|
筆者紹介 玉城 直(たまき・すなお) 沖縄電力IT推進本部 理事 1978年に沖縄電力入社。電力流通部、東京支社を経験しながら沖縄の生活基盤整備に尽力。2005年に現在の職位に着き、専門である電力技術に加えこれまで培ってきた管理経験を生かして沖電グループIT関係会社の経営・管理にあたっている。ASPICジャパン「災害時ICT基盤研究会」メンバー。 |
|
加藤 久男(かとう・ひさお) プライブ・シェルター 取締役 NTTのCUSTOMやMERCURYで大規模オンラインシステム開発を経て、NTTアド、日本コンピュータ・アーツで多くのネットワーク設計やシステムソリューションを手がけ、2003年よりNTTコミュニケーションズと秘密分散技術で個人情報管理システムのASP事業化を推進。現在は、秘密分散技術を利用した製品開発や普及活動にあたっている。ASPICジャパン「災害時ICT基盤研究会」メンバー。 |
災害情報システムは、ICT技術の進化と共に様々な問題を解決し多くの利便性と効果を期待されているが、その一方でシステム間の連係が複雑化し、正常時における利便性とは逆に、障害発生時の復旧の難しさと復旧時間の短縮という課題も残されている。
一般に情報システムの障害を回避する方策としては、ホットスタンバイ(同じ構成のシステムを2系統用意してバックアップ機も常に同期させておく)、コールドスタンバイ(同じ構成のシステムを2系統用意してバックアップ機は障害発生後に立ち上げる)、クラスタリング(複数のコンピュータを相互接続して作業負荷を分散させる)などで通信機器やサーバ、データベースを二重化するという手法が用いられ、同時にデータのバックアップを磁気テープ(MT)などの外部媒体に保存し、倉庫で保管するという運用が行われている。
情報システムに障害が発生した場合、データの復元は保管しているバックアップMTなどから、運用オペレータが手順に従い復旧作業を試みるが、その際、サービスの中断をどの程度まで許容し、データの喪失をどれだけ許容できるかは、あらかじめ想定しておくべき重要な要素となる。
しかし、災害発生時に手順通りの復旧作業を滞りなく進められるかには疑問も残る。阪神・淡路大震災では、バックアップMTを今にも崩れそうな瓦礫の山の中から取り出したという事例もあった。 運用オペレータが平常時から様々な障害復旧の場面を想定し訓練を実施していても、肝心のデータを復旧できなければ災害情報システムを利用することすらできない。
広範囲な大規模災害やテロという外的要因が引き起こす情報システム障害から、地理的に影響を受けないよう重要データを保管するためには、まず、(1)遠隔地にバックアップシステムを置くことが考えられる。さらにそのセキュリティを確保するために、(2)秘密分散技術など、データを複数箇所で分散管理することで容易にディザスタリカバリを実現できる技術を活用したほうがよいだろう。今回はこれら2点について説明する。
(1)遠隔地にバックアップを-災害情報システムの停止リスクを低減 災害情報システムの採用を検討される団体においては、
- 対象となる災害は何か?
- 対象となる地域はどこか?
- 処理すべき情報量が何件か?
といったことを定義して、採用予定であるシステムがその想定範囲における要求機能・性能を満たせるかをまず確認する必要がある。これはRFP(Request For Proposal)を定義する上でも重要な指標となる。
それだけでなく、そのシステム自体の災害対策についても留意が必要である。災害時には情報システムそのものに障害が発生する可能性があること、そして災害が広い範囲で予想されている状況をふまえると、災害ICT基盤を整備する上では、遠隔地でのバックアップも検討に加える必要があると思われる。
例えば関西にある自治体が地震に対する災害対策を講じる場合を考えてみよう。東南海・南海地震が発生した場合にシステムが十分に対応できるのか、その想定される被害規模などからシステムの要件を洗い出していく必要がある。東南海・南海地震で想定される被災地域(図1)に災害情報システムのバックアップ拠点を置いても、災害と共にシステムがダウンすることも十分あり得る。同じ災害によりシステムが停止することは絶対に避けなければならない。
| ■図1 東南海・南海地震 震度分布 |
 |
| 出典:内閣府防災担当ページ |
例えば、典型的な「遠隔立地」である沖縄県では、昨年12月、経済産業省が首都圏災害時対応業務を継続させるための基盤情報システムのバックアップが設置されたことで話題になった。法人向け安否確認サービスを提供している大手警備保障会社では、安否確認サービスのディザスタ・リカバリ構築にあたり、本番システムを沖縄、災害時代替システムを東京という方式で設計運用している事例もある。
活動拠点から遠いという事が、逆に遠隔地のメリットとなり、災害が発生した時に、同時被災の危険性が少ないと想定されるのである。さらに、人件費などトータルコストの安い地方都市に本番システムを置けば、コストパフォーマンスにおいても良い結果が期待できるだろう。
(2)秘密分散技術--災害情報システムのデータ喪失を防ぐ秘密分散技術とは暗号化技術の1つで、秘密分散法は1979年にRSA暗号方式を発明したことで有名なシャミア博士により最初に論文発表され「しきい値秘密分散法」とも呼ばれている。
| ■図2 暗号技術による安全性の違い |
 |
秘密分散技術は、重要な、あるいは秘密にしておきたい情報を複数個の断片にして、複数の場所に分散保管することで安全を担保し、すべての断片が揃わなくても元の情報を復元することを可能とする。また、分散保管された断片の1つだけを取得したとしても、そのデータからは、元のデータを復元することは永久にできない(情報理論的安全性)。
そのことから、個人情報や機密情報を電子保管するための次世代のセキュリティ技術としても位置付けられ、総務省が広島県や佐賀県と共に実証実験を行い、その有効性や適用性について「個人情報保護強化技術実装システムの開発・実証プロジェクト報告書(平成18年度実施事業)」の中で、まとめている。
日本ではこの分野で早くから商用化が進み、多くのソリューションが提案されている。
災害情報システムにおける秘密分散技術の有効性
個人情報を取り扱う災害情報システムに保存された個人情報データの保護を目的とした場合に秘密分散技術がどのように有効となるのかを具体的に説明する。
災害情報システムの多くは、その重要性からデータセンターを利用した集中管理による運用が行われることであろう。データセンターは安全性が高く、自然災害には非常に強く有効である。とはいえ、データが1ヵ所に集中することについての不安は残る。1都道府県のほぼ全自治体が同じ地域のデータセンターを利用している場合など、なおさらだ。
いくら堅牢なデータセンターであっても、想定外の事態には対応できる保証はない。例えば、震度7を超える巨大地震では問題がなくても、テロリストからの攻撃には耐えきれないかもしれないのである。
そこで、秘密分散技術で分散されたデータを、地理的な影響を受けない遠隔地のデータセンターで保管するという方法が考えられる。こうすれば、いつ、どこの地域で大規模災害が発生しても個人情報や機密情報のデータを喪失することなく災害情報システム上で安全に利用することが可能となる。
| ■図3 秘密分散技術によるデータ管理の概要 |
 |
また、秘密分散技術の特性上、分散されたデータを保管すること自体がディザスタ・リカバリとなるため、従来のようにバックアップをMTなどの外部媒体に保存する必要がない。つまり、運用管理の容易さからコストダウンも見込めるということになる。複数の自治体間でデータを相互共有すれば、コストはさらに低減できるだろう。
秘密分散技術は、次世代のデータ管理の基盤技術として成熟が期待される。
