叡智の三猿

〜森羅万象を情報セキュリティで捉える

トップ > マックジョブ > CIAと永久機関

CIAと永久機関

マックジョブ インシデント(セキュリティ・障害) 情報セキュリティ事故・事件簿 数学・サイエンス 情報セキュリティのCIAと特性

東証」の終日取引停止

2020年10月に発生した富士通のシステム障害による「東証」の終日取引停止の速報を見たときー

うわ〜なかの人は大変だなあ

と、システムの運用に関係している人たちの心情を思うと、他人事ではいられない気持ちになりました。

この障害は東証売買システム(アローヘッド)で起きました。

売買システムは証券会社からの注文情報を格納する共有ディスク装置がありますが、その装置が故障しました。本来であれば自動で待機装置に切り替わるはずですが、それが機能しませんでした。そのため、相場情報を配信する機能が異常を検知し、結果的には終日取引停止となりました。

f:id:slowtrain2013:20201024124407p:plain
東証のシステム障害

(関連して、障害対策(フォールトトレラント)ついてこちらに書いてます)
www.three-wise-monkeys.com

東証システム障害のインパクトは大きく、たとえば朝日新聞の10月3日の社説ではー

  • インフラの重責 自覚を

という見出しでした。想像したとおり、システムの運用に関係する人たちを問題視しました。

確かに「終日取引停止」のインパクトは大きいでしょう。しかし、日中に手動で再稼働をさせると、証券会社からの注文が削除され、結果的には投資家に混乱を与えることが想定されました。

この障害は再発防止の観点でみると、多くの課題を抱えているのですが、インシデント対応としては、決して悪いとは思いません。

今回のシステム障害の責任を取り、東証の社長は辞任するようですが、わたしは終日取引停止を決定したのは英断だと思います。

「可用性」と「完全性」の優先度

情報セキュリティの定義は、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を維持することです。この3要素の頭文字をとって、情報セキュリティの「CIA」といいます。

f:id:slowtrain2013:20200817131609p:plain:w500
情報セキュリティのCIA(3要素)

しかし、3要素のすべてが等しく維持されることを情報セキュリティは求めていません。何故なら、これらの要素はお互いに相反する関係だからです。それぞれのシステムの役割によって、要素の優先順位が変わります。

東証の「売買システム」のインシデント対応は、次の選択しかありませんでした。

  1. 手動で装置を立ち上げ、取引できる状態にすることで可用性を確保する。ただし、投資家からの注文が消え、システムの完全性は損ねる(可用性>完全性)。
  2. 終日取引を停止することで、その日のシステムの可用性を失う。しかし、注文データの完全性は維持させる。(可用性<完全性

東証の選択は2でした。可用性を失っても、データの完全性を維持することで、投資家の混乱を避けたのです。

東証の「売買システム」は、情報セキュリティの3要素のなかで、完全性の維持を重視するシステムという経営判断がされたのです。

東証システム障害」問題の本質

その後、この問題は単なる運用の問題だけではないことが分かりました。はっきりしたのはこの事実です。

  1. 故障の際に自動で切り替わる「オン」の設定が設置のときからされていなかった。
  2. バックアップ機器を動かすための設定がマニュアルに記載がなかった。

このことから、システムの製造から設置、運用に至る、さまざまな工程でエンジニアとしてやるべきことをやっていないことが読み取れます。

  1. 仕様の更新にあたって、マニュアル整備が不完全なまま製造した。
  2. システムのQAで、マニュアルに基づく検証を行っていなかった。
  3. 機器の設置に際して、障害を想定した動作のチェックを行っていなかった。
  4. 手動によるシステムの再稼働の手順が確立されていなかった。
  5. 事故を想定した訓練を実施していなかった。

エンジニアであれば、これらの作業はやって当たり前のことです。こんな当たり前のことが出来ていないのは、技術の問題というより、プロジェクトマネジメントの問題に思えます。

そして、もうひとつ書きたいことがあります。

今回の隠れた大きな問題は、アローヘッドというシステムが、「Never Stop(決して止まらない)」 を合言葉に掲げ、それを大々的に謳っていることです。

そもそも「Never Stop」なシステムなど、この世に存在しません。いまは勿論、遠い未来にも存在しえません。

もし「Never Stop」のシステムが存在するとしたら、それは外部からエネルギーを供給することなく、永遠に動き続け、しかも外部にエネルギーを送り出せる装置(=永久機関)が存在すると言っているのと同じです。

このような、エネルギー保存則に反するような、スローガンを堂々と掲げるのは、誇大広告に思えます。内部だけで通用する極秘のプロジェクトネームとして「Never Stop」を使うなら、別に構わないと思いますが・・・。

f:id:slowtrain2013:20201025035451p:plain:w400
永久機関は存在しない

そして、その合言葉をそのまま事実として受け止めている人がいることも問題です。

「Never Stop」を掲げているにも関わらず、止まってしまうのは問題だという意見は無意味です。何も解決できません。

そういう人は、中学の理科を復習した方がいいと思います。