2005年11月3日木曜日

東証のシステム障害

一昨日(2005年11月1日)、既報の通りというか、各マスメディアが連日競って取り上げていますが、東京証券取引所のシステムで大障害が発生しました。
このBlogでも、当然取り上げるべきと思い、注視していましたし、職場でもこの件で同僚と議論をしていました。昨晩、Blogにアップしようと思っていたのですが、今日が祝日(11月3日)ということで、晩酌をしてしまい、ほろ酔い気分で寝てしまいました。なもので、ちょっと鮮度が落ちてます。

以下は毎日新聞の11月2日の故事からの引用です

◇「安全網」機能せず--プログラムミス

 

専門家は、東証のシステム拡張の際、実際に運用する前に行う「動作試験」が不十分だったことが今回の障害につながったとみている。大手行のシステム担当者は「プログラムのミスは避けられない。基本的なミスを、動作試験で見つけられなかったことが問題」と指摘する。

 システム増強などに伴うプログラム変更は手間をかけ動作試験を行うのが常識だが「納期を優先すると真っ先に削られるのが動作試験」が業界の実態という。動作試験を繰り返す基本動作が十分でなかったことが原因究明の遅れにもつながり、半日近いシステムダウンを招いた可能性が高い。

 「安全網」も働かなかった。東証はコンピューターの記憶装置などハードが故障した時に備え、バックアップシステムを備えている。しかし、コンピューターサーバー3基が同じプログラムで処理する仕組みのため、ソフトが原因のトラブルには機能しなかった。

 また、今回の障害は月替わりの日に起きた。「月や年の替わり目は、コンピューターのソフトで注意すべきところだ」と担当者は口をそろえる。



この記事の通りですね。私は、現在は情報セキュリティコンサルタントを名乗っていますが、元々は情報システム/データセンターの運用管理が専門でした。新システムのカットオーバーや改修後のリリース等は、神経質なまでにテストを繰り返すのが常でした。その際、可能な限り本番環境に近いテスト環境を構築するか、空き時間を狙って本番環境を使用します。そうでないと、実行環境相違で、不備不具合を見逃してしまう可能性は高いからです。
情報システムの運用は、
 (1) 日次処理 
 (2) 週次処理
 (3) 月次処理
 (4) 4半期処理
(5) 半期処理
 (7) 年次(決算)処理
 (8) 不定期処理、スポット処理
など多様な処理サイクルがあります。テストの際は各処理サイクルでの検証を行い、確認後に検収します。
今回の障害は、月をまたがった最初の営業日での月次処理に不具合があり、システム全体の障害に至ったようです。これは、テストが不十分であったと判断されても致し方ないですね。
年次(決算)処理の場合、企業によってはその1ヶ月、2ヶ月前から当該システムへの修正を凍結し、処理が遺漏無く行われるように万全を期す企業が少なくありません。ベンダーの責任が厳しく問われるのでしょうが、東証自体の検収/受け入れ態勢にも問題ありだと思います。ベンダーの報告を鵜呑みにせず、自らリスクを判定しコントロールする姿勢/体制が重要です。

再び、毎日新聞の記事から引用です

東証は年2回、システム監査をしているが、いずれも外部委託。企業の内部のシステム監査は、日本監査人協会が認定する公認資格「システム監査人」が実施するが、東証にはこの有資格者がいない。内部、外部からの二重チェック不在を危ぶむ声も強まりそう。東証自身が上場問題を抱える中、危機管理の手薄さを露呈したことは大きな痛手と言える。

 

システム監査を行うのは(行っていいのは)、日本システム監査人協会の「公認システム監査人」だかけのか? 
我々、Information System Audit and Control Association(ISACA 情報システムコントロール協会)のCISA(Certified Information System Auditor)、「公認情報システム監査人」は? と突っ込みを。

本筋に話を戻して。所謂、「システム監査」では、客観的で公正妥当な基準に従い、ITに関するマネジメントが適切に行われているかを監査する、ということだと思います(ちょっと粗い定義ですが)。ですから、システム監査では、システム内に内在する不備/不具合を直接見つけ出すことは出来ませんし、目的ともしてません。不備/不具合を事前に検知し、障害を未然に防止する態勢や手続きが整備され、有効に機能しているか、当該のリスクに適切なコントロールが実施されているかを見定めるのが監査ということでしょう。
東証の検収態勢(体制)が如何なるものであったか。システム監査を実施していたとすれば、その辺を如何に判断していたか。興味ある課題です。

現在のところ、システム監査に当たっての客観的で公正妥当な基準ということのなると経済産業省の「システム管理基準」一般的ですね。同基準の中には、システムの検収受け入れ体制、手続きに関する項目もあり、改めて読み直してみようと思います。

法的な規制/規定がありませんが、情報システムの安全/安定を維持する上でのシステム監査、そして情報の安全のための情報セキュリティ監査を広めていく上で、教訓の多い障害事例でありました。

日本システム監査人協会

システム管理基準

システム監査基準
 

0 件のコメント:

コメントを投稿