nusmv を 用いた 法令 準拠性検査の支援システム開発

1

NuSMV を用いた法令準拠性検査の支援システム開発

信州大学大学院海尻・海谷研究室08TA558B藤橋陽平

2

index

1. 研究背景，目的2. モデル検査3. 入力コード4. 支援ツール概要5. 評価実験6. まとめ，今後の課題

3

1.研究背景，目的

4

研究背景

開発コストを削減するために，早期の段階でシステムの

法的脆弱性をチェックすることが重要

ビジネスプロセス (BP)と情報システム (IS)の開発は関連法令に対する脆弱性 (法的脆弱性 )を防ぐ必要がある．

5

研究目的開発早期での法的脆弱性のチェック

を行うための手法の提案．

モデル検査を用いた情報システムの

法令準拠性の検査

6

研究目的提案された手法では，モデル検査を

行うために必要な状態モデル，検査式の構築に時間がかかる．

モデル検査を用いた検査の自動化を目指した支援システムの開発

7

2.モデル検査

8

モデル検査状態遷移を総当たりで検査することで，

情報システムが正しく動くことを検証するシステム

本研究では NuSMV というツールを用いる

NuSMV(New Symbolic Model Checker)

コマンドラインアプリケーション．モデルを記述したコードと検査項目を記述したコードを入力とする．

9

モデル検査

要求仕様 状態モデル

関連法令 検査式

NuSMV

結果出力

10

3.入力コード

11

要求仕様

Create Account

Delete account

Log in

Retrieve Commodity

Buy CommodityLog out

Delivery Commodity

ユースケース図

user

Auther

状態遷移

state1

state3

state2

State4

State5

State6 state7

state8

state10

State9

初期状態

最終状態

13

状態モデルMODULE main //main メソッド VAR // 状態宣言メソッド state : { // 状態の宣言 state1, state2, state3, state4, state5, state6, state7, state8, state9, state10 } ;  ASSIGN // 状態遷移メソッド init(state) := state1 ; // 初期状態の記述 next(state) := case // 次の状態遷移への式 state = state1 : state2 ; // 例の場合，状態は， state1から state2 へ遷移する state = state2 : state3 ; //state1 から state2 へと同じで，繰り返す state = state3 : state4 ; state = state4 : state5 ; state = state5 : state6 ; 〜〜〜〜〜〜〜〜〜〜 state = state9 : state10 ; // 最終状態 1 : state ; // 状態遷移終了．例の場合 state6 が最終状態となる． esac ; // 終了宣言

14

検査式時相論理を用いた論理式で記述する．検査対象の関連法令として「個人情報

保護法」を用いる．

15

時相論理

時間

経路( 実行パス )

CTL(Computational Tree Logic 計算木論理 )◦分岐時相論理の一種で，木構造のように

分岐した時間モデルで表される

16

時相論理CTL で使われる作用素

◦経路作用素 Aφ (All)

あらゆる時間分岐において φ は真 Eφ (Exists)

あらゆる時間の分岐において少なくとも一つで φ は真◦状態作用素

Gφ (Globally) ある一つの分岐において φ は常に真

Fφ (Finally) ある一つの分岐において少なくとも一カ所で φ は真

17

法令変換法律の式化において必要なもの

◦Situation 〜〜のとき，等法令があてはまる状況

◦Act 〜〜をしなければならない，〜〜をしてもよい

◦Act の意味 Obligation : 義務 Prohibition : 禁止 Permission : 許可 Exemption : 免除

18

法令分類学

P : Situation を表す命題 Q : Act を表す命題

義務　 ObligationP → AF

Q 　

禁止　 ProhibitionP → AF

¬ Q

許可　 PermissionP → EF

Q免除　 Exemption

P → EF ¬ Q

19

法令例個人情報保護法第十八条

◦ 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

◦When having acquired personal information, a business operator handling personal information shall, except in cases in which the Purpose of Utilization has already been publicly announced, promptly notify the person of the Purpose of Utilization or publicly announce the Purpose of Utilization.

20

法令変換例の場合

◦Situation When having acquired personal

information( 個人情報を取得した場合 ) →have_personal_info

◦Act notify or announce( 通知、又は公表 )

◦Act の意味 義務

21

法令式以上の要素を考えて法令を論理式化

するとhave_personal_info ->

AF ( notify | announce )となる

22

語句統一法令式内の状態名と状態モデル内の

対応する状態名が違うと検査ができない．

語句の統一を図る必要がある．

23

4.支援ツール概要

24

支援ツール名称： NuSMVOPE

◦Java の eclipse を使って作成．◦Visual Editor を用いて

GUI プログラムを作成．◦法令式のデータベース．◦状態モデル作成の支援

システム．◦外部プログラム

(NuSMV) の呼び出し．

25

支援ツール法令データベース

◦検査式作成の簡略化．◦法令式のリスト化．

状態モデル作成の支援◦状態遷移の各状態

を順に入力することで状態モデルが作成される．

26

支援ツール語句統一の支援システム

◦対応する状態名を入力することで法令式側の状態名を置換する．

27

5.評価実験

28

評価実験被験者に，ツールを使った検査実行と

手動での検査実行を行ってもらい，評価を行った．

評価基準◦時間

モデル作成から検査実行までの実行時間の測定◦正確性

入力時のミス等による実行時のエラー回数◦被験者からのツール評価

29

実験概要学生４人 (B4-3 人 ,M2-1 人 ) を被験者とし

て扱った．ツール用のマニュアルと手動用のマニュア

ルを作成し，事前に目を通してもらうと同時に実験中にも見てもらう．

実験中，常に質問を受けつけた．実験に使う状態遷移と法令式，語句統一の

ための状態対応は事前に用意して与えた．

30

実験概要与えられた状態遷移

◦Onlishop の作業フロー新規登録を選択メールアドレスの入力アドレスの正当性チェックユーザー情報の入力ユーザー情報の利用目的を明示入力された情報の確認ID の送付登録完了ログインアドレス，パスワードの入力商品の検索商品の選択商品を購入リストに追加商品リストの確認最終確認購入完了ログアウト

pick_entry↓take_mail_add↓check_validity↓take_personal_info↓specify_object↓check_entry_info↓issue_ID↓comp_entry↓log_in↓

take_ID↓search_commodity↓pick_commodity↓pick_up_commodity↓check_commodity↓final_check↓comp_buy↓log_out

31

実験概要与えられた法令式

◦個人情報保護法第十八have_personal_info -> AF (notify | announce)

語句統一◦have_personal_info ->

take_personal_info◦notify -> specify_object◦announce -> specify_object

実験結果時間

(手動時 )時間

(ツール時 )正確性

(手動時 )正確性

(ツール時 )

被験者 O 14:52 04:54 1 0

被験者 S 18:02 08:45 3 1

先手動 16:2706:49(4

1％ )2 0.5(25％ )

被験者 K 17:31 09:45 1 0

被験者 T 19:33 11:13 1 0

先ツール 18:3210:29(5

7％ )1 0(0％ )

平均 17:2908:31(4

9％ )1.5 0.25(17％ )

※被験者 O と S はツールを使った検査を先に，K と T は手動検査を先に行った．

※％は手動時との比較数値32

33

被験者の意見全体の意見として，ツールのほうが断然やりやすかった．

ツールの使い勝手に関する意見◦ボタン配置が悪い．◦配置が直感的に分かりにくい．作業順にタブ分けしてはどうか？

◦テーブルに状態を入力するほうがいいのでは？

◦状態モデルのエリアが狭くて見辛い．

34

考察時間，正確性による評価

◦全体平均で，ツール時は手動時の 49％の時間，17％のエラー数で検査を行えており，支援ツールの有用性を十分に実証する結果となった．

◦ 個人差はあるが，手動検査を先に行った被験者のほうが比較数値が低い． 手動先 -41％　ツール先 -57％

◦ ツールを用いる場合でも一度手動検査を行う，もしくは手動マニュアルを読むことでモデル検査の手順を習得しておいたほうが効率が上がると思われる．

35

考察被験者の意見に関する考察

◦入力方式の変更やタブ分けの意見は，直接実行時間に関わってくる．要改良．

◦見辛い，直感的に分かりにくい等の意見はマニュアルの出来を含め，検査の正確性にも影響が出る．要改良．

36

まとめ，今後の課題

37

まとめNuSMV を用いた法令準拠性検査の手順を確率した．

NuSMV を用いた検査の支援システムを開発した．

評価実験により，ツールの完成度は低いながら，有用性の高さを確認することができた．

38

今後の課題被験者の意見をもとにした支援システ

ムの改良．扱える状態遷移 ( 分岐，ループ ) を増

やし，複雑な状態モデルの構築を可能にする．

法令式のデータベースの増加．