東証のシステムが丸1日停止したことに対し、多くの人が批判をしている。
確かに、停止があっても、これほどまで長く停止することは珍しいから
無理もない。
但し、批判する人は自分でコストを負担している訳でも、システムについて
よくわかってない人が多いと思う。
例えば、銀行のATMサービスについても、コストを負担することなしに、
便益を享受している人が多いが、システムを維持するためには、大きなコスト
がかかっている。
キャッシュレス化してATMを減らせばいいではないかという人もいるが、
キャッシュレスに馴染めない人も多くおり、一方でキャッシュレス化にも、
コストがかかることは余り議論しない。
銀行のシステムについても、東証のシステムについても、政府は重要イン
フラとは言うものの、重要インフラならば、どこまで信頼性や安全性を確保
しなければならないのか、そのコスト負担をどうするのかということを明確に
している訳ではない。
原発もそうだったが、何となく安全だという思い込みが、システムにはある
のかもしれないが、機械は必ず故障するし、人間は必ず間違えるものだという
前提を理解しないと、話はいつまで経っても平行線になる。
記憶装置は、ハードディスクから半導体装置になって、機械部分が無くなった
ことによる故障は減ったかもしれないが、半導体も故障することはあるし、
ドライブレコーダーに使われるようなメモリーも、種類によって書き換え回数
に限界があることを知らない人が多いと思う。
部品は平均故障時間ということで、ある一定の発生確率でコントロールは
しているが、これはあくまで平均であり、短時間で故障することもあれば、
予想以上に長持ちすることもある。
人間も、間違えたり、悪意を持って行動する人が出てくるために、内部統制
が重要になっているが、内部統制を強化すれば負担が増える面がある。
コスト的に見れば、性善説で運用するのが一番楽だし、コストも少なくて
すむのだが、現状を見れば、役人が文書を改ざんしたり、口頭で決裁して証拠
を残さないといった事例を見ても、性善説で対応できるような時代でない。
システムを導入しても、データを消去したと言い張ってしまうようでは、
内部統制が効いていないとしか言いようがない。
セキュリティと同じく、可用性・信頼性も、コストとの兼ね合いで決まる面
があるので銀行によっては、2つのセンターを持って、同じ処理を同時にやって
いるところもある。
つまり、2倍のコストをかけてでも必要という認識なのだが、全ての銀行が
そんなことをやっている訳ではなく、通常は機器や回線を二重化して、故障した
場合には切り替える程度で済ましていることが多い。
東証の場合も、二重化はしていたが、停止しないで切り替える処理がうまく
できなかったということで、停止した後に予備機に切り替えることはできた
のだが、既に取引データが入っていたために、そのデータを捨てることが
できなかったため、終日停止したということのようだ。
そういう意味では、うまく切り替えられなかった時に、処理途中のデータを
生かすプロセスが欠けていたのかもしれないが、そのためにはロールバックの
データを一定期間貯め込んで処理につなげるプロセスが必用になるが、それを
やるとレスポンスが遅くなるという懸念がある。
取引所は、高速取引に凌ぎを削っている時代なので、レスポンスを犠牲にして
安全性を高めるとなると、同じステムを2セット作って、同時に処理するような
大がかりなことをするしかないかもしれない。
実際、アポロ宇宙船では3台のコンピュータが同時に計算を行い、1つが故障
しても、2つの結果が正しければ、それを採用するような仕組みだったという。
安全性と利便性は相反する要素があり、そこに経済性が加わって、セキュリティ
対策が決まるように、処理の高速性と安全のための冗長性は相反する要素があり
そこに経済性が加わって、システムの構成が決まってくる。そういったことを
理解したうえで、今後どのような対策を取っていくのか見ていきたい。
安全対策が不十分ということで、金融庁が行政処分をすればいいというもの
ではないということは分かって欲しい。
