ＣＩＡと永久機関 - 叡智の三猿

２０２０年１０月に発生した富士通のシステム障害による「東証」の終日取引停止の速報を見たときー

うわ〜なかの人は大変だなあ

と、システムの運用に関係している人たちの心情を思うと、他人事ではいられない気持ちになりました。

この障害は東証の売買システム（アローヘッド）で起きました。

売買システムは証券会社からの注文情報を格納する共有ディスク装置がありますが、その装置が故障しました。本来であれば自動で待機装置に切り替わるはずですが、それが機能しませんでした。そのため、相場情報を配信する機能が異常を検知し、結果的には終日取引停止となりました。

（関連して、障害対策（フォールトトレラント）ついてこちらに書いてます）
www.three-wise-monkeys.com

東証システム障害のインパクトは大きく、たとえば朝日新聞の１０月３日の社説ではー

という見出しでした。想像したとおり、システムの運用に関係する人たちを問題視しました。

確かに「終日取引停止」のインパクトは大きいでしょう。しかし、日中に手動で再稼働をさせると、証券会社からの注文が削除され、結果的には投資家に混乱を与えることが想定されました。

この障害は再発防止の観点でみると、多くの課題を抱えているのですが、インシデント対応としては、決して悪いとは思いません。

今回のシステム障害の責任を取り、東証の社長は辞任するようですが、わたしは終日取引停止を決定したのは英断だと思います。

情報セキュリティの定義は、情報の機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を維持することです。この３要素の頭文字をとって、情報セキュリティの「ＣＩＡ」といいます。

しかし、３要素のすべてが等しく維持されることを情報セキュリティは求めていません。何故なら、これらの要素はお互いに相反する関係だからです。それぞれのシステムの役割によって、要素の優先順位が変わります。

東証の「売買システム」のインシデント対応は、次の選択しかありませんでした。

東証の選択は２でした。可用性を失っても、データの完全性を維持することで、投資家の混乱を避けたのです。

東証の「売買システム」は、情報セキュリティの３要素のなかで、完全性の維持を重視するシステムという経営判断がされたのです。

その後、この問題は単なる運用の問題だけではないことが分かりました。はっきりしたのはこの事実です。

このことから、システムの製造から設置、運用に至る、さまざまな工程でエンジニアとしてやるべきことをやっていないことが読み取れます。

エンジニアであれば、これらの作業はやって当たり前のことです。こんな当たり前のことが出来ていないのは、技術の問題というより、プロジェクトマネジメントの問題に思えます。

そして、もうひとつ書きたいことがあります。

今回の隠れた大きな問題は、アローヘッドというシステムが、「Never Stop（決して止まらない）」を合言葉に掲げ、それを大々的に謳っていることです。

そもそも「Never Stop」なシステムなど、この世に存在しません。いまは勿論、遠い未来にも存在しえません。

もし「Never Stop」のシステムが存在するとしたら、それは外部からエネルギーを供給することなく、永遠に動き続け、しかも外部にエネルギーを送り出せる装置（＝永久機関）が存在すると言っているのと同じです。

このような、エネルギー保存則に反するような、スローガンを堂々と掲げるのは、誇大広告に思えます。内部だけで通用する極秘のプロジェクトネームとして「Never Stop」を使うなら、別に構わないと思いますが・・・。

そして、その合言葉をそのまま事実として受け止めている人がいることも問題です。

「Never Stop」を掲げているにも関わらず、止まってしまうのは問題だという意見は無意味です。何も解決できません。

そういう人は、中学の理科を復習した方がいいと思います。