産業分野では、信頼できるソフトウェアは安全を意味します

多くの企業がこれまで以上に皮肉な信頼を勝ち取るのに苦労しています公共の場では、さまざまな種類のソフトウェアに依存しなければならない産業組織にとって、リスクは高くなります。

問題のあるソフトウェアは、運用のダウンタイム、知的財産の損失、場合によっては生命を脅かす結果を引き起こす可能性があります。

最近、モノのインターネット（IoT）およびソフトウェアの品質全般に関する信頼できるソフトウェアへの関心が高まっています。デジタル経済の運命は、「コンピューティング技術を信頼する個人や組織」にかかっています。しかし、米国国立標準技術研究所が2016年に締結したように、信頼はこれまでよりも「堅牢性が低く」なっています。

近年、さまざまな組織が信頼できるソフトウェアをその使命の中心にしています。 2016年に設立された、英国を拠点とする非営利のTrustworthy Software Foundationは、ソフトウェア開発のベストプラクティスを推進しています。昨年末、LinuxFoundationはProjectAlvariumを立ち上げました。これは、IoTの展開や多様な利害関係者間の信頼をサポートするメカニズムを探求するイニシアチブです。インダストリアルインターネットコンソーシアムは、インダストリアルIoTにおける信頼性の概念を提唱しています。

避けるべき結果

組織のホワイトペーパー「ソフトウェアの信頼性のベストプラクティス」を共同執筆したインダストリアルインターネットコンソーシアムのソフトウェア信頼性タスクグループの共同議長であるボブマーティン氏によると、一連のイベントは、信頼できない産業用ソフトウェアに依存するリスクの警告として機能します。

たとえば、ロサンゼルスタイムズ紙によると、2004年には、ソフトウェアの不具合により、南カリフォルニアで航空交通管制インフラストラクチャとそのバックアップシステムがシャットダウンしました。このエラーにより、無線およびレーダー機器が3時間以上故障した後、800の商用航空会社のフライトが迂回されました。

他の同様のテーマの話には、1980年代に数人の死者を出したコンピューター制御の放射線治療装置や、2007年にアリゾナ州テンペでベンダーエンジニアによる設定ミスが原因で停電が発生したことが含まれます。

「実際のシステムは、履歴書に残したくない種類のエラーを伴う産業用IoTスペースに導入されています」とMartin氏は述べています。

産業用IoT設定における接続性と新しいアプリケーションの爆発的な増加により、重要なプロセス用のソフトウェアを作成および調達する専門家の数が増加しています。 「ソフトウェアを使用してシステムを構築したり、ソフトウェアの復元力を高めようとしたりするのが初めての人は、教育でこれらのイベントに遭遇したことがないかもしれません」とマーティン氏は述べています。

ULのID管理およびセキュリティの主任セキュリティアドバイザーであるヨハネスバウアー氏は、産業用IoTデバイスに関連するさまざまなシステムと運用環境は、セキュリティまたは安全関連のリスクの可能性を開くため、別の課題を提起します。また、単一のプロジェクトに含まれるさまざまな処理要素とコードの障害を探すプロセスも複雑になります。

共通の信頼言語を作成する

産業分野では、信頼性には、安全性、セキュリティ、プライバシーの信頼性、回復力などの側面が含まれます。インダストリアルインターネットコンソーシアムによると、信頼できるソフトウェアは、環境障害、人為的エラー、システム障害、サイバー攻撃に耐えることができます。

Irdetoの製品ストラテジストであるSimonRixによると、信頼できるソフトウェアを展開するには、ソフトウェアライフサイクルプロセス全体にまたがる包括的なアプローチが必要です。 「セキュリティを早期に組み込む必要があり、それを自動化する方法を考え出す必要があります」と、IICホワイトペーパーを共同執筆したRix氏は述べています。

ただし、これらの利害関係者間の会話を促進することは困難な場合があります。 「技術者が理解できる方法でビジネスマンに話をさせるにはどうすればよいでしょうか。また、技術者が製品を迅速に設計するという使命を急いでやめないようにするにはどうすればよいでしょうか。」リックスは尋ねた。

「重要なのは、ライフサイクル全体、さまざまなソフトウェア開発方法論すべてに対処し、ビジネスの利害関係者とオペレーターを確実に取り込むことです」とMartin氏は述べています。 「さまざまな関係者が、テーブルの周りの他の人が自分の視点を見ることができる場所で気にかけていることについて話すことができるように、翻訳キーまたはロゼッタストーンが必要です。」

フレームワークは出発点を提供します

ますます多くのフレームワークがさまざまな利害関係者の間で信頼の対象を抽出していますが、ソフトウェアへの信頼を植え付けることは依然として複雑な提案です。 「「信頼」という言葉の使用は非常に多様であるため、対話が可能になることを除けば、ほとんど役に立たない概念です」とマーティン氏は述べています。

産業用ソフトウェアのセキュリティと安全性を最適化するための制御を導入することは、重要な最初のステップです。ただし、サイバーセキュリティプロセスは継続的に監査する必要があります。ソフォスの主任研究員であるチェスター・ウィスニエフスキーは、次のように述べています。 「たとえば、[Advanced Encryption Standard]を使用することはできますが、正しく使用するよりもはるかに多くの方法で誤用する可能性があります。」 Wisniewskiは、小売業から類似点を引き出しています。 「クレジットカード用のチップリーダーを持っている店の多くは、「スワイプしてください」と書かれた段ボールを持っています。」と彼は言いました。 「チップリーダーを持っているからといって、実際に[詐欺を制限するように設計されたテクノロジー]を使用していなければ、クレジットカードの処理が安全であるとは限りません。」

もう1つの落とし穴は、最初は安全なソフトウェアの展開に集中することですが、それが時代遅れになるとは考えていません。 「サポートの終了と使用の終了を区別します。元の作成者がソフトウェアをサポートしていない可能性があるからといって、それが塩の柱に変わるわけではありません。つまり、使用できないということです」とマーティン氏は述べています。

皮肉なことに、保守終了ソフトウェアのトピックは、最初からセキュリティの考慮事項に焦点を当てることの重要性も強調しています。 「ソフトウェアがあなたにとって重要であるなら、それをあなたの契約に入れて、ソースへの権利を取得してください」とマーティンはアドバイスしました。

最終的に、ソフトウェアが現実の世界でどのように機能するかを理解するには、長期的な焦点が必要です。 「それは魔法ではありません。それは反応し、相互作用し、時には交換する必要があります。」