Runtime Stability Definition Document v3.3

v3.3 · March 3, 2026 · Public Edition

§1Conceptual Definitions

§1.1One-Sentence Definition of Runtime Stability

Runtime Stability is a technology framework for structurally maintaining the seven Protection Attributes defined in §1.5 when a computer system faces cyberattacks, failures, or anomalies during execution (runtime).

§1.2Essential Definition of Runtime

"Runtime" as used herein refers to the general state of execution in which a processor executes its instruction set (ISA) and program code and execution data are loaded into RAM (memory). This definition is shared across all three documents (Runtime Stability / Security / Immunity) and is essential, independent of domain or era.

§1.3Inclusive Definition: Integrated Framework of Three Security Layers

Runtime Stability is a comprehensive framework that integrates three protection layers: Traditional Information Security, Runtime Security, and Runtime Immunity.

Layer 1: Traditional Information Security

Scope: Preventing intrusion from outside the system
Implementation: Firewalls, VPNs, DMZs, authentication, and authorization
Limitation: Internal defense is weak once a breach occurs
Responsible Attribute: Availability (network level)

Layer 2: Runtime Security (Detection- and Control-Based Protection)

Scope: Dynamic threat response within the runtime environment
Implementation: Graduated response through detection → control
Features: Process Memory Monitoring, RASP, CWPP, EDR, etc.
Evaluation: 3-axis evaluation at SL (Security Level) 0–3
Strength: High-precision response to known threats
Limitation: Detection gaps exist for 0-day threats
Primary Responsibility: Safety, Availability, Controllability
Secondary Responsibility (in coordination): Reliability (in coordination with Runtime Immunity)

Layer 3: Runtime Immunity (Structural Nullification-Based Protection)

Scope: Structural Nullification of Attack Outcomes
Implementation: Memory encryption, Environment Binding, privilege reduction, etc.
Features: Preventive protection independent of detection
Evaluation: IL (Immunity Level) 0–3 (multi-dimensional evaluation on NL axes)
Strength: Structurally addresses even 0-day threats
Limitation: Implementation across all domains is complex
Primary Responsibility: Confidentiality, Data Integrity
Secondary Responsibility (in coordination): Reliability (in coordination with Runtime Security)

Integrated Evaluation: RS (Runtime Stability Level) 0–6

RS = SL + IL integrates the achievement levels of Layer 2 and Layer 3 (see §4.1)
Layer 1 functions as an environmental prerequisite

⚠️ NOTICE: Regarding Inexploitability: Inexploitability does not belong to any specific layer; it is an attribute achieved through the coordination of Runtime Security and Runtime Immunity (see §1.5).

§1.4Three Design Philosophies of Runtime Stability

Three Design Philosophies pervade the entire Runtime Stability framework. Runtime Security and Runtime Immunity derive from these philosophies.

Philosophy 1: Non-Halting

The system is not halted even under attack. This is an essential philosophy for protecting Unstoppable Systems such as autonomous vehicles, medical devices, and industrial control systems. Runtime Immunity's "structural protection without system halting" and Runtime Security's "continued operation through dynamic response" derive from this philosophy.

Philosophy 2: Homeostasis Maintenance

The system's Protection Attributes remain unchanged before and after an attack. Analogous to biological homeostasis, the system autonomously maintains a stable state internally. Runtime Immunity's "protection maintenance through Structural Nullification" and Runtime Security's "state management through detection and control" realize this philosophy.

Philosophy 3: Integrated Achievement of 7 Attributes

The goal is not the achievement of a single attribute but the balanced achievement of all seven attributes. Halting a system solely for Safety undermines Availability. This integrated approach enables a realistic and implementable protection framework.

§1.5Seven Protection Attributes (RS Attributes)

Runtime Stability is evaluated by the degree of achievement of the following seven Protection Attributes.

Abbreviation	Attribute	Definition
S	Safety	The system remains in a safe state even under attack. Structurally prevents loss of control, unintended behavior, and physical harm.
R	Reliability	Protection functions operate reliably and continuously. Protection mechanisms do not fail under attack, or automatically recover upon failure.
A	Availability	The system's service delivery is maintained. Critical functions do not halt, or resume within acceptable timeframes.
C	Controllability	The system state can be ascertained and guided to a safe state even under attack or failure. Ensures the system does not become uncontrollable.
Cf	Confidentiality	The confidentiality of in-process memory, in-transit data, and stored data is maintained even under attack. Structurally prevents readable acquisition of confidential information.
D	Data Integrity	The accuracy and completeness of data are maintained even under attack. Prevents unauthorized alteration and destruction of data.
Ix	Inexploitability	A state in which vulnerabilities exploitable by attackers are structurally absent in the system's runtime state. Achieved through the coordination of Runtime Security and Runtime Immunity.

⚠️ NOTICE: Regarding Inexploitability: Inexploitability means the "structural absence of vulnerabilities exploitable by attackers" and is a different concept from "nullification of Attack Outcomes" (a function of Runtime Immunity). Immunity contributes to Ix by nullifying Attack Outcomes, and Security contributes to Ix through dynamic detection and elimination of exploitable conditions. High Ix levels are achieved through the coordination of both. The degree of Ix achievement is evaluated from both the SL axis (the proportion of vulnerabilities dynamically eliminated) and the IL axis (the proportion of attack paths structurally nullified). Specific measurement methodologies are defined in the Conformance and Evaluation volume.

§2Relationship Between Runtime Stability and Existing Standards

The seven attributes of Runtime Stability connect with the requirements addressed by multiple existing standards.

Standard	Target Domain	Corresponding RS Attributes
ISO 26262	Automotive Functional Safety	S, R, C
IEC 62443	Industrial Control Security	A, S, Cf, D
IEC 62304	Medical Device Software	S, R, Cf
DO-178C	Aviation Software	S, R, C
ISO/IEC 27001	Information Security Management	Cf, D, A

§3Components and Evolution of Runtime Stability

§3.1Three-Layer Defense Model

Runtime Stability structures defense against attacks in the following three layers.

Layer 1: Prevention

Prevents attacks from reaching the system. Perimeter Defense, authentication, access control, etc. The domain primarily addressed by traditional security.

Layer 2: Control Retention [Runtime Security]

Even when attacks reach the system, detection and dynamic control maintain the system's Controllability, Safety, and Availability. S, A, and C directly correspond, while R partially corresponds.

Layer 3: Outcome Nullification [Runtime Immunity]

Even when attacks "succeed," Attack Outcomes are structurally nullified. Cf and D directly correspond, while R partially corresponds.

Integrated Attribute: Inexploitability (Ix)

Ix is not assigned to any specific layer; it is an attribute achieved through the coordination of Layer 2 (dynamic elimination of exploitable conditions) and Layer 3 (structural nullification of attack paths).

§3.2Derivation of Runtime Security and Runtime Immunity

Runtime Security (Detection-Based)

To realize the Design Philosophies of "Non-Halting" and "Homeostasis Maintenance," attacks are handled through "detection → control," maintaining system operation while responding.

Characteristics: Detection-dependent, dynamic response, real-time priority
Limitations: Complete detection is impossible; 0-day response is difficult
Details: See Runtime Security Definition Document v1.1

Runtime Immunity (Structure-Based)

To realize the Design Philosophies of "Non-Halting" and "Homeostasis Maintenance," protection is maintained without detection through "precondition removal" and "outcome nullification."

Characteristics: Detection-independent, structural protection, high certainty
Limitations: Implementation across all domains is difficult; environment-dependent
Details: See Runtime Immunity Definition Document v1.1

Through the coordination of both, the seven attributes of Runtime Stability are achieved at a high level overall.

§4Achievement Evaluation Framework

§4.1Definition of Runtime Stability Level

The overall protection level of a system is evaluated by the RS (Runtime Stability Level), which combines the SL (Security Level) of Runtime Security and the IL (Immunity Level) of Runtime Immunity.

RS = SL + IL

SL: Runtime Security Level (0–3)
IL: Runtime Immunity Level (0–3)
RS: Runtime Stability Level (0–6)

RS Matrix:

IL-0	IL-1	IL-2	IL-3
SL-0	RS-0	RS-1	RS-2	RS-3
SL-1	RS-1	RS-2	RS-3	RS-4
SL-2	RS-2	RS-3	RS-4	RS-5
SL-3	RS-3	RS-4	RS-5	RS-6

⚠️ NOTICE: RS Calculation Rule: RS = SL + IL is a simple addition, and multiple SL/IL combinations can yield the same RS value (e.g., RS-4 = SL-1 × IL-3 = SL-2 × IL-2 = SL-3 × IL-1). However, since each combination has different protection characteristics, an appropriate combination must be selected based on the requirements of the application domain. Furthermore, RS is an Ordinal Scale and not an Interval Scale. RS values indicate the relative ordering of protection levels.

§4.2Application Criteria and Recommended Levels

RS Level	Recommended SL	Recommended IL	Recommended Application Domain
RS-2	SL-1	IL-1	General web applications
RS-3	SL-2	IL-1	SaaS, online trading
RS-4	SL-2	IL-2	Financial institutions, healthcare systems
RS-5	SL-3	IL-2	Autonomous vehicles
RS-6	SL-3	IL-3	Defense-related, critical infrastructure

⚠️ NOTICE: RS-5 can also be calculated as SL-2 × IL-3; however, for Safety-critical domains such as autonomous vehicles, SL-3 (advanced detection capability) is recommended.

§4.3Definition and Limitations of RS-6 (Highest Level)

RS-6 = SL-3 (Integrated Detection) + IL-3 (Practical Nullification)

What RS-6 achieves:

High-precision response to known threats (SL-3 detection and control capability)
Structural protection: full memory encryption + Environment Binding (IL-3 nullification capability)
Economic Nullification: Attacker's ROI < 0 is established
Non-Halting operation: continued operation even under attack

What RS-6 cannot achieve (legally important):

❌ 100% detection of 0-day attacks — 0-day = by definition "unknown threats." However, through Runtime Immunity's structural protection, Attack Outcomes are nullified even for attacks that cannot be detected.
❌ Protection from physical access — RS-6 targets the protection of the "runtime environment." Direct physical tampering with CPU/memory boards is outside the scope of this definition.
❌ Complete countermeasures against side-channel attacks — RS-6 is optimized for response to "logical attacks." Attacks utilizing physical information such as timing, power, and electromagnetic emissions belong to a separate domain.

⚠️ NOTICE: Regarding Cryptographic Assumptions: The NL evaluation in this definition document is based on current cryptographic knowledge. Should the assumptions underlying cryptographic strength change due to the practical realization of quantum computing, the Post-Quantum Nullification (PQN) extension shall be applied. The PQN extension is designed not as an invalidation of this definition but as an extension of the NL axis (see Runtime Immunity Definition Document v1.1 §4.3).

Conclusive positioning of RS-6:

✅ RS-6 = "the most practical and strongest defense under current cryptographic assumptions"
❌ RS-6 ≠ "complete protection" (in cybersecurity, "complete" does not exist)

§5Glossary

Runtime: The general state of execution in which a processor executes its instruction set (ISA) and program code and execution data are loaded into RAM
Protection Attribute: The seven elements that Runtime Stability must protect (S, R, A, C, Cf, D, Ix)
Runtime Security: Detection-based runtime protection (dynamic response type)
Runtime Immunity: Structure-based runtime protection (preventive type)
SL (Security Level): The achievement level of Runtime Security (0–3)
IL (Immunity Level): The achievement level of Runtime Immunity (0–3)
RS (Runtime Stability Level): The overall protection level. RS = SL + IL (0–6)
NL (Nullification Level): The degree of nullification of Attack Outcomes (NL-1–3)
Inexploitability: A state in which vulnerabilities exploitable by attackers are structurally absent in the system's runtime state

§6Revision History

v1.0 (2026-02-25): Initial release. 7-attribute definition.
v2.0 (2026-02-27): Confidentiality added. CDER metrics.
v2.4 (2026-02-28): Inexploitability added. Three-layer defense. EONR metrics.
v3.0 (2026-03-03): Design Philosophies made explicit. Logic for Security/Immunity derivation clarified.
v3.1 (2026-03-03): Inclusive definition added. Relationship with Traditional Information Security made explicit.
v3.2 (2026-03-03): Explicit definition of RS = SL + IL. Refinement of Inexploitability definition. Integration of RS-6 definition. Symmetrization of derived structures.
v3.3 (2026-03-03): Added Ordinal Scale notation to §4.1. Added Ix evaluation direction to §1.5.

§7About This Document

§7.1Purpose

This definition document aims to establish the concepts, definitions, and framework of Runtime Stability and to clarify the relationship with existing security and safety standards.

§7.2Scope

This definition document constitutes the Concepts and Definitions volume of Runtime Stability. Specific conformance criteria, evaluation methods, and certification criteria are defined in the subsequent "Conformance and Evaluation (Document 2)" volume.

§7.3Cross-References

Runtime Security Definition Document v1.1: Detailed definition of the detection-based protection system (3-axis SL evaluation)
Runtime Immunity Definition Document v1.1: Detailed definition of the structure-based protection system (2-axis NL definition, PQN extension framework)

§7.4Positioning as an Inclusive Framework

Runtime Stability v3.3 is a comprehensive framework that systematizes the following relationships:

Traditional Information Security (Layer 1: Prevention)
+ Runtime Security (Layer 2: Control Retention)
+ Runtime Immunity (Layer 3: Outcome Nullification)
= Runtime Stability Framework (Integrated Achievement of 7 Attributes)

§7.5Improvements from v3.2 to v3.3

§1.5: Added Ix achievement evaluation direction (dual evaluation from SL axis and IL axis) to the Inexploitability notation
§4.1: Explicitly noted in the annotation that RS = SL + IL is an Ordinal Scale

Runtime Stability 定義書 v3.3

v3.3 · 2026年3月3日 · 公開版

§1概念定義

§1.1Runtime Stabilityの一文定義

Runtime Stability（ランタイムスタビリティ）とは、コンピュータシステムが実行中（ランタイム）にサイバー攻撃、障害、または異常事態に直面した場合においても、§1.5に定義する7つの保護属性を構造的に維持する技術フレームワークの総称である。

§1.2ランタイムの本質的定義

ここでいう「ランタイム」とは、プロセッサが命令セット（ISA）を実行し、RAM（メモリ）にプログラムコードおよび実行データが展開されている実行状態全般を指す。この定義は3文書（Runtime Stability / Security / Immunity）共通であり、領域や時代に依存しない本質的なものである。

§1.3包含的定義：三層セキュリティの統合フレームワーク

Runtime Stabilityは、従来型情報セキュリティ、Runtime Security、Runtime Immunityの3つの保護層を統合する包括的フレームワークである。

第1層：従来型情報セキュリティ

範囲：システム外部からの侵入防止
実装：ファイアウォール、VPN、DMZ、認証・認可
限界：一度侵入されると内部での防御が弱い
担当属性：Availability（ネットワークレベル）

第2層：Runtime Security（検知・制御ベース保護）

範囲：ランタイム環境における動的な脅威対応
実装：検知 → 制御による段階的対応
特徴：プロセスメモリ監視、RASP、CWPP、EDR等
評価：SL（Security Level）0〜3の3軸評価
強み：既知脅威への高精度対応
限界：0-day脅威への検知漏れが存在
主担当：Safety、Availability、Controllability
副担当：Reliability（Runtime Immunityとの協調）

第3層：Runtime Immunity（構造的無価値化ベース保護）

範囲：攻撃成果の構造的無価値化
実装：メモリ暗号化、環境束縛、権限削減等
特徴：検知に依存しない予防的保護
評価：IL（Immunity Level）0〜3（NL軸で多次元評価）
強み：0-day脅威にも構造的に対応
限界：全領域での実装は複雑
主担当：Confidentiality、Data Integrity
副担当：Reliability（Runtime Securityとの協調）

統合評価：RS（Runtime Stability Level）0〜6

RS = SL + ILにより、第2層と第3層の達成度を統合する（§4.1参照）
第1層は環境前提条件として機能する

⚠️ 注記：Inexploitabilityについて： Inexploitabilityは特定の層に属さず、Runtime SecurityとRuntime Immunityの協調により達成される属性である（§1.5参照）。

§1.4Runtime Stabilityの三つの設計思想

Runtime Stabilityフレームワーク全体を貫く三つの設計思想がある。Runtime SecurityとRuntime Immunityはこれらの思想から派生する。

思想1：非停止性（Non-Halting）

攻撃下でもシステムを停止させない。自動運転車両、医療機器、産業制御システムなど、「止められないシステム」を保護するための必須思想である。Runtime Immunityの「システム停止なしの構造的保護」とRuntime Securityの「動的対応による継続稼働」はこの思想から派生する。

思想2：恒常性維持（Homeostasis Maintenance）

攻撃前後でシステムの保護属性が変わらない状態を実現する。生体の恒常性維持（ホメオスタシス）と同様に、システムが内部で自律的に安定状態を保つ。Runtime Immunityの「構造的無価値化による保護維持」とRuntime Securityの「検知・制御による状態管理」がこの思想を実現する。

思想3：七属性の統合達成

単一の属性達成ではなく、七属性すべてのバランスの取れた達成を目指す。Safety（安全性）のためだけにシステムを停止させることは、Availability（可用性）を損なう。この統合的アプローチにより、現実的かつ実装可能な保護フレームワークが実現される。

§1.5七つの保護属性（RS Attributes）

Runtime Stabilityは、以下の七つの保護属性の達成度により評価される。

略号	属性	定義
S	Safety（安全性）	攻撃下でもシステムが安全側の状態に留まる。制御喪失、意図しない動作、物理的損害を構造的に防止する。
R	Reliability（信頼性）	保護機能が確実かつ継続的に動作する。攻撃下でも保護機構が故障せず、または故障時に自動復旧する。
A	Availability（可用性）	システムのサービス提供が維持される。重要機能が停止しない、または許容時間内に復旧する。
C	Controllability（制御性）	攻撃・障害下でもシステム状態を把握し、安全側へ導ける。システムが「制御不能」にならないことを保証する属性。
Cf	Confidentiality（機密性）	実行中のプロセスメモリ、通信中のデータ、保存データの機密性が攻撃下でも維持される。機密情報の可読取得を構造的に防止する。
D	Data Integrity（完全性）	データの正確性・完全性が攻撃下でも維持される。不正な改変・破壊を防止する。
Ix	Inexploitability（攻撃不成立性）	システムのランタイム状態において、攻撃者が利用可能な脆弱性が構造的に存在しない状態。Runtime SecurityとRuntime Immunityの協調により達成される。

⚠️ 注記：Inexploitabilityについて： Inexploitabilityは「攻撃者が利用可能な脆弱性の構造的不在」を意味し、「攻撃成果の無価値化」（Runtime Immunityの機能）とは異なる概念である。Immunityは攻撃成果を無価値化することでIxに貢献し、Securityは利用可能な条件の動的検知・排除によりIxに貢献する。両者の協調により高いIx水準が達成される。Ixの達成度は、SL軸（動的に排除された脆弱性の割合）とIL軸（構造的に無価値化された攻撃経路の割合）の両面から評価される。具体的な測定手法は準拠・評価編にて定義する。

§2Runtime Stabilityと既存規格との関係

Runtime Stabilityの七属性は、複数の既存規格が扱う要件と接続する。

規格	対象領域	対応するRS属性
ISO 26262	自動車機能安全	S, R, C
IEC 62443	産業制御セキュリティ	A, S, Cf, D
IEC 62304	医療機器ソフトウェア	S, R, Cf
DO-178C	航空ソフトウェア	S, R, C
ISO/IEC 27001	情報セキュリティ管理	Cf, D, A

§3Runtime Stabilityの構成要素と進化

§3.1三層防御モデル

Runtime Stabilityは、攻撃への防御を以下の三層で構成する。

第1層：侵入の防止（Prevention）

攻撃がシステムに到達することを防ぐ。境界防御、認証、アクセス制御等。従来のセキュリティが主に対象とする領域。

第2層：制御の維持（Control Retention）【Runtime Security】

攻撃がシステムに到達しても、検知と動的制御によりシステムの制御性・安全性・可用性を維持する。S, A, Cが直接対応し、Rが部分的に対応する。

第3層：成果の無価値化（Outcome Nullification）【Runtime Immunity】

攻撃が「成功」しても、攻撃成果を構造的に無価値化する。Cf, Dが直接対応し、Rが部分的に対応する。

統合属性：Inexploitability（Ix）

Ixは特定の層に属さず、第2層（利用可能な条件の動的排除）と第3層（攻撃経路の構造的無価値化）の協調により達成される属性である。

§3.2Runtime SecurityとRuntime Immunityの導出

Runtime Security（検知ベース）

「非停止性」「恒常性維持」の設計思想を実現するため、攻撃を「検知→制御」により、システムの稼働を保ちながら対応する。

特性：検知に依存、動的対応、リアルタイム性重視
限界：完全検知不可能、0-day対応困難
詳細：Runtime Security Definition Document v1.1 を参照

Runtime Immunity（構造ベース）

「非停止性」「恒常性維持」の設計思想を実現するため、攻撃の「前提条件除去」「成果無価値化」により、検知なしに保護を維持する。

特性：検知非依存、構造的保護、高い確実性
限界：全領域での実装困難、環境依存
詳細：Runtime Immunity Definition Document v1.1 を参照

両者の協調により、Runtime Stabilityの七属性全体を高い水準で達成する。

§4達成度評価フレームワーク

§4.1Runtime Stability Levelの定義

システム全体の保護レベルは、Runtime SecurityのSL（Security Level）とRuntime ImmunityのIL（Immunity Level）を組み合わせたRS（Runtime Stability Level）により評価される。

RS = SL + IL

SL：Runtime Security Level（0〜3）
IL：Runtime Immunity Level（0〜3）
RS：Runtime Stability Level（0〜6）

RSマトリクス：

IL-0	IL-1	IL-2	IL-3
SL-0	RS-0	RS-1	RS-2	RS-3
SL-1	RS-1	RS-2	RS-3	RS-4
SL-2	RS-2	RS-3	RS-4	RS-5
SL-3	RS-3	RS-4	RS-5	RS-6

⚠️ 注記：RS算出規則について： RS = SL + ILは単純加算であり、同一のRS値に複数のSL/IL組み合わせが存在しうる（例：RS-4 = SL-1×IL-3 = SL-2×IL-2 = SL-3×IL-1）。ただし、各組み合わせは保護特性が異なるため、適用領域の要件に基づいて適切な組み合わせを選定する必要がある。また、RSは序数的スケール（Ordinal Scale）であり、等間隔スケール（Interval Scale）ではない。RS値は保護水準の相対的な順序関係を示すものである。

§4.2適用基準と推奨レベル

以下は、各RSレベルの推奨構成と想定適用領域である。

RSレベル	推奨SL	推奨IL	推奨適用領域
RS-2	SL-1	IL-1	一般的なWebアプリケーション
RS-3	SL-2	IL-1	SaaS、オンライン取引
RS-4	SL-2	IL-2	金融機関、医療システム
RS-5	SL-3	IL-2	自動運転車両
RS-6	SL-3	IL-3	防衛関連、重要インフラ

⚠️ 注記： RS-5はSL-2×IL-3でも算出可能であるが、自動運転車両等のSafety-criticalな領域ではSL-3（高度な検知能力）を推奨する。

§4.3RS-6（最高レベル）の定義と限界

RS-6 = SL-3（統合検知）+ IL-3（実務的無価値化）

RS-6が達成すること：

既知脅威への高精度対応（SL-3の検知・制御能力）
構造的保護：全メモリ暗号化 + 環境束縛（IL-3の無価値化能力）
経済合理性的無価値化：攻撃者のROI < 0が成立
非停止運用：攻撃下でも継続稼働

RS-6が達成できないこと（法的に重要）：

❌ 0-day攻撃の100%検知 — 0-day = 定義上「未知の脅威」。ただし、Runtime Immunityの構造的保護により、検知できない攻撃でも攻撃成果は無価値化される。
❌ 物理的アクセスからの保護 — RS-6は「ランタイム環境」の保護を対象とする。CPU/メモリボードへの直接的な物理改変は本定義の対象外。
❌ サイドチャネル攻撃への完全対応 — RS-6は「論理的な攻撃」への対応に最適化。タイミング、電力、電磁波等の物理情報利用攻撃は別領域。

⚠️ 注記：暗号学的前提について： 本定義書のNL評価は、現行の暗号学的知見に基づく。量子コンピューティングの実用化により暗号強度の前提が変化した場合は、Post-Quantum Nullification（PQN）拡張が適用される。PQN拡張は本定義の無効化ではなく、NL軸の拡張として設計されている（Runtime Immunity Definition Document v1.1 §4.3参照）。

RS-6の結論的位置づけ：

✅ RS-6 = 「現行の暗号学的前提の下での、実用的最強防御」
❌ RS-6 ≠ 「完全な保護」（サイバーセキュリティに「完全」は存在しない）

§5用語集

ランタイム（Runtime）： プロセッサが命令セット（ISA）を実行し、RAM（メモリ）にプログラムコードおよび実行データが展開されている実行状態全般
保護属性（Protection Attribute）： Runtime Stabilityが守るべき七つの要素（S, R, A, C, Cf, D, Ix）
Runtime Security： 検知ベースのランタイム保護（動的対応型）
Runtime Immunity： 構造ベースのランタイム保護（予防型）
SL（Security Level）： Runtime Securityの達成度（0〜3）
IL（Immunity Level）： Runtime Immunityの達成度（0〜3）
RS（Runtime Stability Level）： 総合保護レベル。RS = SL + IL（0〜6）
NL（Nullification Level）： 攻撃成果の無価値化程度（NL-1〜3）
Inexploitability（攻撃不成立性）： システムのランタイム状態において、攻撃者が利用可能な脆弱性が構造的に存在しない状態

§6改訂履歴

v1.0（2026-02-25）：初版。七属性定義。
v2.0（2026-02-27）：Confidentiality追加。CDER指標。
v2.4（2026-02-28）：Inexploitability追加。三層防御。EONR指標。
v3.0（2026-03-03）：設計思想の明示化。Security/Immunity導出の論理明確化。
v3.1（2026-03-03）：包含的定義追加。従来型セキュリティとの関係性明示。
v3.2（2026-03-03）：RS = SL + ILの明示的定義。Inexploitability定義の精密化。RS-6定義の統合。派生構造の対称化。
v3.3（2026-03-03）：§4.1に序数的スケール注記を追加。§1.5にIx評価方向を追加。

§7本文書について

§7.1目的

本定義書は、Runtime Stabilityの概念・定義・フレームワークを確立し、既存のセキュリティ規格およびセーフティ規格との関係性を明確化することを目的とする。

§7.2スコープ

本定義書は、Runtime Stabilityの概念・定義編である。具体的な準拠基準、評価方法、認定基準は、後続の「準拠・評価編（Document 2）」にて定義される。

§7.3相互参照

Runtime Security Definition Document v1.1：検知ベースの保護体系の詳細定義（3軸SL評価）
Runtime Immunity Definition Document v1.1：構造ベースの保護体系の詳細定義（2軸NL定義、PQN拡張フレームワーク）

§7.4包含的フレームワークとしての位置づけ

Runtime Stability v3.3は、以下の関係性を体系化した包括的なフレームワークである：

従来型情報セキュリティ（第1層：Prevention）
+ Runtime Security（第2層：Control Retention）
+ Runtime Immunity（第3層：Outcome Nullification）
= Runtime Stability Framework（七属性の統合達成）

§7.5v3.2からv3.3への改善点

§1.5：Inexploitability注記にIx達成度評価方向（SL軸・IL軸の両面評価）を追加
§4.1：RS = SL + ILが序数的スケールである旨を注記に明記