動かないコンピュータForum

第39回 障害を避けられないものとして対策を練るべき

動かないコンピュータ・フォーラム 主宰者 中村 建助=日経コンピュータ編集

日経コンピュータを読む理由No.1 「動かないコンピュータ」連載が単行本になりました。全国の書店でお求めいただけます。

 今回も、皆さんから非常に参考になるご意見を頂きました。有り難うございます。

 「公共ITインフラ」とでも呼ぶべき、社会生活に欠かせないインフラとしての性格を持つ大規模システム。これらの大規模システムのトラブルはどこまで許されるのか。いささか乱暴なきらいのある記者の問いかけでしたが、本当に皆さんからは示唆に富むご意見を頂きました。

トラブルが起きた後のことを考えるべき

 まず、みなさんから頂いたご意見に共通する前提として「システムである以上、障害を避けることはできない」ということがありました。つまり、どんなに重要な公共ITインフラでも停止することがあるということです。これは、否定しようのない事実でしょう。

 とはいえ、公共ITインフラが頻繁に利用できなくなってしまうのは大きな問題です。では、どうすべきなのか。この点については、システムの障害による影響度を見極めて開発コストを決める、システム・トラブルによる影響を受けた人への救済措置の整備に力を注ぐべきというご意見が中心だったように思います。

 例えば、10月27日には次のようなご意見を頂きました。



 暴論かもしれませんが誰も困らなければ「許される」のではないでしょうか。公的ITインフラで大事なのはトラブルで個人や社会に迷惑をかけないことだと考えています。トラブルなしを目指すのがエンジニアの使命と思いますが、無制限に金と時間と体力をかけてもシステムの品質を100%にできないのが現実であれば、限りなく100%に近づけることよりシステムトラブルが発生したときの対策(コンティンジェンシープラン)を手厚くしていくことのほうが現実的と考えます。

 止めてはならないシステムには人の介在は必須です。一方でシステムは止まることはある意味仕方ないのだということがもう少し社会的に認知されてもよいとは思いますが。

(30代、システム・インテグレーター、システムエンジニア )


 10月16日には、実際に公共ITインフラにかかわっていらっしゃる方から、このようなご意見がありました。



 待ちに待った企画です。私は日頃から、これについて考えています。ただ「トラブルはどこまで許されるか」はちょっと嫌な表現で、「トラブル防止にどれだけコストをかけられるか」にして欲しいですが。

 私の勤務先は、公的性格の強いシステムを持っています。そのシステムの障害防止については、多大なコスト、そして多くの人の情熱を、つぎ込んでいます。それでも障害を完全に防ぐことはできません。 情熱は我々の勝手ですが、コストをかけると、血税を消費します。システムの完成度が高まってくると、完成度を少し上げるのに、多大なコストが必要になります。

 完成度を数字にするのは難しいですが、例えて言うなら、99.9%で良いのか、それともあと10億円かけて99.95%にするのか、判断が必要です。このシステムの場合、まず例外なく、10億円かける方を選択しますが。 仮に「コストは無制限」と言われても、人的資源や開発期間の関係で限界はあるのですが、どれだけコストをかけて良いのか、皆様の意見が気になります。

 因みに、東証の障害に対するご意見を検索したところ、「もっとコストをかけても良いから障害を減らせ」という方向のものばかりでした。

(40代、ユーザー企業、情報システム部門 )


 非常に熱心なご意見を有り難うございます。システムの信頼性とコストの問題についてですが、企業が構築するシステムの場合は、財務体質が悪化しているときにどうするのか、という問題もあると思います。財政再建を進める公共部門でも同じことが言えるのではないでしょうか。公共ITインフラの障害が増えている背景には、どうしてもコストの節約を考えざるを得ないという、発注者側の問題もあるのではないかと考えています。

 一方で、10月14日には次のようなご意見を頂きました。



 システムを特別視することに違和感がある。例えば食材に中国産を取り入れて価格破壊が起こった、消費者は最初好感したが農薬問題などが後から判って批判した、等は同類だと思っている。結局コストをかけねば品質は上がらないという前提を万民が受け入れねばならないと言うことだと思う。

 だから食材は有機栽培モノが高値で取引されるようになった。これを保険として捉え、「ウチのATMはいざと言う時の人間処理窓口を残していますので手数料が高くなっています」という銀行が現れてもいい。医療システムなどには相当のコストをかけてもらわないと怖くて罹れないが金融などでは選択できてもいいだろう。交通機関は選択肢が少ないので難しいだろうが。

(40代、ユーザー企業、情報システム部門 )


 このご意見にあるように、システムの信頼性によって価格を変えるというアプローチもあってしかるべきかもしれません。こういった考え方で料金が決まるようになれば、システムの品質に対するプレッシャーはさらに現在よりも強まることになります。このプレッシャーを乗り越えることのできる開発体制をどうつくるか。これは、大きな問題だと思います。

 少し話題を変えますが、システムの開発にかかわる人的資源の問題も今後、重要になってきます。最近では、「2007年問題」といった言葉も聞かれるようになってきましたが、ものによっては20年以上も同じ人間が担当することで、システムの信頼性を維持してきた例もあります。こういったシステムの開発・運用は、これから正念場を迎える気がします。実は、次回の動かないコンピュータ・フォーラムでは、この問題について少し考えることができればと考えています。

システム障害に対する救済措置が作れないか

 10月16日には、話題になることの多い銀行のATM(現金自動預払機)の障害に関して、次のご意見を頂きました。



 ATMを止めるなとは、銀行を「いじめ」過ぎです。銀行は、営利企業です。障害防止にかけるコストは、リスク管理のうえで、利益が最大になるように設定するべきです。バブル崩壊以来、銀行に対する風当たりが強いですが、市中銀行は、バブルの30%加害者で、80%被害者です。それを、「大企業を責め立てれば庶民の味方になれる」と勘違いしているマスコミが中心となり、いじめています(日経BPは別?)。また、ダイエーを救って、自行の株価を落とした銀行もあります。

 ATMが止まって被害が生じても、銀行はある程度免責されるべきでしょう。企業が免責されている例は、他にもあります。例えば、火災保険で、「屋外での火災は免責」「購入後6年経過して減価償却済みなので評価額ゼロ」などと、さんざん免責され、数百万円分の保険金が出なかったことがあります。ATMが止まっても「波及被害は免責」っていうのは、おかしいですか? 障害防止について、過剰なコストをかけるべきではありません(日銀は別か)。むしろ、障害があったら翌日決済でも良いなど、救いの手をさしのべる社会的仕組みの方が大事だと思います。

(40代、ユーザー企業、情報システム部門)


 銀行にお勤めの方でしょうか。「障害があったら翌日決済でも良いなど、救いの手をさしのべる社会的仕組み」を整備すべきだというご意見には賛成します。ただ、ATMのダウンが原因で問題が生じた場合などの対応策など、社会的仕組みを整備するなら、やはり金融機関が先頭に立つべきなのではないかと思いますが、いかがでしょうか。

 10月27日は、障害が起きたときの対応をどうするべきなのかについて、より一般的な立場から、次のようなご意見を頂きました。



 公的なインフラで、どの程度のトラブルが許されるかは一概には言えない。電車が遅れて会議に間に合わなかった場合、その会議が重要なものであるかどうかによって、そのトラブルの「許せなさ」が変わってくる。電話が通じなかったとき、人命にかかわるかどうかによって「許せなさ」は変わってくる。しかし「許せない」としても、トラブルは必ず起きるもの。「大事なときはトラブルが起きない」といった都合のいいシステムは存在しない。お金をいくらかけたところで、やはりトラブルは必ず起きる。

 ならば結局、運用で対応するしかないと思う。法律の整備やSLAや補償内容の提示など。トラブルが起きないようにシステムに膨大なお金をかけるより、起きてしまったトラブルを解決する制度のほうが現実的である場合も、かなり多いと思う。

(30代、システム・インテグレーター、システムエンジニア )


 障害は完全には防げない。だからこそ法整備などで被害をできるだけ小さくすべきだというご意見だと思います。フォーラムには、この通り、複数の方から同様のご意見がありました。なぜこういった声が、一般化しないのでしょうか。やはりまだ、世間一般のシステムに対する認識が薄いのでしょうか。

 それとも公共ITインフラについて、システム障害が起きた場合の補償について、どのように認定してだれが金銭面の責任を持つべきかを決めることができないからでしょうか。今後の問題意識としたいと思います。

目安の一つは当然のことだが人命

 公共ITインフラにどこまでコストをかけるべきか目安となるのは何なのでしょうか。コストをについての目安は、ズバリ人命であるというご意見を二つ頂きました。まず10月20日のご意見からご紹介します。



 公的ITインフラと言っても様々です。一様には言えないでしょう。最も高い信頼性を求めるべきは、人命、特に多数の人命に関るシステムだと思います。例えば航空管制システム等で、これの場合は航空機単体を上回る信頼性が必要であると考えます。

 例えばの表現ですが、航空機単体の重大障害の発生率が0.01%だと仮定して、それ100機を管制するシステムの場合は、0.01%の100乗を下回る障害発生率を確保する必要があると言う事です。きっと天文学的な値になりますね。しかし、そのコストは受益者全体で負担すべきです。一方、一般の銀行等の場合は、これよりも低い信頼性で構わず、費用対効果で決めれば良いことだと思います。

 リスクの損失被害や信頼性の利益貢献の大きさを各行が経営的に判断して決めれば良いでしょう。但し、その中に社会的信頼も加味すべきです。信頼性の向上は、何でもそうですが、特効薬はありません。地道な努力の積み重ねです。それぞれのシステムに許された有限なコスト・人材・時間を最大限有効に活用して、その範囲で最高のものを作り上げるべきでしょう。どんなシステムでも怠惰による失敗は許されるべきではありません。

(30代、ユーザー企業、情報システム部門 )


 10月21日に頂いた意見はこうです。



 「許す、許さない」は、千差万別。交通機関の乱れにしても、大雪や台風によるものであれば、例え「親の死に目に会えなかった」としても、それが運命とあきらめもつくが、人為的なミスであれば、許し難い。しかし、複雑かつ大規模なソフトウェアに内在する欠陥を発見するのは、天変地異を予測するのに等しく困難でもある。事故に遭遇したら「運が悪い」とあきらめるより仕方あるまい。

 「e-Japan重点計画-2003」では、重点政策5分野の一つとして「5.高度情報通信ネットワークの安全性及び信頼性の確保」として制度・基盤の整備が謳われているので期待したいところである。

(40代、ユーザー企業、システム企画部門 )


それでも安全を日本のブランドにすべき

 最後に、10月20日に頂いたご意見を紹介したいと思います。今の日本は自信を失いつつあると言いますが、こういった姿勢を持って、システムの品質の向上に取り組むことが自信の回復に繋がるのではないでしょうか。



 難しい問題ですね。普通、システムの信頼性にかかるコストは求められた信頼性に応じて比例した形で増えることはなく、対数的に増えていきます。だから、ある一線以上は金を掛けてもなかなか信頼性が上がらなくなる。後は必要とされる対応リスクに応じて対策を立て、金を掛けるしかない。

 ただ、日本では今までゼロデファクトを目指して社会システムを構築してきた。それが現在の日本の社会システムを支えているし、ある種の日本神話を生む原因ともなっている。そう考えると、欧米の都会の契約社会的な「契約にあるだけで十分」といった対応も考えにくい。「安物」を買えば品質が悪いのは当たり前。しかし、品質がいいものを安くしていく努力を忘れるべきじゃない。

 ブランドの弱い日本では、欧州のように高い値段のブランド品じゃ勝負できない。じゃ、限界は知った上で信頼性を高めるように努力すべきだろう。ということで、全部をできるだけ高い信頼性が発揮できるようにする。ゼロデファクト社会システム、それが言い換えれば「日本のブランド」なんでしょうね。

(40代、システム・インテグレーター、システムエンジニア )


 日経コンピュータでは、プロジェクトマネジメントやCMMI、エンジニアの教育といった問題について、継続して取り上げてきました。こういった地道な取り組みを続けることが、システムの品質を向上させ、少しでもシステムの障害を減らす上で有用であることを願っています。

 こんな当たり前のようなことを最後に書いたのには理由があります。実は記者は、日経コンピュータ11月17日号の特集で、日本のシステム開発プロジェクトの実態について調査しました。その結果、上に書いたような地道な取り組みが、まだまだ実際には行われていないことが分かったからです。システム開発を進める上で、やらなければならないことは多いようです。

 また今回も、熱心な書き込みをいただいたために、総括編全体も長くなってしまいました。最後までお読みいただき有り難うございました。

 総括編の公開が予定より遅れたことをお詫びします。なお、今回から若干、動かないコンピュータ・フォーラムのレイアウトを変更しました。