>サイトトップへ >このカテゴリの一覧へ

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

(1)

目  次

ページ

序文  

1

1

  適用範囲  

2

2

  適合性  

2

3

  引用規格  

2

4

  用語及び定義  

2

5

  この規格の使用  

2

6

  アシュアランスケースの構造及び内容  

4

6.1

  一般  

4

6.2

  全体構造  

4

6.3

  主張  

7

6.4

  議論  

7

6.5

  証拠  

8

6.6

  前提条件  

8

6.7

  正当性の裏付け  

9

6.8

  アシュアランスケースの結合  

9

7

  この規格のアシュアランスケースの利用に対して規定される成果  

9

7.1

  成果  

9

7.2

  この規格との対応付け  

10

附属書 JA(参考)用語集  

11

参考文献  

12


X 0134-2

:2016 (ISO/IEC 15026-2:2011)

(2)

まえがき

この規格は,工業標準化法第 12 条第 1 項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般

財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,

日本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格である。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。

JIS X 0134

の規格群には,次に示す部編成がある。

JIS X 0134-1

第 1 部:概念と語彙(予定)

JIS X 0134-2

第 2 部:アシュアランスケース

JIS X 0134-3

第 3 部:システム完全性水準(予定)

JIS X 0134-4

第 4 部:ライフサイクルにおけるアシュアランス(予定)


日本工業規格

JIS

 X

0134-2

:2016

(ISO/IEC 15026-2

:2011

)

システム及びソフトウェア技術−

システム及びソフトウェアアシュアランス−

第 2 部:アシュアランスケース

Systems and software engineering-Systems and software assurance-

Part 2: Assurance case

序文 

この規格は,2011 年に第 1 版として発行された ISO/IEC 15026-2 を基に,技術的内容及び構成を変更す

ることなく作成した日本工業規格である。

なお,この規格で点線の下線を施してある参考事項及び

附属書 JA は,対応国際規格にはない事項であ

る。

附属書 JA には用語集も含む。

安全性に関する規制が,方法を細かく規定する規範的なものから,目標達成に重点を置く目的指向のも

のに移行するにつれ,安全ケースが安全管理活動の最上位文書として重要度を増している。さらに,この

種の文書が安全性だけでなく,セキュリティ,ディペンダビリティなど,システムの他の属性に関しても

有効であることが認められ,セキュリティケース,ディペンダビリティケースなどが取り扱われることと

なった。その結果,一般的な名称としてアシュアランスケースが広く用いられるに至っている。

この規格の目的は次の三つである。

a)

アシュアランスケースの内容及びアシュアランスケース構造に対する制限の類型を確立する。

b)

個々のアシュアランスケースの間の一貫性及び比較可能性を向上させる。

c)

利害関係者の意思疎通,技術上の意思決定などへのアシュアランスケース利用を促進する。

様々な応用分野及び話題におけるアシュアランスケース関係の既存の規格類では,

共通の主題に対して,

異なる用語体系及び概念を用いることがある。この規格は,分野に専門化した数多くの規格及び手引から

得た経験に基づいている。システム又は製品のいかなる特性にも適用することができる。

この規格は,アシュアランスケースを規定する。ISO/IEC TR 15026-1 には,概念及び用語体系に加えて,

この規格の理解及び利用に有用な背景及び関係規格のリストが提供されている。

アシュアランスケースは,

一般に主張を支えるために開発されるもので,安全性,信頼性,保守性,人的要因,運用性,セキュリテ

ィなどで用いられる。特定の領域でのアシュアランスケースは,安全ケース,信頼性保守性(R&M)ケー

スなどと,特有の名前で呼ばれることも多い。

注記  ISO/IEC TR 15026-1 標準報告書は,ISO/IEC 15026-1 国際規格に置き換えられている。

この規格では,JIS X 0160:2012,JIS X 0170:2013,ISO/IEC 15289:2006 と整合する用語体系及び概念を

使用する。この規格を,JIS X 0160:2012 又は JIS X 0170:2013 を伴って適用することを仮定しないし,そ

のような要求もしない。


2

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

適用範囲 

この規格は,アシュアランスケースの構造及び内容に関する最低限の要求事項を規定する。アシュアラ

ンスケースは,システム又は製品の特性に関する最上位の主張(又は主張の集まり)

,その主張に関する系

統的な議論,及びその議論が依拠する証拠と明示的な前提条件とを含む。複数レベルの主張にまたがる議

論を構成することによって,この構造化された議論が最上位の主張を下位の証拠及び前提条件に結びつけ

る。

この規格は,アシュアランスケースの内容の品質についての要求事項は含まない。むしろ,アシュアラ

ンスケースの内容のありかた(又は形式)及び構造に関する要求事項を規定する。実践では幾つかの表記

法及び少しずつ異なる用語体系が用いられているが,この規格では特定の用語体系又は図式表現の利用を

要求することはない。同様に,データの物理的実装の手段,例えば,冗長化,領域の共用についての要求

事項は含まない。

注記  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

ISO/IEC 15026-2:2011

,Systems and software engineering−Systems and software assurance−Part 2:

Assurance case

(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”こ

とを示す。

適合性 

箇条 及び箇条 の要求事項を満たすアシュアランスケースはこの規格に適合する。

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格は,その最新版(追補を含む。

)を適用する。

ISO/IEC 15026-1

,Systems and software engineering−Systems and software assurance−Part 1: Concepts and

vocabulary

ISO/IEC/IEEE 15289

, Systems and software engineering − Content of life-cycle information items

(documentation)

用語及び定義 

この規格で用いる主な用語及び定義は,ISO/IEC 15026-1 による。

注記  附属書 JA において ISO/IEC 15026-1 で定義される主要な用語の訳語と定義を記載する。

この規格の使用 

システム又は製品に関係するニーズ及び要求事項,システム又は製品とその環境との間の相互作用,並

びに現実の事象及び条件によっては,システム又は製品がある特定の主張を達成することの確証を得るこ

とが目標となる場合がある。そのために,アシュアランスケースは,システム又は製品の選択された特性

の幾つかを考慮することによって,これらの主張を支える。これらの特性が選ばれる理由は何であっても

よいが,一般には,リスクに関係し,そのシステム又は製品の実現において高い確信が必要であるような

特性が選ばれる。アシュアランスケース開発の結果,最上位の主張の特性の値とその不確実性とが確立さ

れる。主張の真偽の不確実性は,アシュアランスケースの本質的な結論の一つである。


3

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

利害関係者は,

アシュアランスケースを評価して,

システム又は製品による最上位の主張の達成の程度,

並びにこの達成が許容される不確実性又はリスク及び関係する結果のもとでこの達成が示されているかど

うかを決定することができる。最上位の主張及びそれを支える議論は,関係する不確実性及び結果ととも

に,リスク管理,しかるべき確信の根拠の獲得,及び意思決定の助けを合理的に管理する根拠を与える。

一般に,特性に関する結論の不確実性が減少すればするほど,利害関係者はシステム又は製品に関して

より良い意思決定ができる。アシュアランスケースは高度の専門知識をもった利害関係者(例えば,開発

者,サービス提供者)の意思決定に有益であるが,専門知識のない利害関係者(認証,規制,取得,監査

などに関わる者)による重要な意思決定の支援が,アシュアランスケースを用いる第一の動機であること

がしばしばある。

アシュアランスケースがどのように用いられるか,また,その定式化にかける労力がどの程度大きいか

は,選択された特性の厳密性,主張の有効期間,不確実性の度合い,仮定の範囲,及びシステムに伴うリ

スク又は結果に大きく依存する。したがって,アシュアランスケースに必要な内容は,利害関係者及び評

価の文脈によって変わる。例えば,システム要求事項及び最上位の主張によって特定された特性を適切に

設定すれば,アシュアランスケースを,妥当性確認及び/又は検証のために使うことができる。

この規格は,アシュアランスケースの開発及び保守において利用するためのものである。新しいシステ

ム若しくは製品を開発する際,また,大きな変更を加える際,アシュアランスケースの開発は,対象シス

テム又は製品の開発に関係するプロセス・計画・エンジニアリング・活動・意志決定に組み込まれるのが

望ましい。

必要な柔軟性を提供し,さらに,アシュアランスケースが利用される多くの領域を対象とするために,

この規格は一般的手法を用いる。この規格に適合するためには,その一般的手法とこの規格に適合するア

シュアランスケースの内容との間の対応関係が求められる。

その対応関係に関する要求事項を 7.2 に示す。

注記 1  “不確実性”という用語は,

“確実性の欠落”という一般的な意味で使用している。分野によ

ってはこの用語を限定された利用に制限している。例えば,未来の事象の予測,物理的な測

1)

,未知のものなどの意味で用いる場合がある。しかし,この規格では,どのような不確

実性に対してもこの用語を用いる。

1)

この限定された意味での不確実性には,計測分野においては“不確かさ”という用語が用いら

れている。

注記 2  この規格は,最上位の主張とそれに伴う特性との選択について,制限しない。しかし,利害

関係者要求事項において規定されることもあれば,システム又は製品の認証機関で制定され

ることもある。最上位の主張は全体の要求事項及び仕様の一部でもよいし,システム内部に

ついてのものでもよい。主張はシステムが依存しているものに関してでもよいし,主要シス

テムには間接的にだけ関係しているものでもよい。

注記 3  システム又は製品のアシュアランスケースの限界が次のものに反映されることが望ましい。

a)

手引

b)

移行文書,運用文書及び保守文書

c)

教育訓練,運用者支援及び利用者支援

d)

データ収集能力

e)

システム又は製品に内蔵又は付随するサービス

このような限界を知ることによって,最上位の主張に関連する前提条件又は条件の破綻を

避けたり認識したりすることが可能になる。


4

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

注記 4  本文では,しばしば一つのアシュアランスケース又は一つの最上位の主張について規定して

いる。しかし,システム又は製品が複数のアシュアランスケースをもってもよく,一つのア

シュアランスケースが複数の最上位の主張を含んでもよい。

アシュアランスケースの構造及び内容 

6.1 

一般 

アシュアランスケースの構造及び内容のこの規格における記述では,アシュアランスケースの主要部を

“構成要素”と呼び,これらの構成要素の間の関係を規定する。次はアシュアランスケースの一般的要求

事項である。

a)

アシュアランスケースの各構成要素は,曖昧性がなく,識別可能で,かつ,アクセス可能でなければ

ならない。

注記  構成要素に,その文脈情報を付加することによって曖昧性を避けることができる。文脈情報

は,例えば,使われた用語の定義,システム又は製品の環境,構成要素の開発又は保守に責

任をもつ実体の身元などである。

b)

構成要素は一意に識別され,その出所が明示され,その履歴がつきとめられ,かつ,完全性を確実に

しなければならない。

c)

各構成要素について,その内容,それに関係する情報,及びその構成要素に関係する他の構成要素が

識別可能でアクセス可能でなければならない。

注記  各構成要素の記述,及びその構成要素に必要な他の構成要素(例えば,テスト結果などの主

張の証拠及び関係情報)が識別可能でアクセス可能である。

d)

アシュアランスケースには,ISO/IEC/IEEE 15289 がこの種の文書に対して要求する補助的内容を含め

なければならない。

注記  この規格では,これらの補助的内容をどのように含むかについては,制限を設けない。また,

アシュアランスケースを独立の文書にすることについても要求事項を設けない。

6.2 

全体構造 

アシュアランスケースは五つの主要構成要素をもつ。それらは主張,議論,証拠,正当性の裏付け及び

前提条件である。

図 にアシュアランスケースの構造を示す。この図は規定ではない。


5

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

主張 

主張は対象システムに関する,確実にしようとする命題である。主張には命題の中で言及されるデータの

範囲,命題の不確実性などの補助的情報を付加する場合がある。

正当性の裏付け,議論,証拠及びアシュアランスケース 

正当性の裏付け,議論,証拠,及びアシュアランスケースは,次のように相互に再帰的に定義される。

主張 が与えられたとき,の正当性の裏付け とは,が選ばれた理由を記したものである。

注記  したがって,正当性の裏付けは主張 に依存して定義される。議論(次に定義される。)も主張

に依存して定義される。しかし,主張の選択の理由である正当性の裏付けとは違い,議論は主

張を真とする理由である。

主張 及び証拠の集まり es が与えられたとき,es を用いて を確実にする議論とは,が真であることが

es

から導かれる理由を記したものである。

証拠とは,事実,データ,物,主張,又はアシュアランスケースのいずれかであると定める。ある主張が

あるアシュアランスケースの中で証拠として現れるとき,その主張を前提条件と呼ぶ。証拠の主要部はそ

の証拠の形に応じて定義される。つまり,その証拠が事実,データ,物,又は主張のいずれかであるとき,

その証拠の主要部とはその証拠自身である。一方,その証拠がアシュアランスケース a

0

であるとき,その

証拠の主要部とは a

0

の主張のことである。

注記  次で明確にされることであるが,アシュアランスケースの証拠は,そのアシュアランスケース

の主張を確実にすることを示す議論の中で用いられる。

注記  証拠として現れる主張が前提条件と呼ばれるのは,そのような証拠は,真とする理由が示され

ていない命題だからである。真とする理由が与えられる場合には,その理由が議論であるよう

なアシュアランスケースが構成され,そのアシュアランスケース全体が証拠として提供される

ことが期待される。主張だけが証拠となるのではない。

注記  “物”は object の訳語であり,抽象的な対象物をも表す。

アシュアランスケースは,主張 cの正当性の裏付け j,証拠の集まり es 及び es に基づいて を確実にす

る議論 の四つ組であると定義される。a=(cjesg)  をアシュアランスケースとする。を の主張であ

るという。同様に,を の正当性の裏付けといい,es を の証拠集合といい,を の議論という。

アシュアランスケースの定義は議論の定義に依存し,議論の定義は証拠の定義に依存し,証拠の定義はア

シュアランスケースの定義に依存する。しかし,これらの定義は循環定義ではなく,相互に再帰的に定義

されている。

注記  数学的な予備知識をもつ読者には,次の再帰的定義が理解を助けるかもしれない。アシュアラ

ンスケース全体の集合 及び証拠の全体の集合 は,次の再帰的方程式によって定義される。

図 1−アシュアランスケースの構造(参考) 


6

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

A

0

C×{j

0

J(c

0

)|c

0

C

f

(E)

×{g

0

G(c

0

,es

0

)|c

0

C,es

0

f

(E)}

A

={(c,j,es,g)∈A

0

|j

J(c),gG(c,es)}

E

FDOCA

ここに,

J(c)

主張 の正当性の裏付け全体の集合

C

主張の集合

f

(E)

E

の有限部分集合の全体がなす集合[の有限べき(冪)集合]

G(c

0

,es

0

)

証拠集合 es

0

を基に主張 c

0

を確実にする議論の集合

F

事実の集合

D

データの集合

O

(証拠として用い得る)対象物の集合

M

×N

M

と との直積

M

N

M

と との直和

図 1−アシュアランスケースの構造(参考)(続き) 

次はアシュアランスケースの一般的要求事項である。

a)

アシュアランスケースには一つ以上の最上位の主張がなければならない。これらの主張の確証を得る

ことがその議論の最終目的である。

注記  最上位の主張が複数個ある場合,それら全ての連言(論理積)を一つの最上位の主張とする

のと同等である。

b)

議論は一つ以上の主張,証拠又は前提条件によって支えられなければならない。

2)

2)

“support”を“支える”と訳した。これは“根拠を与える”という意味である。

注記 1  議論はその直下の構成要素がどのように主張又は主張の集まりに関係するかを示すために

用いられる。議論の下の構成要素は証拠の集まり,前提条件,及び下位の主張を含む。

注記 2  議論が他の議論を直接支えることはできないため,下位の議論は下位の主張に附属させる

のがよく,その主張が上位の議論に附属することになる。

c)

主張はただ一つの議論によって支えられるか,又は一つ以上の主張,証拠若しくは前提条件によって

支えられるかのいずれかである。

注記  アシュアランスケースの中の各主張には,いろいろな形の支えがなければならない。したが

って,主張がアシュアランスケースの最下位の構成要素になることは決してない。一つの(そ

してたった一つの)議論だけで一つの主張を支えることができる。又は一つの主張を(議論

を経ずに直接)証拠,前提条件,若しくは下位の主張の集まりで支えることもできる。

d)

主張,議論,証拠又は前提条件はいずれも,それ自身を支えることは直接にも間接にも行ってはなら

ない。

3)

3)

この禁止条件は,循環論法を禁じるものであって,数学的帰納法を含む帰納的な議論を禁じ

るものではない。

注記  複数の構成要素を支えるのにただ一つの主張,議論,証拠又は前提条件を用いてもよい。


7

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

6.3 

主張 

6.3.1 

主張の形 

主張は,明確に定義された特性(主張の特性と呼ばれる。

)の値に関する限界,特性に関する値が範囲内

に入るかどうかの不確実性に関する限界,

及び主張が適用できるための条件に関する限界について述べた,

真偽が明確な文でなければならない。

6.3.2 

主張の内容 

主張には次のような必須の要求事項を内容に含めなければならない。また,次のような任意であるとさ

れる事項を内容に含めてもよい。

a)

主張の特性(必須)

b)

主張の特性の値の限界(例えばその範囲)

(必須)

c)

指定された限界を満たす特性値の不確実性に関する限界(必須)

d)

主張が適用可能な期間に関する限界(任意)

e)

期間に関係する不確実性(任意)

f)

主張が適用可能であるための条件に関する限界(必須)

g)

条件に関係する不確実性(任意)

h)

主張の特性がシステム,製品又はその要素の集まりに関するものである場合には,その部分の識別。

関連する版又は実例を含む(該当する場合は必須)

i)

結果又はリスク(これらが主張に関係する場合)

(該当する場合に必須)

注記 1  “限界”という用語は,あり得る多様な状況に合わせるために使われている。値は一つの値

かもしれず,多数の値かもしれず,値の範囲かもしれず,幾つかの範囲かもしれず,また,

多次元の値かもしれない。これらの限界の境界には確率分布,経時的変化などの不明瞭な側

面があり得る。

注記 2  不確実性の指定には,適用可能な期間及びその他の明示された条件を付随させてもよい。主

張が全てのあり得る不確実性を含む必要はなく,通常は,不確実性を一つもつだけである。

正確である場合には不確実性を零としてもよい。

6.3.3 

条件の網羅

4)

期間指定など,主張を支えるアシュアランスケース構成要素の組合せが網羅する

4)

条件は,全ての規定

された期間を含めて,主張が適用可能な条件を網羅

4)

しなければならない。

4)

一般用語では,

“網羅する”とは,あらゆる場合を含むことをいうが,ここでの“網羅する”は,

あらゆる場合のうちのできるだけ多くの場合を含む,との意味で用いている。

6.3.4 

最上位の主張の正当性の裏付け 

最上位の主張及びその特性の選択は,アシュアランスケースの目標を果たし,アシュアランスケースの

定式化を決定する上で重大である。そのため,最上位の主張には,それが選択されたことについての正当

性の裏付けが付加されなければならない。

注記  最上位の主張の正当性の裏付けを明確にする作業は,システムの利害関係者間でのリスクに関

する意思疎通を行い,かつ,合意を記録するための手段である。

6.4 

議論 

6.4.1 

議論の特質 

議論はその直下の構成要素が主張又は主張の集まりにどのように関係しているかを示すために用いられ

る。議論が技術的計算又は論理的証明であり,それ自身がアシュアランスケースの形をしていない場合に


8

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

は特に有用である。

議論は次の特質をもつ。

a)

議論は,その直下の構成要素を用いる形で記されなければならない。

b)

議論は,それが支える主張の各々と関係する一つ以上の結論に達しなければならない。

c)

議論は,それが達する結論の各々の不確実性を確立しなければならない。

d)

議論は,不確実性への効果を確立するために必要な情報を含んでいなければならない。

6.4.2 

議論における論法に関する正当性の裏付け 

議論には,その推論の方法(例えば,計算,議論)の妥当性又は長所についての正当性の裏付けが付さ

れていなければならない。

注記  議論の中では推論の多様な方法が用いられ得る。これらの方法は,そこで使われる手立ても含

めて,適用可能性,強さ,結果の正確性及び不確実性,並びに使いやすさの程度が様々である。

議論は主張を支えたり反論したりするために用いられる。議論の下にある主張,証拠及び前提

条件がそれぞれ不確実性を含み,主張の不確実性に議論が影響を与えるかもしれない。

6.5 

証拠 

6.5.1 

証拠の内容 

証拠は,具体的なデータ,又は情報でなければならない。

注記  証拠には多くの種類が存在する。それらは,経験に基づく報告書,履歴,観察,測定,テスト,

評価可能及び遵守の有無を示す結果,設計根拠の正確性,分析,作成物の比較,レビュー,欠

陥及びその他の品質保証,実際の利用現場のデータなどを含む。証拠は,既に存在しているも

のでもよいし,新たに用意若しくは収集したものでもよいし,また,将来そのように計画した

ものでもよい。証拠は,アシュアランスケースにおいて,主張を支える,又は反論するものの

どちらかであることが望ましい。証拠本体は比較的巨大になり得るため,レビュー若しくは承

認する各担当者,又はそれを直接利用する利用者が理解できるように,証拠本体は,体系化し,

保管場所を決め,かつ,提示することが望ましい。

6.5.2 

付随する情報 

証拠には次の情報を含めるか,又は付随させなければならない。

a)

定義

b)

適用範囲

c)

不確実性:これには情報源の信頼性(例えば,情報源が真正であるか,信用できるか,能力があるか)

測定の精度などを含む。

注記  この情報がとる形は何でもよく,一つ以上のアシュアランスケースでもよいし,それらの一部

でもよい。

6.5.3 

付随する前提条件 

証拠に付随する情報は全てアシュアランスケースに含めなければならない。

6.6 

前提条件 

6.6.1 

前提条件の形 

前提条件は,主張及びその理由からなる形をとらなければならない。

6.6.2 

前提条件の内容 

前提条件は,3 種類の起源のうち少なくとも一つをもつ。はじめの二つは,アシュアランスケースにお

ける役割が与えられれば,仮定する状況において本来,真となるようなものである。それらは,

(1)明記


9

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

された条件から導かれる前提条件で,その前提条件が支える主張の適用可能性を制限するようなもの,及

び(2)議論の方法に内在する前提条件(場合分けによる証明には,この場合とあの場合とで全ての場合を

つくしている,という前提条件があるが,例えばそのような前提条件)である。

5)

5)

対応国際規格には,ここに“これらの二つの前提条件の種類に不確実性は零である。

”との文が

あるが,不確実性は一般には数値化できないので,零であるか否かを論じることには意味がな

い上,これらの前提条件が確実であるという主張も論拠が薄いため,この規格ではこれを削除

した。この削除はアシュアランスケースへの要求事項には影響しない。

三つ目の種類の前提条件は,それだけで真というわけではなく,むしろ,証拠によるだけでは完全に裏

付けられない主張である。この三つ目の前提条件の種類は,次の条件を満たしていなければならない。

a)

主張及びその理由を含む。

b)

その前提条件が真であるとみなすことの不確実性の見積りに関する根拠の指定,識別,又は記述を含

む。

注記  最もよい結果を得るには,そのような前提条件が次のような特質を一つ以上もつことが望まし

い。

・  不確実性が低い又はリスクが低い(議論の中での重大性が低いため)

・  議論において弱い影響しか与えない。

・  重大な価値又は結末に対して弱い効果しか与えない。

・  このような前提条件の数が全体の中で数が少ない。

6.6.3 

付随する証拠 

前提条件が部分的に保証,又は否定されている場合には,そのことの証拠が前提条件に付されなければ

ならない。

6.7 

正当性の裏付け 

最上位の主張は,その選択(6.3.4)に関する正当性の裏付けをもち,議論はその方法(6.4.2)に関する

正当性の裏付けをもつ。

6.8 

アシュアランスケースの結合 

あるアシュアランスケースが他のもう一つのアシュアランスケースを結合するとき,結合されるアシュ

アランスケースの最上位の主張(又は主張の集合)は,結合する側の構造内の,主張が置かれることを許

されるような地点に位置づけられなければならない。

注記  アシュアランスケースの部分は,他のアシュアランスケースの部分になり得る。

この規格のアシュアランスケースの利用に対して規定される成果 

7.1 

成果 

この規格の適用は次の成果をもつ。

a)

箇条 の要求事項を満たすアシュアランスケースは,システムの一要素として提供されなければなら

ない。

注記  システムの要素として,アシュアランスケースは,システムとともに納品され,システムの

保守とともに保守されることが一般には期待される。

b)  7.2

の要求事項を満たす対応付けは,アシュアランスケースの一部として提供されなければならない。

c)

この規格の要求事項を満たしていることを文書化した記録を識別し,アシュアランスケースからそれ

を参照しなければならない。


10

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

d)

アシュアランスケース内で,この規格に適合していると主張する実体を識別しなければならない。

7.2 

この規格との対応付け 

アシュアランスケースは次の事項を満たしていなければならない。

a)

箇条 で示されている構成要素との明確な対応付けを含む。

b)

正当性の裏付けを他の方法で行うという文書が提供されない限り,箇条 で規定されている内容を全

て含む。

注記 1  複数の技術分野において開発され,多くの表記法を利用するアシュアランスケースから対応

付けなければならないため,この対応関係は,曖昧でなければどんな形をとってもよい。

注記 2  対応付けに曖昧性がない場合,その対応付けによって,欠落している構成要素に意味及び対

応関係が補われることがある。例えば,ある特定種類の不確実性が明示されていない場合で

あっても,対応付けによって,不確実性は規定されていてそれは零である,と同等とみなさ

れるかもしれない。


11

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

附属書 JA

(参考)

用語集

この附属書は,用語の使用方法の例を示すものであり,規定の一部ではない。

この規格の用語及び定義は,ISO/IEC 15026 シリーズの用語を定義する ISO/IEC 15026-1 から引用して

いる。主要な用語とその訳語との対照,及び定義を

表 JA.1 に示す。

表 JA.1−主要な用語とその訳語との対照,及び定義 

用語(原文)  用語(訳語)

定義(訳語)

assurance

アシュアラ
ンス

主張が達成したこと,又は達成することの根拠をもつ信用度の基礎。

assurance case

アシュアラ

ンスケース

システム及びソフトウェアに関する主張,その証拠,及び証拠と主張とを結ぶ議論をも

つ文書。主張の前提,語彙規定などの文脈情報,及びそのような主張を行うことの正当

性の裏付けを含んでもよい。証拠がどのように主張を支えるのかを示す議論は,論理的
であるばかりでなく,納得のいくもので,監査可能な形で記されなければならない。ま

た,証拠は測定データ,専門家の所見,別のアシュアランスケース(この場合,証拠と

するアシュアランスケースを部分アシュアランスケースと呼ぶ。

)などである。

アシュアランスケースの主張が,システムの安全性に関するものである場合には,安全

ケースと呼ばれる。同様に,セキュリティケース,ディペンダビリティケースなどがあ

る。

justification

正当性の裏

付け

アシュアランスケースの主張,その特性の選択の妥当性,及びアシュアランスケースの

議論において,その方法(例えば,用いる理論,考慮する不確実性など)の妥当性の裏
付け。

evidence

証拠

アシュアランスケースの主張を支えるデータ及び情報。経験に基づく報告書,履歴,観

察結果,測定結果,テスト結果,評価可能及び遵守の有無を示す結果,設計根拠の正確

性,分析結果,作成物の比較結果,レビュー結果,品質保証活動の結果,利用現場のデ
ータなどを含む。

argument

議論

アシュアランスケースの主張が,それに含まれている証拠によってどのように,また,
どの程度に支えられているのかについての記述。

approval

authority

認証機関

システムに関する認証のための活動,成果物又は他の側面について,そのライフサイク

ルに責任をもつ人(又は人々)

,及び/又は組織(又は複数の組織)

claim

主張

主張は,明確に定義された特性(主張の特性と呼ばれる。

)の値に関する限界,特性に

関する値が範囲内に入るかどうかの不確実性への限界,及び主張が適用できるための条

件に関する限界について述べた,真偽が定まる文。

assumption

前提条件

ある主張があるアシュアランスケースの中で証拠として現れるとき,その主張を前提条
件と呼ぶ。

integrity level

完全性水準  システム,製品又は要素に対する主張であり,主張の達成に関係する,特性の値に関す

る限界,主張が適用できる範囲及び主張許容可能な不確実性を含む。

consequence

結果

通常,事象,条件又はシステムに関連づけられる任意の影響(変化を伴うか伴わないか

にかかわらず)であり,それらの事象,条件又はシステムによって,可能になったり,

引き起こされたり,防止されたり又は貢献されたりするもの。利益,不利益,又はその
両方を引き起こし得る。

dependability

ディペンダ
ビリティ

要求されたように,また,要求されたときに遂行する能力。ディペンダビリティは,可
用性,信頼性,回復性,保守性,継続性,安全性,セキュリティなどを含む。ディペン

ダビリティは,システムなどの品質属性で時間が関係するものを総称するために用いら

れる言葉である。


12

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

参考文献

[1]  Greenwell, William S., John C. Knight, and Jacob J. Pease, "A Taxonomy of Fallacies in System Safety

Arguments” 24th International System Safety Conference, Albuquerque, NM, August 2006

[2]  IEC 60300 (all parts)

,Dependability management

注記  一部は JIS C 5750 の第 1 部∼第 4 部として JIS 化されている。

[3]  JIS C 0508

(規格群)  電気・電子・プログラマブル電子安全関連系の機能安全

注記  対応国際規格:IEC 61508 (all parts),Functional safety of electrical/electronic/programmable

electronic safety-related systems

(IDT)

[4]  JIS C 0511

(規格群)  機能安全−プロセス産業分野の安全計装システム

注記  対応国際規格:IEC 61511 (all parts),Functional safety−Safety instrumented systems for the

process industry sector

(IDT)

[5]  IEC 61882:2001

,Hazard and operability studies (HAZOP studies)−Application guide

[6]  IEEE Std 1228-1994

,IEEE Standard for Software Safety Plans

[7]  JIS X 0160:2012

  ソフトウェアライフサイクルプロセス

注記  対応国際規格:ISO/IEC 12207:2008,Systems and software engineering−Software life cycle

processes

(IDT)

[8]  JIS X 0170:2013

  システムライフサイクルプロセス

注記  対応国際規格:ISO/IEC 15288:2008,Systems and software engineering−System life cycle

processes

(IDT)

[9]  ISO/IEC 15408 (all parts)

,Information technology−Security techniques−Evaluation criteria for IT security

注記  一部は JIS X 5070-1(セキュリティ技術−情報技術セキュリティの評価基準−第 1 部:総則

及び一般モデル)として JIS 化されている。

[10] JIS X 0145

(規格群)  情報技術−プロセスアセスメント

注記  対応国際規格:ISO/IEC 15504 (all parts),Information technology−Process assessment(IDT)

[11]  ISO/IEC TR 15443 (all parts)

,Information technology−Security techniques−A framework for IT security

assurance

[12] JIS X 0162

  システム及びソフトウェア技術−ライフサイクルプロセス−リスク管理

注記  対応国際規格 ISO/IEC 16085:2006,Systems and software engineering−Life cycle processes−

Risk management

(IDT)

[13] ISO/TR 18529:2000

, Ergonomics − Ergonomics of human-system interaction − Human-centred lifecycle

process descriptions

[14] ISO/IEC 19770 (all parts)

,Information technology−Software asset management

注記  一部は JIS X 0164-1(ソフトウェア資産管理−第 1 部:プロセス)として JIS 化されている。

[15] ISO/IEC 21827:2008

, Information technology − Security techniques − Systems Security Engineering −

Capability Maturity Model® (SSE-CMM®)

[16] JIS X 25010

  システム及びソフトウェア製品の品質要求及び評価(SQuaRE)−システム及びソフト

ウェア品質モデル

注記  対応国際規格:ISO/IEC 25010,Systems and software engineering−Systems and software Quality


13

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

Requirements and Evaluation (SQuaRE)

−System and software quality models(IDT)

[17] JIS X 25012

  ソフトウェア製品の品質要求及び評価(SQuaRE)−データ品質モデル

注記  対 応 国 際 規 格 : ISO/IEC 25012:2008 , Software engineering − Software product Quality

Requirements and Evaluation (SQuaRE)

−Data quality model(IDT)

[18] ISO/IEC 25020:2007

, Software engineering − Software product Quality Requirements and Evaluation

(SQuaRE)

−Measurement reference model and guide

[19] JIS X 25030:2012

  ソフトウェア製品の品質要求及び評価(SQuaRE)−品質要求事項

注記  対 応 国 際 規 格 : ISO/IEC 25030:2007 , Software engineering − Software product Quality

Requirements and Evaluation (SQuaRE)

−Quality requirements(IDT)

[20] JIS X 25040

  システム及びソフトウェア製品の品質要求及び評価(SQuaRE)−評価プロセス

注記  対応国際規格:ISO/IEC 25040,Systems and software engineering−Systems and software Quality

Requirements and Evaluation (SQuaRE)

−Evaluation process(IDT)

[21] JIS X 25051:2011

  ソフトウェア製品の品質要求及び評価(SQuaRE)−商用既製(COTS)ソフトウェ

ア製品に対する品質要求事項及び試験に対する指示

注記  対 応 国 際 規 格 : ISO/IEC 25051:2006 , Software engineering − Software product Quality

Requirements and Evaluation (SQuaRE)

−Requirements for quality of Commercial Off-The-Shelf

(COTS) software product and instructions for testing

(IDT)

[22] ISO/IEC 26702:2007

,Systems engineering−Application and management of the systems engineering process

[23] ISO/IEC 27005:2008

,Information technology−Security techniques−Information security risk management

[24] ISO/IEC Directives

,Part 2: Rules for the structure and drafting of International Standards, Fifth edition, 2004

[25] Kelly, T. “Arguing Safety

−A Systematic Approach to Managing Safety Cases”, Doctoral Thesis−University of

York: Department of Computer Science. Sept 1998

[26] Ministry of Defence. Defence Standard 00-42 Issue 2, Reliability and Maintainability (R&M) Assurance

Guidance. Part 3, R&M Case, 6 June 2003

[27] Ministry of Defence. Defence Standard 00-55 (PART 1)/Issue 4, Requirements for Safety Related Software in

Defence Equipment Part 1: Requirements, December 2004

[28] Ministry of Defence. Defence Standard 00-55 (PART 2)/Issue 2, Requirements for Safety Related Software in

Defence Equipment Part 2: Guidance, 21 August 1997

[29] Ministry of Defence. Defence Standard 00-56. Safety Management Requirements for Defence Systems. Part 1.

Requirements Issue 4, 01 June 2007

[30] Ministry of Defence. Defence Standard 00-56. Safety Management Requirements for Defence Systems. Part 2:

Guidance on Establishing a Means of Complying with Part 1 Issue 4, 01 June 2007

[31] SafSec Project. SafSec Methodology: Guidance Material: Integration of Safety and Security. Available at:

http://www.altran-praxis.com/safSecStandards.aspx

[32] SafSec Project. SafSec Methodology: Standard: Integration of Safety and Security. Available at:

http://www.altran-praxis.com/safSecStandards.aspx

[33] Software and Systems Engineering Vocabulary (sevocab). Available at www.computer.org/sevocab/

[34] UK CAA. CAP 670 Air Traffic Services Safety Requirements. UK Civil Aviation Authority Safety Regulation

Group, 18 February 2010

[35] UK CAA CAP 760 Guidance on the Conduct of Hazard Identification, Risk Assessment and the Production of


14

X 0134-2

:2016 (ISO/IEC 15026-2:2011)

Safety Cases For Aerodrome Operators and Air Traffic Service Providers, 13 January 2006