの範囲あるいはモジュールまで絞る。この先は地道なプログラムのデバッグ作業となるだろうが、範囲が絞られ、モジュールが特定できれば、原因究明の時間は短縮できる。またD-Case^†記述に基づき、説明責任遂行を果たすことができる。サービスの継続のためには、エンドユーザである鉄道利用者には、ダウンした状況や、緊急の処理の推移、原因究明の状況を説明し、説明責任を遂行する。

２）システム性能バランスが崩れて障害となるケース
インターネットのサービスを提供するシステムは規模により様々な構成があるが、大量のアクセス数あるいはトランザクション数を支えるシステムの多くは３層構造のシステム（エンドユーザとのインタラクションを担うWeb Server、アプリケーションを実行するApplication Server、データ^†の管理を行うDB Server等）により構成されている。このようなITシステムでは、運用時に環境変化が起こることがままある。例えば、ビジネスを拡張するためにアクセス数の増加に対応したいと考える。この際に、Web Server の増強や、アプリケーションの拡張、サービス要求への対応のために運用時の変更要求が発生する。こうした増強や拡張を全体のシステムとの依存関係を考慮せずに行うと予期せぬ障害が発生する。例えば、Web サーバのみを増強し多くのアクセスを受け付けるようになると、その結果、それが次の層のApplication Serverには過負荷となる。あるいは新サービスがApplication Serverに導入されると、高負荷によるダウンが発生する。システム構成の変更はシステム全体のキャパシティやパフォーマンスなどの性能バランスを考慮して注意深く行われなくてはいけない。

　DEOSが適用されていれば、システム変更を実行する前にDS-Bench/Test-Envで検証する事ができる。もちろんDEOSプロセスにおけるすべての変更要求はD-Case^†に記述され、必要な迅速対応のためのD-Scriptが作られる。DEOSプロセスを順守し、すべての起こりうるケースを想定していても、障害は避けえない。そのような場合でも、適切な障害対応が取られ、変化対応サイクルがケース１）と同様に実施される。

３）インテグレーション問題で障害となるケース
現代のシステムは、多くの市販ソフトウェアや、過去のシステムの遺産であるレガシーコードを駆使して組み上げられている。サービスのカットオーバー前、あるいは組み込み製品の出荷前には大変な労力をかけてテストが行われている。それでも、あらゆる可能性を全てテストする事は難しい。特に、ダイナミックにソフトウェアモジュールが脱着されるような高度なシステムでは、事前にすべての場合をテストするのは不可能に近く、予期せぬ動作を引き起こす。次善の策として、予期せぬ動作が起きた時の、リカバリー手順を準備しておく事が重要である。

　DEOSが適用されていれば、障害対応サイクルのD-Case^†に手順がある。もし、ソフトウェアモジュールが追加された直後に障害が発生する場合には、ダウンする前で、かつモジュールが追加される前の状態に戻す処理が望ましい。D-REには、アプリケーションのみならず、システムのチェックポイントリスタート機能があるので、処理をさかのぼってシステムを再スタートする事が出来る。D-REは階層的に、チェックポイントの機能を提供するためのAPIも提供しているため、障害の程度によって、使い分けることができる。また、D-RE ではシステムと連携し、安全にアプリケーションを開始、終了したり、チェックポイントを実行するためのAPI を利用するアプリケーションをD-Aware Applicationとしている。D-Aware Application 向けAPIを利用することで、システムと連動した安全な操作が可能である。また、D-Aware Application ではない場合も、D-REには、短時間で再起動が行える機能があるため、システムレベルあるいはアプリケーションレベルでの再起動を実行することができる。これにより再現性が低い一時的な障害は回復できる場合が多い。説明責任遂行においては、エンドユーザには、ダウンした状況や、緊急対処の内容を説明し、説明責任を遂行する。

４）システム老化が障害を引き起こすケース
コーディングミスによるメモリーリークなどは機能の誤動作を引き起こす。メモリーリークを検出する事は難しい。また、全ての言語においてGC（Garbage Collection）を利用することができるとは限らない。メモリーリークを放置すると、アプリケーションの稼働メモリー領域が狭められて、やがてはシステム全体の性能の低下や、応答不能といった状態も引き起こす。

　DEOSが適用されていれば、D-REがメモリー領域の減少をモニターしており、自動的に若化機能を動作させ、システムの状況の悪化を回避する。

５）ライセンス切れが障害を引き起こすケース
現代のシステムの多くは市販のソフトウェアを使っている。ソフトウェア契約は期限ごとにライセンス料を支払って使用期間を更新するものが多い。したがって、普通、そう言った市販ソフトウェアはライセンス期限が切れると、動作を止めるように作ってある。使っているシステムとしては、個々のライセンス期限を管理して、期限が切れる前に更新するのが望ましい。しかし、何十本、何百本も市販ソフトウェアを組み合わせているシステムでは、全てのソフトの管理が統一的、一元的に行われているとは限らず、管理から漏れるソフトウェアもある。ソフトウェアライセンス切れによるシステム動作の停止は、重要であるが見過ごされがちである。

　DEOSが適用されていれば、運用状態で日常点検を実行することにより回避することができる。D-REはシステムコンテナごとにシステムクロックをセットする機能がある。つまり、システムを未来時間で動かし、その未来時間にライセンス期限が来るようなソフトウェアをリストして、更新を促すことができる。実際のトランザクションが処理されなければ、動かないシステムもあるだろう。２４時間稼動していて、未来時間にセット事ができないシステムもある。そう言ったシステムでは、先に述べたように厳密なライセンス管理が求められるが、そうでないシステムであれば、毎日、終業後に明日の営業時間に時間をセットして事前に動作を確認する日常点検が有効である。

1. H. Yasuura, “On Dependability”, T. Nanya, “Concept and Issues on Dependability”, K. Iwano, “Dependability in Social Services”, in Dependability Workshop Report （in Japanese）, CRDS-FY2006-WR-07, CRDS, JST, March 2007
2. http://www.dependability.org/wg10.4/
3. A. Avizienis, J.-C. Laprie, B. Randell, C. E. Landwehr, “Basic Concepts and Taxonomy of Dependable and Secure Computing”, IEEE Trans. On Dependable and Secure Computing, Vol.1, No. 1, Jan.-March 2004
4. T. Kikuno, “Requirements for Dependability in the 21th Century”, Speech at the Kickoff Symposium of JST/CREST^† Dependable Embedded OS Project, December 2006
5. M. Tokoro, “On Designing Dependable Operating Systems for Social Infrastructures”, Keynote Speech at MPSoC, Awaji Island, Japan, June 25, 2007.
6. 安浦 寛人、「社会システムを支えるディペンダブルコンピューティング」、電子情報通信学会誌、Vol.90, No.5, pages 399-405, May. 2007
7. 加納　敏行、菊池　芳秀、「ディペンダブルIT・ネットワークとは」、NEC技法、Vol.59, No.3, 2006, pages 6-10
8. M. Y. Hsiao, W. C. Carter, J. W. Thomas, and W. R. Stringfellow, “Reliability, Availability, and Serviceability of IBM Computer Systems: A Quarter Century of Progress”, IBM J. Res. Develop., Vol. 25, No. 5, 1981, pages 453-465
9. A. G. Ganek and T. A. Corbi, “The dawning of the autonomic computing era”, IBM Systems Journal, Vol 42, No. 1, 2003, pages 5-18
10. “An architectural blueprint for autonomic computing, 4th edition”, IBM Autonomic Computing White Paper, June 2006
11. http://www-03.ibm.com/autonomic/
12. 所　眞理雄、「技術成熟期における研究開発」、電子情報通信学会誌、Vol.90, No.9, 2007, pages 742-744
13. 所　眞理雄、他、「オープン システム サイエンス」、NTT出版
14. H. B. Diab, A. Y. Zomaya, “Dependable Computing Systems”, Wiley-Interscience
15. G. M. Koob, C. G. Lau, “Foundations of Dependable Computing”, Kluwer Academic Publishers
16. M. C. Huebscher, J. A. McCann, “A survey of Autonomic Computing”, ACM Computing Surveys, Vol. 40, No.3, Article 7, August 2008, pages 7:1-7:28
17. 松田　晃一、巻頭言、IPA SEC journal No.16，第５巻第１号（通巻１６号）2009, page 1
18. T. Forbath, interview「日本企業は２０世紀型の開発プロセスから脱却すべき」NIKKEI ELECTRONICS 2009.2.23, page 29
19. A.Avizienis, ” Design of fault-tolerant computers”, In Proc. 1967 Fall Joint Computer Conf., AF^†IPS Conf. Proc.Vol.31, pages 733-743, 1967
20. ナシームNタレブ、「ブラックスワン」、ダイヤモンド社.
21. ナンシーGレブソン、「セーフウェア」、翔泳社
22. 不具合連鎖「プリウス」リコールからの警鐘、日経BP社/
23. 大和田　尚孝、他、「システムはなぜダウンするのか」、日経BP社
24. H. B. Diab, A. Y. Zomaya, “DEPENDA^†BLE COMPUTING SYSTEMS”, WILEY-INTERSCIENCE
25. G. M. Koob, C. G. Lau, “FOUNDA^†TIONS OF DEPENDA^†BLE COMPUTING”, KLUWER ACADEMIC PUBLISHERS
26. K.Kanoun, L.Spainhower, “Dependability Benchmarking for Computer Systems”, IEEE COMPUTER SOCIETY
27. B.Kirwan,"A Guide to PRACTICAL HUMAN RELIABILITY ASSESSMENT”,CRC PRESS
28. 「安全・安心を実現する情報社会基盤の普及に向けて」(http://www.scj.go.jp/ja/info/kohyo/pdf/kohyo-20-t58-4.pdf ）、日本学術会議　情報学委員会セキュリティ・ディペンダビリティ分科会　（委員長　今井 秀樹）、２００８年６月２６日　
29. O.-J. Dahl, E. W. Dijkstra, C. A. R. Hoare, Structured Programming, Academic Press, London, 1972 ISBN 0-12-200550-3
30. Birtwistle, G.M. (Graham M.) 1973. SIMULA begin. Philadelphia, Auerbach.
31. Humphrey, Watts (March 1988). "Characterizing the software process: a maturity framework". IEEE Software 5 (2): 73–79. doi:10.1109/52.2014. http://www.sei.cmu.edu/reports/87tr011.pdf.
32. Humphrey, Watts (1989). Managing the Software Process. Addison Wesley. ISBN　0201180952.
33. http://www.sei.cmu.edu/cmmi/
34. Ultra-Large-Scale Systems: The Software Challenge of the Future, http://www.sei.cmu.edu/library/assets/ULS_Book20062.pdf
35. Dependable Operating Systems for Embedded Systems Aiming at Practical Applications Research Area (DEOS Project) White Paper Version1.0, DEOS-FY2009-WP-01, JST, Sep. 1, 2009
36. Dependable Operating Systems for Embedded Systems Aiming at Practical Applications Research Area (DEOS Project) White Paper Version2.0, DEOS-FY2010-WP-02, JST, Dec. 1, 2010
37. T P Kelly, R A Weaver, “The Goal Structuring Notation - A Safety Argument Notation”,
In proceedings of the Dependable Systems and Networks 2004 Workshop on Assurance Cases, July 2004
38. Workshop on Assurance Cases: Best Practices, Possible, Obstacles, and Future Opportunities, DSN 2004, 2004
39. European Organisation for the Safety of Air Navigation. Safety case development manual. European Air Traffic Management, 2006
40. Railtrack. Yellow Book 3. Engineering Safety Management Issue3, Vol. 1, Vol. 2, 2000.
41. Guidance for Industry and FDA Staff - Total Product Life Cycle: Infusion Pump - Premarket Notification [510(k)] Submissions http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/ucm206153.htm#6
42. City University London　Centre for Software Reliability http://www.city.ac.uk/informatics/school-organisation/centre-for-software-reliability/research
43. D-Case^† Editor http://www.il.is.s.u-tokyo.ac.jp/deos/dcase/
44. Kimio Kuramitsu. Konoha: implementing a static scripting language with dynamic behaviors. In Proceeding S3 '10 Workshop on Self-Sustaining Systems, ACM Press, 2010.
45. Takahiro Kosakai, Toshiyuki Maeda and Akinori Yonezawa, “Compiling C Programs into a Strongly Typed Assembly Language”, In proceedings of the 12th Asian Computing Science Conference (ASIAN 2007). pp. 17-32. Doha, Qatar, Dec. 2007.
46. Motohiko Matsuda, Toshiyuki Maeda, and Akinori Yonezawa, “Towards Design and Implementation of Model Checker for System Software” , In proceedings of the 12th Asian Computing Science Conference (ASIAN 2007). pp. 17-32. Doha, Qatar, Dec. 2007.7). pp. Systems (STFSSD 2009), Tokyo, Japan, January 2009.
47. 加藤 真平、他、「ディペンダブルシステム向けベンチマークフレームワークの提案」 第7回ディペンダブルシステムワークショップ DSW2009、 pp. 171-178、 2009年7月
48. Toshihiro Hanawa, Hitoshi Koizumi, Takayuki Banzai, Mitsuhisa Sato, and Shin’ichi Miura, “Customizing Virtual Machine with Fault Injector by Integrating with SpecC Device Model for a software testing environment D-Cloud”, the 16th IEEE Pacific Rim International Symposium on Dependable Computing (PRDC '10), pp. 47-54, Dec. 2010. doi: 10.1109/PRDC.2010.37
49. Takayuki Banzai, Hitoshi Koizumi, Ryo Kanbayashi, Takayuki Imada, Toshihiro Hanawa, and Mitsuhisa Sato, “D-Cloud: Design of a Software Testing Environment for Reliable Distributed Systems Using Cloud Computing Technology”, the 2nd International Symposium on Cloud Computing (Cloud 2010) in conjunction with the 10th IEEE/ACM International Conference on Cluster, Cloud and Grid Computing (CCGrid 2010), pp. 631-636, May 2010. doi: 10.1109/CCGRID.2010.72
50. Toshihiro Hanawa, Takayuki Banzai, Hitoshi Koizumi, Ryo Kanbayashi, Takayuki Imada, and Mitsuhisa Sato, “Large-Scale Software Testing Environment Using Cloud Computing Technology for Dependable Parallel and Distributed Systems”, the 2nd International Workshop on Software Testing in the Cloud (STITC 2010), co-located with the 3rd IEEE International Conference on Software Testing, Verification, and Validation (ICST 2010), pp. 428-433, Apr. 2010. doi: 10.1109/ICSTW.2010.59
51. Daniel P. Siewiorek, Robert S. Swarz, “Reliable Computer Systems: Design and Evaluation”, Third Edition. A K Peters/CRC Press. 1998.
52. A.M. Davis, Just Enough Requirements Management: Where Software Development Meets Marketing, Dorset House. 2005.
53. Object Management Group/Business Process Management Initiative: http://www.bpmn.org/
54. Smalltalk: http://www.smalltalk.org/main/
55. Nancy Leveson: “A new accident model for engineering safer systems”, Safety Science, Volume 42, Issue 4, Pages 237-270, April 2004.