資料 1 事例から学ぶ IT サービスの高信頼化へのアプローチ 2015 年 12 月 4 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 加藤均 Copyright 2015 IPA, All Rights Reserved Softw

Size: px

Start display at page:

つかささだい
4 years ago
Views:

1 資料 1 事例から学ぶ IT サービスの高信頼化へのアプローチ 2015 年 12 月 4 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 加藤均

2 ~ 目次 ~ 1. アプローチの背景 2. 教訓集 2014 の紹介 ( 教訓ダイジェストを使用 ) 3. 教訓の共有活動のすすめ 2

3 1. アプローチの背景 2. 教訓集 2014 の紹介 ( 教訓ダイジェストを使用 ) 3. 教訓の共有活動のすすめ 3

4 １ソフトウェアの複雑性が増大している 100万LOC 情報処理システムのソフトウェアは製品サービスの多様化高度化に伴う複雑化大規模化等が進展 Microsoft Windows 成長の足あとコード量 ( 100万 LOC) システム４０ ISS(国際宇宙ｽﾃｰｼｮﾝ１０スペースシャトルエンデバーＷｉｎ 3.1 (1990) Ｗｉｎ NT (1995) Ｗｉｎ 95 (1997) Ｗｉｎ NT4.0 (1998) Ｗｉｎ 98 (1999) Ｗｉｎ NT5.0 (2000) Ｗｉｎ 2000 (2001) Ｗｉｎ XP (2002) データ出所 EXPLOITING How to Break Code by Greg Hoglund/Gary McGraw) 4

5 2. インフラシステム間が相互依存し複雑化相互依存の事例 ( 災害時 ) インフラシステムは相互に依存し, システム間のネットワーク連携による複雑化が一層進展 < 出典 > 片岡正次郎, 鶴田舞, 小路泰広 : 重要インフラ間の相互依存構造のモデル化と地震被害波及シミュレーション, 国総研資料第 510 号, 国土技術政策総合研究所 ( 国総研 ), 平成 21 年 2 月. 5

6 3. 重要インフラシステム障害の発生確率と影響度大影響度インフラシステム障害生物多様性損失と生態系崩壊財政危機水危機気候変動サイバー攻撃失業不完全雇用異常気象所得格差重要インフラのシステム障害はサイバー攻撃に比べ発生確率は小さいものの万が一発生したときの影響度はより大きい発生確率大 < 出典 > Global Risks 2014 Ninth Edition, the World Economic Forum Figure 1.1: The Global Risks Landscape

7 4. 脅威 ( 要因 ) の類型と今回のスコープ IT 障害を引き起こす脅威 ( 要因 ) としては, 意図的要因 ( 情報セキュリティ関連 ) と非意図的要因 ( システム障害関連 ), 災害等がある. 高信頼化対策の対象 < 出典 > NISC: 重要インフラの情報セキュリティ対策に係る第 2 次行動計画 7

8 5. 過去の情報処理システムの障害事例ひとたびシステム障害が発生した場合, 社会に及ぼす影響範囲が拡大し, その深刻度も増大過去の事故事例 ( ソフトウェア起因 ) 新幹線運行管理システムの障害 (2008 年,2011 年 ) 銀行オンラインシステムの障害 (2011 年 ) 株式売買システムの障害 (2012 年 ) レンタルサーバーのデータ消失 (2012 年 ) 人身事故経済事故 Therac-25による放射線過剰被爆事故 (1985~87 年 ) エアバス A320 の墜落事故 (1988~93 年 ) 名古屋空港で中華航空機が着陸に失敗炎上 (1994 年 ) 携帯情報端末の発熱 - 実はソフトの不具合 (2009 年 ) 電子カルテシステムの不具合 (2010 年 ) 8

9 6. 昨年度発生した主なインフラシステム障害 ( 報道 ) 4/7 日本生命査定システム障害 4/22 三井住友銀行 ATM 障害 4/25 八十二銀行 ATM 障害 4/30 三菱東京 UFJ 銀行自動送金サービス障害 6/5 JAL 重量バランスシステム障害 6/25 スカパーシステム障害 8/4 世田谷区役所システム障害報告が公開された場合にも, 情報はあまり詳しくなく, 参考とはなりにくい. 個人的なルートで情報を入手しても, 共通の教訓として役立てられない. 9

10 7. インフラシステムの障害の増加とその理由現状 ( 教訓の共有なし ) 重要インフラ等社会社会経済活動に悪影響を与えた IT 障害の発生件数 ( 月平均報道ベース ) 信頼性製品機器 / ITサービス (A 社 ) 対策実施教訓 A 原因分析対策検討信頼性製品機器 / ITサービス (B 社 ) 対策実施教訓 B 原因分析対策検討信頼性製品機器 / ITサービス (C 社 ) 障害障害障害対策実施教訓 C 原因分析対策検討障害の増加にかかわらず対応は当事者ごとに実施され類似の障害が発生している増加傾向出典 : SEC Journal 第 40 号 (2015 年 3 月発行 ) 10

8. 多発する類似のシステム障害処理量の増大に対する対処遅れアフラックの障害 (2013.4.4) 一部の保険料金が 4 月から上がるのに伴い 3 月末に駆込みの契約が増えたために処理量が増大みずほ銀行の障害 (2011.3.15~3.

20) スマートフォンの急激な普及により通信量が増大し設備の容量を超え通信しにくい状況が発生別の障害も誘発二重化システムでの待機系切替え失敗日本生命 (2014.

11 8. 多発する類似のシステム障害処理量の増大に対する対処遅れアフラックの障害 ( ) 一部の保険料金が 4 月から上がるのに伴い 3 月末に駆込みの契約が増えたために処理量が増大みずほ銀行の障害 ( ~3.24) 東日本大震災義援金の受付けが携帯電話を利用した送金サービスの口座に集中し夜間バッチの件数が上限を超過長期間にわたりサービス停止 NTT ドコモの障害 ( , 12.20) スマートフォンの急激な普及により通信量が増大し設備の容量を超え通信しにくい状況が発生別の障害も誘発二重化システムでの待機系切替え失敗日本生命 ( ) ディスク障害が発生した後バックアップシステムへの切替えに失敗し査定システムが停止個人保険に係る保険金給付金の支払い事務に遅延 KDDI( ) メール送受信サービス障害の解消後新システムへの切替え中にエラーが発生現行システムに切り戻し中に過負荷となりサービス停止東京証券取引所 (2012.2, ) 富士通データセンター (2012.6) 住信 SBI ネット銀行 (2011.9) 気象業務支援センター (2009.3) NTT 東日本 ( ) JR 東日本 (2008.9) 11

12 9. 教訓の共有で障害を削減する障害に基づく教訓の共有による信頼性向上のしくみ重要インフラ等社会より高い安全安心な製品機器 /IT サービスの提供社会経済活動に悪影響を与えた IT 障害の発生件数 ( 月平均報道ベース ) 信頼性製品機器 / ITサービス (A 社 ) 対策実施信頼性製品機器 / ITサービス (B 社 ) 信頼性製品機器 / ITサービス (C 社 ) 障害障害障害対策実施対策実施減少させる事例を原因分析対策検討し一般化抽象化普遍化した教訓を体系的に整理する出典 : SEC Journal 第 40 号 (2015 年 3 月発行 ) 12

10.IPA の製品制御 IT サービスの研究会で教訓集を作成参画企業等トヨタ自動車 ( 株 ) 日産自動車 ( 株 ) 日本電気 ( 株 ) ( 株 ) 日立製作所三菱電機 (

日立産業制御ソリューションズ三菱電機メカトロニクスソフトウェア ( 株 ) ( 株 ) 富士通コンピュータテクノロジーズオムロンソーシアルソリューションズ ( 株 ) アイシン

制御システム高信頼化部会 > [ 教訓数 ] 28 件国民生活や社会経済基盤に関わる障害情報を収集参画企業等 ( 株 ) 三菱東京 UFJ

フジテレビジョン ( 株 ) クロスウェーブ ( 株 ) オリジネィション日本大学内閣官房情報通信技術総合戦略室 ( 一社 ) 日本情報システムユーザー協会

13 10.IPA の製品制御 IT サービスの研究会で教訓集を作成参画企業等トヨタ自動車 ( 株 ) 日産自動車 ( 株 ) 日本電気 ( 株 ) ( 株 ) 日立製作所三菱電機 ( 株 ) 横河電機 ( 株 ) 富士電機 ( 株 ) 矢崎総業 ( 株 ) アイシン精機 ( 株 ) 日本電気通信システム ( 株 ) ( 株 ) 日立産業制御ソリューションズ三菱電機メカトロニクスソフトウェア ( 株 ) ( 株 ) 富士通コンピュータテクノロジーズオムロンソーシアルソリューションズ ( 株 ) アイシンコムクルーズ ( 株 ) 北陸先端科学技術大学院大学九州大学会津大学 ( 一社 ) 組込みシステム技術協会 ( 一社 ) 電子情報技術産業協会製品制御システム分野 < 製品制御システム高信頼化部会 > [ 教訓数 ] 28 件国民生活や社会経済基盤に関わる障害情報を収集参画企業等 ( 株 ) 三菱東京 UFJ 銀行日本生命保険相互会社東京海上日動火災保険 ( 株 ) ( 株 ) 日本取引所グループ東京電力 ( 株 ) 東日本旅客鉄道 ( 株 ) KDDI( 株 ) ( 株 ) フジテレビジョン ( 株 ) クロスウェーブ ( 株 ) オリジネィション日本大学内閣官房情報通信技術総合戦略室 ( 一社 ) 日本情報システムユーザー協会収集した情報を分析し対策を検討 [ 教訓数 ] 27 件 < 重要インフラ IT サービス高信頼化部会 > 2015 年 8 月末時点普遍化取りまとめ製品制御システム編情報処理システム高信頼化教訓集 (IT サービス編 / 製品制御システム編 ) 2015 年 3 月末公開 13

14 1. アプローチの背景 2. 教訓集 2014 の紹介 ( 教訓ダイジェストより ) 3. 教訓の共有活動のすすめ 14

15 サービスやシステムのお手元のパンフレットを御覧ください信頼性を高めるための教訓集 ITサービス 2014年度版ダイジェスト編製品制御システム編独立行政法人情報処理推進機構 IPA 技術本部ソフトウェア高信頼化センター SEC

サービスシステム高信頼化への対策経験を共有しみんなの力で IT 社会の安全安心を築くしくみ私たち IPA は国民生活や社会経済基盤を支える情報処理システムの信頼性向上を目標とし以下の活動を行っていますシステムの障害事例情報の分析や対策手法を整理体系化してこれから導かれた教訓を作成する教訓を業界

16 サービスシステム高信頼化への対策経験を共有しみんなの力で IT 社会の安全安心を築くしくみ私たち IPA は国民生活や社会経済基盤を支える情報処理システムの信頼性向上を目標とし以下の活動を行っていますシステムの障害事例情報の分析や対策手法を整理体系化してこれから導かれた教訓を作成する教訓を業界分野を越えて幅広く共有し類似障害の再発防止や影響範囲縮小につなげる仕組みを構築する教訓を分野横断で共有するため障害情報や教訓の共通様式と公開に際しての機密保持などのルールを取りまとめる類似障害の再発防止に向けシステム開発や運用管理の継続的なプロセス評価改善手法を取りまとめる今回はこれに際してとりまとめた教訓集をご紹介します対象分野の例

17 サービスシステム高信頼化教訓集 IT サービス編 P4 IT サービスを担う情報処理システムにおける主としてソフトウェアに起因する障害関連情報を収集しそれらの分析や対策手法の整理体系化を通して得られる教訓をまとめました教訓はガバナンスマネジメントに関する教訓と技術に関する教訓の 2 つに分類していますガバナンスマネジメントに関する教訓一覧技術に関する教訓一覧教訓の例教訓集の普及展開 ( 展示会やセミナー ) P4 P6 P10 P11 製品制御システム編 P12 交通機関や電気水道の制御など製品に組み込まれた機器の制御を行う製品制御システム ( 組込みシステム ) の障害情報を収集分析しそこから得られた経験やノウハウを教訓集にまとめました各教訓は類似障害の未然防止を目的に他製品他産業領域への活用も可能なものにするため分析から対策までを含めた未然防止知識の形に整理し抽出された直接原因や真因は観点マップとして整理しています教訓一覧未然防止知識事例観点マップ P12 P14 P18

18 INFORMATION ソフトウェア高信頼化センター (SEC) の取り組み重要インフラ分野のシステム障害への対策障害事例を分析し未然防止策を社会で共有する仕組みを作ります詳しくは下記 URLをご参照ください情報処理システム高信頼化教訓集(ITサービス編) 2014 年度版下記 URLからダウンロードできます情報処理システム高信頼化教訓集( 製品制御システム編 ) 2014 年度版下記 URLからダウンロードできますお問い合わせ独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 東京都文京区本駒込文京グリーンコートセンターオフィス16F [TEL] [ ] sec-prt@ipa.go.jp [URL]

19 教訓集 2014WEB ダウンロード時のアンケート (607 件 ) 19

20 教訓集 2014WEB ダウンロード時のアンケート (607 件 ) 20

11. 教訓を類似障害へ適用すると二重化システムでの待機系切替え失敗を予防したい KDDI(2013.

縮退運転の場合でのピーク時性能は日常の監視の中で想定し必要に応じてシステムを見直す対策 8>

切替え縮退運転の性能要件 ( ピーク時 ) は設計時に明確にする JR 九州 (2013.7.

システム全体にトラブルが波及対策 11> 本番稼働に近いテスト環境を用意し OS

21 11. 教訓を類似障害へ適用すると二重化システムでの待機系切替え失敗を予防したい KDDI( ) メール送受信サービス障害の解消後新システムへの切替え中にエラーが発生現行システムに切り戻し中に過負荷となりサービス停止 [ 教訓 T7] バックアップ切替えが失敗する場合を考慮すべしの対策を実施する対策 7> バックアップ切替え後縮退運転の場合でのピーク時性能は日常の監視の中で想定し必要に応じてシステムを見直す対策 8> 本番稼働に近いテスト環境を用意し性能 ( 負荷 ) 確認が行えるようなツールを作成する対策 9> 切替え縮退運転の性能要件 ( ピーク時 ) は設計時に明確にする JR 九州 ( ) 列車進路制御装置の外部記憶装置の交換により情報のやり取りに不具合が発生しシステム全体にトラブルが波及対策 11> 本番稼働に近いテスト環境を用意し OS ミドルウェアのバージョンアップ時の動作確認と性能 ( 負荷 ) 確認が行えるようなツールを作成する対策 12> 冗長化を実施する場合すべての機器 ( 単体機器または密結合の機器 ) が冗長化されていることを常に点検する 21

22 12. 今回の教訓化の 3 つの特長 1 共有グループ ( 部会 ) 活動では一定の守秘ルールのもとに実際の現場における事例を収集複数事例のシステム障害対策の比較や分析など掘り下げた議論検討を実施 2 これまで約 10 年間にわたり産学官の連携のもとに蓄積されたソフトウェアエンジニアリングの幅広い知見を基礎として普遍性一般性のある教訓未然防止策を導出 3 各分野の有識者や専門家のご参加のもと多様化複雑化する事象を分析検討成果は産業分野を超えて活用可能な教訓としてとりまとめセミナー等を通じて普及活用を促進 22

23 13. 教訓共有でこんなメリットがある教訓集の活用によるメリット 1 さまざまな分野での経験から得られた教訓 ( 開示レベル : 公開用 ) の中から自社に適用可能なものを見つけ活用することができる情報共有の仕組みへの参加によるメリット 1 情報共有のグループ ( 教訓化過程 ) への参加により公開教訓より深い情報 ( 開示レベル : グループ内限り ) が得られる 2 自社の事例情報に対する有識者や他分野の専門家等からの意見や教訓化 ( 抽象化 ) の議論を通した気づきが得られる 3( 分野間の共有により ) 他分野の方々とも交流が深まる 23

24 1. アプローチの背景 2. 教訓集 2014 の紹介 ( 教訓ダイジェストを使用 ) 3. 教訓の共有活動のすすめ 24

25 14. 各産業分野で教訓の共有活動を推進中共有活動の例展開 (1) 障害事例から得られた教訓の共有活動の実施 1WG など共有の場における意見交換 2 電子掲示板メーリングリスト等を活用した適時の情報共有 (2) 関心テーマに関する勉強会やセミナーの開催 (3) 業界内での教訓の活用 1 未然防止に向けた自組織の運用ルール等の見直し 2 障害事例から学ぶ IT 人材教育 (4) 業界内での検討により得られた新たな教訓の提供 25

26 15.WG など共有の場における意見交換 1 情報通信分野 ITA( 情報サービス団体 ( 加盟 18 社 )) との協業で障害再発防止策研究会が平成 26 年に発足しシステム障害情報の教訓化の仕組みを団体内に構築し活動開始 IPA の IT サービス高信頼化部会において ITA が活動状況の報告を実施活動の成果は ITA の Web サイト上で ITA 情報処理システム障害事例集として公開され IPA のウェブサイトから URL リンクによる連携を実施 ( 平成 27 年 1 月 28 日 ) ITA の研究会は平成 27 年もシステム高信頼化研究会と改称して活動を継続事例タイトル発生フェーズ原因フェーズ品質作りこみのために暗黙知や職人芸は期待しない過信は怪我の元 1 - 手順書に見えない部分あり過信は怪我の元 2 - 連携先の怪我も事前手当過信は怪我の元 3 - 記憶は不確か明記は絶対過信は怪我の元 4 - 自己満足に陥らない周囲の意見を大切にレビューに勝る品質向上策なし運用保守設計 7 同じ構文でも環境が変われば結果は異なる製造計画 8 機能変更は過去データへの影響を配慮せよ運用保守設計 9 設計はシンプルに! 設計設計 10 過剰な品質管理は品質劣化を招く設計設計 11 ユーザ検証時の仕様変更は当たり前結合システムテスト要件定義 12 遅れ始めたプロジェクトに人を投入しても遅れを拡大させるだけ製造契約 13 自分で考える - 顧客やプライム SIerの言うことを鵜呑みしない設計計画要件定義 14 スコープ増大 - 現場当事者では気づかない場合あり上層部の監視も重要導入納品計画 15 チェックリスト - 過去に痛い目にあった経験を共有する手段運用保守結合システムテスト 16 ポカヨケ -ミスを誘発しない手順を担当者の経験を考慮して文書化する運用保守運用保守 17 オペミス撲滅 - 詳細な手順チェックリストペア作業運用保守システムテスト運用 18 密なコミュニケーション - 顧客満足度の高いシステム構築への鍵結合システムテスト要件定義設計 19 業務精通者のレビューは必須と心得よ運用保守設計 20 システム運用設計は現実の業務量を想定してシミュレーションすること運用保守要件定義 Copyright IPA, All Rights Reserved 26

16. 電子掲示板を活用した情報共有 2 行政 ( 自治体 ) 分野東京都特別区電子計算主管課長会にて障害情報の共有の意義が理解され情報共有を行うことが決議 ( 平成 26 年 11 月 6 日 ) 会議にて本取組みに対する必要性重要性についてシステムの障害は小さなものならば日々発生している委託管理の視点から情報共有には意味がある

27 16. 電子掲示板を活用した情報共有 2 行政 ( 自治体 ) 分野東京都特別区電子計算主管課長会にて障害情報の共有の意義が理解され情報共有を行うことが決議 ( 平成 26 年 11 月 6 日 ) 会議にて本取組みに対する必要性重要性についてシステムの障害は小さなものならば日々発生している委託管理の視点から情報共有には意味がある業者が既知の問題を捉えているかというチェックを行うことができる短時間でもシステムが止まれば区民を待たせることになる他区の事例や情報を共有しリスクを回避する必要があるなどの意見 < 仮想的なオンライン情報共有グループ > 世田谷区で試行運用中 ( 区電算課長会リスク回避教訓生かし各区が共有 ) 2014 年 11 月 18 日 ( 都政新報社 ) 障害情報新聞報道より Copyright IPA, All Rights Reserved 27

28 17. メーリングリストを活用した情報共有 3 電力分野電気事業連合会と協議し情報共有の取組みに賛同する 8 組織を中心にメーリングリストを使用した情報共有を行うことで合意 ( 平成 27 年 2 月 19 日 ) 参加意思表示は 8 組織電力 IT の情報共有グループに利用登録された方へお送りしております電力 IT 情報共有グループ第 3 号電力 IT の情報共有グループご参加のみなさま IPA/SEC 目黒達生 INDEX 年下期の報道されたシステム障害 2 電力分野における過去の類似障害当メールでは独立行政法人情報処理推進機構技術本部ソフトウェア高信頼化センターを IPA/SEC と表記します年後半に報道されたシステム障害 IPA/SEC でまとめている最近報道されたシステム障害 (2014 年後半 (7-12 月 )) が SEC ジャーナル 40 号に掲載されましたまずは IPA/SEC からの障害共有情報を電力業界に絡めて編集し情報提供から実施共有の意義を醸成してから各社からの情報発信を期待情報システムの障害状況 2014 年後半データ (P.44~P.47) 本文では 2014 年 7 月から 12 月に報道されたシステム障害一覧を掲載していると共に以下の 2 点の障害パターンについて解説しています 1 処理能力を超える大きなトラフィックが突発的に発生報道 2 件 2 保守作業に伴って発生した事例報道 3 件 Copyright IPA, All Rights Reserved 28

29 18.IPA からのご提案みなさまと同じ業界分野でグループを作りそこで教訓集を作成し類似障害の撲滅を目指しませんか IPA/SEC が支援いたしますメリット他社での障害を自社で発生させないことができる教訓化することでシステムの保守運用のノウハウの継承に役立つ人材育成に役立つ IPA/SEC では定期的に演習セミナーを実施しています別途業界向けセミナーも行います 2015 IPA, All Rights Reserved 29

2016 IPA Software Reliability Enhancement Center 2 ~ 目次 ~ アプローチの背景教訓集 2015 の紹介 ( 教訓ダイジェスト追加した教訓サンプル ) 教訓の共有活動のすすめ

システム障害事例の分析と教訓の共有 (IT サービス編 ) ~ 教訓の共有による情報システム類似障害削減の提案 ~ ET/IoT2016 ブースプレゼン 2016 年 11 月 16 日,18 日独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 三縄俊信 2016 IPA Software Reliability Enhancement Center 2016

資料 1 事例から学ぶ IT サービスの高信頼化への アプローチ 2015 年 12 月 4 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 加藤均 Copyright 2015 IPA, All Rights Reserved Softw

資料 1 事例から学ぶ IT サービスの高信頼化へのアプローチ 2015 年 12 月 4 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 加藤均 Copyright 2015 IPA, All Rights Reserved Softw