« 新型インフルエンザのワクチン接種優先100職種発表 | Main | 経営者の不正を内部統制で防止することは難しいけど、そもそも経営者による不正がありそれをなんとかしなければならないと思ったからこそCOSOができたんですよね。。。 »

2008.09.20

全日空のシステム障害はデフォルト値の管理の問題でもありますね。。。

 こんにちは、丸山満彦です。全日空のシステム障害は複数の問題が合わさっているので、これがひとつの原因というわけではないと思いますが、そのひとつにデフォルト値の管理の問題がありそうですね。システムが複雑になるとデフォルト値がそのままよく検討されずに導入されることも多々あるとは思います。デフォルト設定を無くすと全体としては導入コストが増加するので、このあたりのバランスが問題ですよね。。。
 不正と誤謬(ミス)の2つに分けると、誤謬(ミス)の問題ですので、失敗学的な解決がよいのかもしれません。
 システムが複雑になれば、このような誤謬(ミス)の発生可能性は飛躍的に高くなってくるわけで、何らかの体系的な対策が必要となってくると思います。
 開発組織の問題、責任者の確認の問題、実施者の運用上の問題、商品側のユーザービリティ確保の問題等々・・・
 第三者審査制度の導入も考えているようですが、金融機関ではすでにシステム開発過程監査といわれるようなことをやっていますしね。
 また、システム的な対応として、デフォルト値を変更していないもののリストが優先順位をつけて上がるユーティリティーをつけるなども考えられますね。システム監査では、よくデフォルト値の変更の必要性の有無を検討しているかを監査したりしますよね。。。

 
●山口先生の辛口?評価も
2008年9月19日 (金) 全日空システム障害に思う「企業風土と内部統制」


【新聞報道】
●日経新聞
・2008.09.18 全日空のシステムトラブル、サーバー機能の期限切れが原因
=====
・・・全日空の国内線予約システムにトラブルが発生し同社便など計63便が欠航した問題で、同社は18日、空港カウンターの端末の暗号を管理するサーバーの機能が使用期限切れになったのが原因だったと発表した。同社は山元峯生社長が報酬1カ月分の50%を返上するなど幹部10人を減俸処分とした。・・・
=====
 
●朝日新聞
・2008.09.18 全日空端末ダウン、システムの「有効期限切れ」原因

・2008.09.19 夕刊 全日空システム障害 機能「期限切れ」原因
=====
・・・問題があったのは同社の「データセンター」(東京都)にある「端末認証管理サーバー」。全国51空港にある1556台の端末などを管理。このサーバーでデータを暗号化する機能の有効期限が市販時の初期設定のまま「3年」(08年9月14日午前1時44分まで有効)と設定されていたため、14日未明からシステムが動かなくなった。・・・
=====

 
●読売新聞
・2008.09.19 ANA障害 認証システム期限切れが原因
=====
 この機能は、期限切れの時点で、手続き端末が起動できなくなる設定だったため、有効期限が切れた14日午前1時44分以降、51の空港に設置された同社と提携4社の手続き端末計1556台が起動しなかった。
 また、同日午前3時45分に、北九州空港で全日空の端末を使っている提携社から、報告を受けたが、その後、羽田空港で問題が発覚するまでの約2時間、対策を講じていなかった。
=====
 
●毎日新聞
・2008.09.18 全日空:搭乗手続きトラブル…認証用データ期限切れが原因
 
●産経新聞
・2008.09.18 社長を減棒処分 全日空のシステム障害
 
●時事通信
・2008.09.18 暗号化機能期限切れが原因=初歩的ミス、社長ら10人処分-全日空のシステム障害
 
●47NEWS
・2008.09.18 全日空の障害はうっかりミス 社長ら減俸処分

【IT関係】
●ITpro
・2008.09.18 全日空のCIO、搭乗システム障害について会見、「担当者の会話が不十分だったためのごく初歩的なミス」と反省の弁
=====
・・・今回のトラブルについて、同社のCIO(最高情報責任者)である上席執行役員の佐藤透IT推進室長は、2点を挙げた。
 1点目は、初動の対応のまずさ。発生当初、データセンターのシステムやネットワークに異常が無いことを確認したあと、北九州空港内の端末に問題があると勘違いして、現地の保守要員に修理を依頼していた。「ローカルな障害だと認識してしまい、(主要空港である)羽田は大丈夫かという発想がなかった」(佐藤室長)と話す。
 2点目は、暗号化認証機能ソフトの有効期限切れを見逃した担当者の確認ミスについてである。「有効期限切れを2回防げるチャンスがあった」(佐藤室長)。2度のチャンスの1回目は、2005年のサーバー導入時である。当時から有効期限の設定を初期設定から100年後など影響が及ぼさないように変えておくべきだったと話す。
 有効期限切れを防げたかもしれない2回目のチャンスは、暗号化認証機能ソフトを新たに導入した業務端末の認証用に使い始めた2007年9月。データセンターで認証サーバーを管理する担当者と、端末を設計する担当者は、実は、有効期限が残り1年間しかない暗証キーを使うことを認識していたという。両者の打ち合わせの中で書類で有効期限の情報は共有していたという。「(端末の開発担当者は)データセンターの担当者が更新するだろうと思い込んでいたようだ。会話が不十分だったためのごく初歩的なミス」(佐藤室長)
・・・
=====
 
●ITmedia
・2008.09.18 ANAのシステム障害、原因は「認証機能の有効期限切れ」
 
●Security NEXT
・2008.09.18 全日空のシステム障害、原因は暗号化認証の期限切れ
=====
・・・
同社では暗号化認証機能の有効期限を延長。また再発防止に向けて、システムの各種機能の有効期限について点検を実施。今後は社外の第三者によるシステム開発プロセスの審査体制を導入するとしている。
=====

|

« 新型インフルエンザのワクチン接種優先100職種発表 | Main | 経営者の不正を内部統制で防止することは難しいけど、そもそも経営者による不正がありそれをなんとかしなければならないと思ったからこそCOSOができたんですよね。。。 »

Comments

丸山先生、おひさしぶりです。TBありがとうございました。ITproの記事は初耳でした。
「辛口」ですか?私はこの分野は素人ですので、どっちかというと「疑問符」付きのエントリーでまとめております。以前、全日空のポスターの件(景表法違反)では、全日空側を擁護する立場でボロクソに批判されましたので、それよりは少し辛口だったかもしれません(笑)
デフォルト値を変更することでコストがかかるのは理解できるのですが、こういった事故のリスクというものはどこまで評価できるのでしょうかね?複合的な要因ということですが、専門家の方からすれば、人為的なもので回避可能性は高かったのでしょうか?また、お時間のあるときにでも教えてください。

Posted by: toshi | 2008.09.24 02:16

toshiさん、コメントありがとうございます。。。
 「人為的なもので回避可能性は高かったのでしょうか?」
 「はい」

 システムが複雑になってくればこういう問題は必然的に生じるわけですよね。銀行のシステムでテストをし忘れていた件とは、テスト環境ではOKだった機能が本番環境との微妙な違いにより本番環境では機能しないなど、様々なことが想定されます。

 もちろん、障害が起こることを想定したバックアップ体制(手作業も含む)を整えることが重要なのですが、システム開発についても、今までの延長線上ではない何かが必要となってきているのかもしれません(それが何かは分かりませんが。。。)

 100万行に1つミスをするプログラマーが1億行のプログラムを組んだら、そのプログラムにミスが1つ以上のミスが含まれている可能性はいくらあるか?
 そう考えていくと、複雑なシステムというのは恐ろしいものだと分かってくると思います。
 こういうシステムについては、システム理論というのがありますが、実は生態系や自然のシステムというものを参考にするとよいのかもしれません。
 必ずしも効率的ではないシステムにように見えて、様々な冗長性や代替コントロール、補完コントロールが埋め込まれていて、じつはかなり立派なシステムのように見えるんですけどね。。。
 まあ、最近は想定外の変化がおこるので、あちこちでほころびが出てきているようにも見えますが。。。

Posted by: 丸山満彦 | 2008.09.25 09:13

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 全日空のシステム障害はデフォルト値の管理の問題でもありますね。。。:

« 新型インフルエンザのワクチン接種優先100職種発表 | Main | 経営者の不正を内部統制で防止することは難しいけど、そもそも経営者による不正がありそれをなんとかしなければならないと思ったからこそCOSOができたんですよね。。。 »