STAMP

STAMP(SystemTheoretic Accident Model and Processes)に関するメモを掲載します．

2020-11-16

• STPAでSafety&Securityの分析をする話っぽいもの
• A STAMP-based ontology approach to support safety and security analyses (2019)
• https://www.sciencedirect.com/science/article/pii/S2214212619302042
• Towards Combined Safety and Security Constraints Analysis (2017)
• https://link.springer.com/chapter/10.1007/978-3-319-66284-8_7

2020-10-28

• タイトルから中身は大体想像できますが，細かいところまでフォローする必要がありそうなので，読むことにします：
• Extending STPA with STRIDE to identify cybersecurity loss scenarios
• https://www.sciencedirect.com/science/article/pii/S2214212620307857

2020-10-21

• 岡野先生たちの研究に混ぜてもらいました：Deriving of Time Constants in Timed Automata for Hazard Transition Sequences for STAMP/STPA
• https://www.sciencedirect.com/science/article/pii/S1877050920320494
• 後で読むかも：Systemic approaches to incident analysis in coal mines: Comparison of the STAMP, FRAM and “2–4” models
• https://www.sciencedirect.com/science/article/pii/S0301420718304847
• 後で読むかも：A System-Theoretic Accident Model and Process with Human Factors Analysis and Classification System taxonomy
• https://www.sciencedirect.com/science/article/pii/S0925753516304672
• 読んでみたので気になる箇所を列挙：INTRODUCTION TO STPA FOR SECURITY (STPA-SEC)
• http://psas.scripts.mit.edu/home/wp-content/uploads/2020/07/STPA-Sec-Tutorial.pdf
• STRIDE Mnemonic For Generating Security Scenarios (Shostack)
• We will NOT be Using STRIDE to Generate Scenarios
• We will use STRIDE to Categorize Attacks and as a Bridge to Security Experts Who Will Help Develop Solutions

2020-10-20

STPA-Secのチュートリアルのスライドは，以前と比較してずいぶんと詳しく書かれていた．

http://psas.scripts.mit.edu/home/wp-content/uploads/2020/07/STPA-Sec-Tutorial.pdf

STPA Handbook

• STPA Step3(他の資料ではStep2)のロスシナリオ（ハザードシナリオ，シナリオ等と呼ばれていた）の識別方法が，他の資料と比較して細かく（構造的に），解説されている．

第2回 STAMPワークショップ 2017-07-06

• 開催日：2017年11月27日（月）、28日（火）、29日（水）（※29日は午前中のみ）
• 開催場所：慶應義塾大学 三田キャンパス北館ホール
• 参加費：無料（懇親会は有料）
• https://www.ipa.go.jp/sec/events/20171127.html

FMEA, FTA, HAZOPとSTPAを比較するときの参考資料

• HAZOP 3.0 Safety and Security 28 Q&A added version
• HAZOP, FMEA and FTA for risk assessment.

STPA Based Hazard and Risk Analysis Tool SAHRA

• http://www.sahra.ch/
• 公開されている？：「While some of the modules and features of SAHRA are in internal and external beta-testing others are still in development. We have therefore until now provided demo versions solely to strategic partners. Please contact us for further information or to be notified about the software's availability.」とのこと．(20170831)
• Step1,2の結果を記載する形式がマインドマップ？

SafetyHAT(STPA Tool)

• https://www.volpe.dot.gov/infrastructure-systems-and-technology/advanced-vehicle-technology/safetyhat-transportation-system
• インストールには名前，所属とメールアドレスの登録が必要
• MSのアクセス無しでも利用可能なパッケージをインストール
• パッと見では，STPAのプロセスを穴埋めによりガイドしてくれる．
• コントロールストラクチャー図は表形式だけ？図形式でコントールストラクチャ図が書けない？(別途作成したPDF形式のコントロールストラクチャ図と表形式のコントロールストラクチャ図の関連付けは可能)
• 日本語入力は可能

XSTAMPP

• http://www.xstampp.de/ は閉鎖？(2081-10-09)
• https://github.com/SE-Stuttgart/XSTAMPP ここが最新の模様(2018-10-09)
  • acast, astpa, stpapriv, stpasec, xstpa, xstpapriv, xstpasecのプラグインはあるようだが，verifer(モデル検査)のプラグインが見つからない(2018-10-09)
• https://sourceforge.net/projects/stampp/ ここからgithubへ移行した模様(2018-10-09)
• ツール（ダウンロード）
  • XSTAMPP :STPA, CAST, XSTPAを実施可能，モデル検査やテストケース生成とも連携するようだが試してはいない(2016-12-15追加)
  • STPASec: STPA for security：XSTAMPP用．新しいバージョンが出た模様(2016-12-22)
• XSTMPP関連動画（Asim Abdulkhaleqさん提供）音声がないようですが，画面を見るだけでも参考になるかと．(2016-12-13)
  • A-CAST Causal Analysis based on STAMP Video Demo
  • STPA Verifier (STPAの結果とモデル検査の融合の話らしいが，詳細は別の文献を見ないとわからない？)
  • XSTPA Video Demo

XSTAMPPで日本語がうまく表示できない件(2017-06-26) ⇒なぜか正しく表示されるようになっていた件⇒その後再び日本語がうまく表示できない件(2017-07-06)

• 2.3.0でうまく日本語が表示されず．なぜ？⇒なぜか，日本語が正しく表示されるようになっている...（理由は不明）
  • その後再び日本語表示がおかしくなったので，人間が英語に翻訳して回避(2017-0706)
• Project Explorer内の日本語表示は正しく表示されるが，Control Structure Diagram内の日本語は正しく表示されず．
  • Project Explorer内の表示は，hazxのファイル名からとってきている？
• <?xml version="1.0" encoding="UTF-8" standalone="yes"?>なのに...
  • Edit => Preferences => General => Content Types => Text => Properties ISO-8859-1 (UTF-8に変更)
  • Edit => Preferences => General => Content Types => XML => UTF-8
  • とするも日本語は正しく表示されず
• 右サイトにあるバージョン2.2.1を入れて緊急回避 https://sourceforge.net/projects/stampp/files/

XSTAMPP使い方(Contex Tables, Refined Unsafe Control Actions, Refined Safety Constraints)

• これらの要素は，トーマス博士が学位論文で提案した拡張STPAを実現するための要素です．
• 準備としてControl Structure With Process Modelで，プロセスモデル変数(Process Variable)とプロセスモデルの値(Process Value)を定義します．
  • この準備の方法は，Tutorial 5: How to draw the process model and process model variables in STPA projectを参考に実行してください．
• XSTPA Demo for Generating Context Tables Demoを参考に以下の作業を実施する．
  1. Context Tablesを開く
  2. Control Actionsをクリックして，表示されたControl Actionsの中から，分析したいもののSafety Criticalにチェックを入れる
  3. Dependenciesをクリックして，各Control Action毎に関連するProcess Model Variablesを指定する．
  4. Context Tableをクリックして，右上のボタンをクリック(トーマス博士の学位論文のUCA表を生成)し，ハザードへ至る条件の組み合わせにチェックを入れる．
  5. Rules Tableをクリックすると，4で作成した表を基に生成されていた安全制約が表示される．このとき，各行と対応する定義済みのUnsafe Control Actionを選択する．
• 上の作業を実施した後に，Refined Unsafe Control ActionsとRefined Safety Constraintsをクリックすると，Refined Unsafe Control Actionsは上記4で記述情報から，Refined Safety Contraintsは上記5の情報から生成されていることが分かる．

* 「SpecTRM: Specification Tools and Requirements Methodology」でSTAMP/STPAとの連携が図れるらしい？

• 試用できるようなので，後で確認してみる．(2016-12-15)
• 某所でお話ししたSTPA step1(2?) の支援がこのツールでもできるらしいので，比較してみたい．(2016-12-15)

STPA-SafeSec: Safety and security analysis for cyber-physical systems(2016)

• STPA(safety)+STPA-sec(security)を統合した安全分析法の提案
• 「ガイドワードのセキュリティ拡張」を提案（table1,2）
• 「抽象コントールストラクチャと具象コントールストラクチャの対応付け」を提案
• トーマス博士の拡張STPAを採用
• ハザードシナリオ達の詳細化関係を木構造で構造化して，分析を容易にしている．
• 「Further, methods to quantify attack trees can also be applied to the tree structure of STPA-SafeSec results.」⇒具体的にどうやるの？

「はじめてのSTAMP/STPA」で指摘を受けた個所とその対応案（岡本私見）2017-07-05

• 2ページのハザードの定義は「システムのアクシデントの可能性が潜在している状態」としか書いていないので分かりにくいのでは？⇒7ページの正確な定義とハザードの例を例示する．
• 3ページの表1.2-1で「ハザードへ至る」だけでは一般的過ぎて分かりにくいのでは？⇒UCA表の欄にはハザードも記載する．トーマス博士の拡張STPA等を活用し分かりやすい例を例示する．
• 3，4章の鉄道の例で，掲載されている情報では分析に不十分では？⇒いろいろな方の意見を基に必要な情報を追加する．

資料（書籍，論文など）

• Engineering a Safer World :書籍「Engineering a Safer World」はPDF版がフリーで入手できます．(2016-1214)
  • 誤字 pp.98: "the controller process may be unable to execute the control commands and accidents may result. "の the controller process は the controlled process?
  • 名言！：In this conception of safety, there is no “ root cause. ” Instead, the accident “ cause ” consists of an inadequate safety control structure that under some circumstances leads to the violation of a behavioral safety constraint. Preventing future accidents requires reengineering or designing the safety control structure to be more effective. (pp.100)
  • 誤字 pp.192: "Door opens while impropertly aligned with station platform"の impropertly は improperly
• An STPA Primer :STPAの入門書(primer) (2016-12-15追記)
• はじめてのSTAMP/STPA ～システム思考に基づく新しい安全性解析手法～ ：日本語の解説書，コンパクトにまとまっている (2016-12-15追記)
• EXTENDING AND AUTOMATING A SYSTEMS-THEORETIC HAZARD ANALYSIS FOR REQUIREMENTS GENERATION AND ANALYSIS : John Thomas氏の学位論文．XSTPAはここから開始

セミナー情報

• 大規模・複雑化に対応したシステムの処方箋について～STAMPによる安全解析手法と形式手法による安全対策実装～(2017-01-31)

Procterさんの STAMP/STPA on AADL の話のまとめ(暫定)

1. An Architecturally-Integrated, Systems-Based Hazard Analysis for Medical Applications (ここにファイルありました)
2. A DEVELOPMENT AND ASSURANCE PROCESS FOR MEDICAL APPLICATION PLATFORM APPS (学位論文，ファイル入手可能)

とりあえずこれらをざっと目を通してから，コンタクトします．(2017-02-19)

* まだ読んでいないのですが，以下の論文を見つけました：

Using STPA in an ISO 26262 Compliant Process (2016)

http://link.springer.com/chapter/10.1007/978-3-319-45477-1_10

この中身であろうPDFファイルもありました：

https://www.cas.mcmaster.ca/~lawford/papers/UsingSTPAinISO26262proces.pdf

* STPA-sec関係の資料とツール(1,2辺りが最初期の元ネタの様子．3も本家の人によるチュートリアルのスライド)

1. W. Young, N. Leveson, Systems thinking for safety and security, Proceedings of the 29th Annual Computer Security Applications Conference on — ACSAC ‘13, ACM Press, New York, New York, USA. (2013), pp. 1–8
2. Young, N.G. Leveson, An integrated approach to safety and security based on systems theory, Commun ACM, 57 (2) (2014), pp. 31–35
3. Security Tutorial Part 1, A Systems Approach to Security, William Young Jr
4. STPA-SafeSec: Safety and security analysis for cyber-physical systems, Ivo Friedberga, Kieran McLaughlinb, Paul Smitha, David Lavertyb, Sakir Sezerb (2016) ：安全性とセキュリティの統合分析もありました．（未読）
5. STPASec: STPA for security ：XSTAMPP用プラグイン

* 失敗や事故の原因を従来とは別の視点から眺める新たな検証方法とは？(2014) 英語記事の日本語訳によるSTAMPの紹介．

* IPA/SEC安全性・信頼性分析手法WGメンバーを主とした日経テクノロジーオンラインの記事

• Resilience Engineeringの適用 野本秀樹（有人宇宙システム、IPA/SEC安全性・信頼性分析手法WG委員） 2016/12/21
• Resilience Engineering概説 高橋 信（東北大学 大学院工学研究科 教授） 2016/12/05
• モデル検証技術の活用 岡野 浩三（信州大学 准教授、IPA/SEC システム安全性・信頼性分析手法WG委員）、岡本 圭史（仙台高等専門学校准教授、IPA/SEC システム安全性・信頼性分析手法WG委員） 2016/11/16
• 意図を記述すれば安全性が高まる 中村 洋＝レンタコーチ代表取締役、IPA/SECシステム安全性・信頼性分析手法WG委員、JASA安全性向上委員会委員 2016/11/02
• 事故解析の新手法「STAMP」の概説と適用事例 三原幸博（IPA＝独立行政法人情報処理推進機構 システム高信頼化センター 調査役） 2016/10/19
• IoT時代の安全性検証技術 兼本 茂（会津大学 教授、IPA/SEC システム安全性・信頼性分析手法WG主査） 2016/10/05

* 第14回クリティカルソフトウェアワークショップ (14thWOCS²)で日下部先生がSTAMP関連の講演をされてます．(2016-12-13)

• STAMPモデリングによるプロセス先行指標の活用 長崎県立大学 日下部 茂 氏

* STAMP関連の動画(英語と日本語) (2016-12-09)

1. 【SEC特別セミナー】Engineering a Safer World～ 安全なシステムを実現するための新たなアプローチ（手法と事例）～ (2014)
2. SEC特別セミナー Engineering a Safer and More Secure World (2015)
3. 【SEC特別セミナー】安全解析手法STAMP／STPAの概要と事例紹介 (2014)
4. ET/IoT 2015【ブースプレゼン】事例紹介：SysMLを用いたSTAMP記述支援 (2015)

* 第1回 STAMPワークショップ in Japan が無事終了しました．(2016-12-07)

• John Thomas氏の講演＋チュートリアルや，国内でのSTAMP適用事例等の発表がありました．(使用したスライドが公開されました)
• 発表資料や講演動画は後日公開される予定です．(2016-12-22時点で発表資料の大半が公開されました)