全銀システム過信のツケ 復旧まで2日、障害の想定甘く

, , , ,

全銀システム過信のツケ 復旧まで2日、障害の想定甘く
https://www.nikkei.com/article/DGXZQOUB121G20S3A011C2000000/

『企業や個人間の送金を支えるインフラが12日、正常化した。10日発生したシステム障害は復旧まで2日かかり、250万件超の送金が滞った。機器やプログラムの更新後に起きた不具合が原因だが、半世紀にわたり安定稼働してきた「止まらぬシステム」への過信が障害への備えを甘くさせたとの見方もある。

3連休明けの10日朝に発生した「全国銀行データ通信システム(全銀システム)」の障害では三菱UFJ銀行やりそな銀行など10の金融機関で他の金融機関向けの振り込みができなくなった。

各金融機関は振り込み処理の滞留を解消するため、全銀システムを運営する全国銀行資金決済ネットワーク(全銀ネット)にデータ記録用テープを持参。全銀システムを構築したNTTデータの担当者らと保存されているデータを全銀システムに流し込む作業を夜通し、続けた。並行して不具合の原因特定や対策にも追われた。

10〜11日に送金できなかった取引は、12日午前10時50分までに処理が完了した。

各金融機関は自行内の預金者間の送金は自らのシステムで完結するが、他の金融機関向けに送金するには全銀システムに接続する必要がある。今回、中継コンピューター(RC)と呼ばれる各金融機関のシステムと全銀システムをつなぐ機器でプログラムの不具合が起きたことが障害につながった。

RCには、送金元の銀行から送金先に支払う銀行間手数料の設定が正しいかチェックする機能が備わっている。この機能がエラーを起こし、送金できなくなった。RCは各行2台ずつ備わっているが、2台とも障害を起こした。

障害が起きた前日の9日までの3連休で、全銀ネットとNTTデータはRCの更新作業をしていた。2023年から29年にかけて24回に分けて実施する更新計画の第1陣として、三菱UFJ銀行やりそな銀行など14行で更新。このうち11行のRCで障害が起きた。利用していないシステムでの障害だった1行を除く10行で送金遅延が発生した。

2台同時に更新

今回は各行で2台ずつあるRCを同時に更新した。全銀ネットは「片方ずつやるのもリスクを下げることにつながる」と認めたが、保守期限が迫っていたこともあり、同時に入れ替えた。2台のRCは互いに補完し合う仕組みを設けて障害に備えていたものの、同じソフトの不具合からバックアップできなかった。

更新した金融機関のうち障害を起こさなかった3行は、銀行間手数料のチェックをRCではなく自行で計算する体制だったという。

1000超の金融機関が接続する全銀システムは1日平均13兆円の送金に利用されている重要な金融インフラだ。1973年の稼働以来、一度も大きな障害を起こしたことがなかった。

全銀システム「本体」は常に東阪で2セットずつ計4セットを同時に動かすバックアップ体制をとっている。複数のシステムを並走させているため、全滅しない限りサービスは止まらないとされる設計だ。

しかし、本体と銀行の接続部分であるRCが不具合を起こせば、本体のバックアップ体制が万全でも対象行は接続できなくなる。RCのプログラムで障害が起きた。

ある加盟行の幹部は「中継部分はみな細心の注意を払っている。ここでなぜ問題が発生したのか」と疑問を呈する。連休中の更新について、実装や試験のやり方に問題がなかったか、今後検証が求められることになる。

今回、復旧までに丸2日かかった。一般的にはプログラムの更新時に問題が発生した場合に更新前の状態に戻す応急対応もあるが、「14行で元に戻す作業よりも、プログラムを改修する方がリスクが小さいと判断した」(全銀ネット)という。手数料を全て「0円」で計算して簡素化するプログラムに修正し、送金を正常化した。

もっとも、これは応急措置だ。11日夜の記者向け説明会で全銀ネットは「真因がわかっていない」と説明した。根本原因の特定と解決に至っていないことに加盟行では不安も募る。

情報が二転三転

情報発信も二転三転した。障害初日の10日夕は当初、「受け付け済みの振り込み取引は本日中の着金を予定している」と発表。ただ、数時間もたたないうちに発表文を削除した。新たな発表文では「本日中」の文言が消え、「着金」という言葉は「処理を実施している」に変わった。関係者によると、加盟行などからの反発があったという。

10日夜の説明会では10日に処理できなかった送金は11日に処理すると説明したが、11日の夜の説明会の時点で49万件が残っていた。こうした経緯から全銀ネットの危機管理能力に疑問の声もあがる。

全銀ネットは資金決済法上の資金清算業者で、全国銀行協会の副会長兼専務理事が理事長をつとめる一般社団法人だ。10人いる理事のうち9人は全銀協加盟銀行の頭取や社長が名を連ねる。寄り合いの組織ゆえに復旧に向けたリーダーシップが欠けた面は否めない。金融庁幹部は「全銀協のガバナンスの問題でもある」と指摘する。

50年間、安定稼働を続けたシステムだけに、いざ顧客に影響が出る障害が起きた時の備えができていたのか、検証が必要となる。

NTTデータは「本格対処に向けて全銀ネットと鋭意対応を進める」とコメントした。

金融庁はすでに金融機関と全銀ネットから報告を受けているが、追加で報告を求めることも検討しており、再発防止を求める方針だ。

【関連記事】

・全銀ネット復旧、三菱UFJ銀行などで振り込み可能に
・三菱UFJ銀、二重送金解消の手数料免除 全銀ネット障害

多様な観点からニュースを考える
※掲載される投稿は投稿者個人の見解であり、日本経済新聞社の見解ではありません。

佐藤一郎のアバター
佐藤一郎
国立情報学研究所 教授
コメントメニュー

ひとこと解説 情報システムの耐故障性は専門なので、コメントしておきます。

記事中「RC(中継コンピューター)は各行2台ずつ備わっているが、2台とも障害を起こした。」

だが、2台による多重化は、独立に発生するハードウェア故障対策であり、2台が同じソフトウェアを動かしている限り、①ソフトウェアに不具合、または②2台のコンピュータと通信する外部システムに問題があれば、2台とも障害を起こします。

記事では片方ずつ更新すれば障害リスクを下げられる点に言及していますが、今回のようにその2台は片方の障害時にもう片方が処理を肩代わりすることを考えると、同時更新しかない場合が多く、全銀ネットの更新作業が不適切とはいえないはず。

2023年10月13日 9:22』