第88号コラム: 野津 勤 幹事 (株式会社システム計画研究所)
題:「コンピュータシステムの内に居る人間、外から使う人間:福は内、鬼は外」
今まで私は、主に2分野のシステム製品の開発に長年携わってきた。一つはプロセス制御システムで、石油・化学・食品・鉄鋼・電力等の様々な製造工程の自動制御を担っている。もう一つは医療情報システムで、PACS(Picture Archiving and Communication System:診断画像の通信・保存システム)、RIS(Radiology Information System:放射線部門業務システム)、画像配信システム等である。医療情報システムの中の主な要素としてセキュリティ機能も含まれる。分野としての法規制の存在の大きさから言って、後者の方が法的な面との関連が強い。
以下に、節分の風物詩を思いながら“人間の役割・立ち位置とコンピュータシステム機能”について、両システムの概略でかなり強引にフォレンジック的に比較してみる。
新年の劣化状態の頭で、単純化は出来ないことを断定的に書いているので、異論があることは承知で、こんな比較も有りうるということでご参考になれば幸いである。
●コンピュータシステムの内に居る人間、外に位置する人間
業務システムの代表に選んだPACS も制御システムも、通信ネットワーク上のセンサー(データ収集部)、アクチュエータ(装置への操作部)、データ蓄積(データサーバ)、監視・操作コンソール、他システムとのI/Fと見ると類似のシステム形態をしている。しかし、人間との関わりをみると、かなりの対立的要素が見られる。
「制御システム」の主体は製造装置であり、装置の都合がシステムの構造を決定する。止まる所の無いコストダウンと高品質化要求、新製品の市場投入に伴い、製造装置の高度機能化・高精度化・大規模化は、人間の能力での操作可能な限界を超えて装置の運転・制御を行うことが求められている。製造対象物や製造装置・手法の化学的・物理的な構造・動作解析からシステム設計される。
昼夜に関系なく装置の稼動に合わせて長期(数年から10年以上)の24時間365日の安定的連続運転で、大量データの同時収集(数千点のデータ(温度、圧力、流量など)を10秒間隔で1秒以内の同時性で収集すること)や、リアルタイム性(入力 ⇒ 演算・判断 ⇒ 出力操作の閉ループの1秒以内の応答速度、対象の化学反応速度や物理的応答速度によっては0.1秒以内)が求められる。人間の能力的には可能であったとしても、余りの長時間の繰り返し作業は事実上、人間には出来ない。単純化して言えば、定常時の「制御システム」は極力人間を介在させないことを目標として、人間には代替できないことを行っている。
勿論、人間の介在する要素が全く無い訳ではない。熟練操作員が融通を利かせてコンピュータ化された機械的なロジックを補正することもあるし、異常時の対応は、異常と言うものが規則的で無い場合はコンピュータには組み込めない。人間の思考柔軟性が期待されるが、入力⇒演算・判断⇒出力の閉ループに入る”演算・判断”部分は、システム機能の一部であり、介在する人間の思考・行動速度は装置の要求する化学的反応・物理的応答速度に合わせること事が要求される。人間であってもコンピュータシステムから見れば身内の要素である。
しかし、短時間の判断には訓練された操作員でも間違うリスクがある。そこで、考え得る人間の誤操作はシステムに組み込んでおくことがシステム設計の基本であり、システム設計上の苦心は、技術的側面だけでなく人間的要素が大きい。大雑把に言うと、人間の介在を許さないシステムの方が設計は楽である。人間は、誤りを犯す、あるいは指示メッセージ通りの行動をしない可能性のある異質な身内である。通常の判断力が低下する可能性がある異常時・緊急時の動作では尚更である。「爆発しそうな時は、何も考えずにこのボタンを押せ」という操作マニュアルも場合によっては存在する。
或る国では、操作員の採用にも色弱を理由に就職を拒否できない法的制約があり、画面の表示に色だけで危険/注意/正常の識別をすることが出来ない。
一方の「業務システム」は人の作業を支援する。システムで、人間の作業形態に合わせてシステムが構築される。これが無いと困りはするが、業務が全く途絶える訳でもない(断定的過ぎるが)。
本項の読者諸賢には、既に多くの方々が触れておられるので、馴染みが深いと思われるので簡略化するが、コンピュータシステムは人間の作業のための道具と言う位置づけが大多数で、人のための、データ収集、保存、検索、解析、提示を行う。人間の行動様式に合わせてシステム設計される。
●アクセスコントロール
アクセスコントロールにおいて何を制約するのかの違いが存在する。
「制御システム」で重要な人間要素は装置への操作である。“自動”から“手動”への切替、その逆、設定値・操作値の変更は操作資格のある操作員へ限定することがアクセスコントロールである。データを見ることの危険性は余り無く(もちろんゼロではない)、的確な判断が出来るか否かで操作資格が限定される。
国によっては、昼間と夜間の操作員の質の差が大きく、時間帯によりアクセスコントロールのあり方が違ってくる。
食薬品製造におけるGMP規制では、製造工程の移行段階で製造責任者が承認したことの署名・押印(ディジタルでは電子署名)が求められる。
「業務システム」では、社外秘データ、個人情報の保護が主目的になり、見ること自体に制約を設けること、更に操作することが有資格者に限定される。
●ログと監査
システム動作の記録することの目的、用途に違いが存在する。
「制御システム」では、主要点の連続値(トレンドデータ)、製品成分値、排気・廃水成分値、操作記録を一定期間保存する。これにより、装置の劣化の判定、システムの挙動解析、運転の合法性、製品品質保証、等に用いる。あるいは操作員の動作はマニュアル通りか(例、操作がアラームメッセージ発生後の所定時間内か)を監査する。データ改ざんの危険性もゼロでは無いが、化学反応の辻褄を合わせた多数点のトレンドデータ改変は簡単に出来ることではない。
「業務システム」では、データアクセス・操作記録であり、アクセスの正当性・秘密漏洩防止(見たことの記録で予防効果)や不正な書換えが無いことを示すことにある。
【著作権は、野津氏に属します。】