システム障害の要因は「システムにある」とは限らない
岡本:ここ最近、国内外で重大なシステム障害が立て続けに発生しており、テレビや新聞などのマスメディアでも報道が相次いでいます。2024年7月には、とあるソフトウェアのアップデートを機に、世界的なシステム障害が発生しましたね。IT業界で長年こうした問題と向き合ってきた五十嵐さんは、近年頻発しているシステム障害を見てどのように感じていらっしゃいますか。
五十嵐:今やシステム障害は、単なる社内でのインシデントにとどまらず、その影響範囲が容易に国境を越えるようになったことを実感しています。そして、障害に対する備えをもう一度見直さなければいけないのではと。
ここ最近で報道されているような企業だって、何かしらのシステム障害対策は講じていたはずです。しかし、たとえば冗長化の仕組みを何パターンも準備していたとしても、予期せぬところで障害が発生してしまえば、その仕組みがうまく機能しない可能性があります。それを踏まえたうえで、皆さんの企業は果たして“確実に機能する仕組み”を構築できているかどうか……。
つまり、システム障害対策を発生させないための対策も重要ですが、発生してしまった時の対策を、最悪のシナリオも想定しながら十分に考えておくことの重要性を感じます。
岡本:最近の事例だと、とある大手の食品会社で基幹システムに障害が発生したことで、事業や経営が一時ストップしてしまうような事件がありましたね。それが食品会社だっただけに、私たち消費者の中にもその影響を感じた方が多かったことでしょう。
五十嵐:システム障害は、もはやIT関連部門だけの問題ではありません。企業全体で考えるべき問題です。売上低下やブランド毀損などにつながる可能性がありますからね。これはまさしく「経営の問題」であり、経営層も自分ごととして意識すべきでしょう。
岡本:障害の要因も、ITシステムだけにあるとは限りませんからね。
五十嵐:おっしゃるとおりです。もちろん、ハードウェアやソフトウェアの設計、テスト不足、環境に起因して発生する障害や、サイバー攻撃による障害もありますが、設定ミスなどの人為的な要因だって考えられます。あるいは、もっと組織的な要因、たとえば人手不足やコミュニケーション不足、組織体制、IT部門やベンダーへの丸投げ体質などが障害の引き金となる可能性もあります。これらを現場の力だけで解決するのは困難です。
岡本:近年ではランサムウェアの被害が拡大していることもあり、サイバーセキュリティのリスクとシステム障害が一緒くたに扱われているケースもよく目にします。
五十嵐:サイバー攻撃によってシステムの機能不全が招かれることもありますから、混同はやむを得ない場合もありますね。ただ、一概にITシステムといっても、その領域や機能は様々ですから、どのシステムをどう守るのか詳細に考えなくてはなりません。
たとえば「データ保護」に着目するなら、いかにデータを継続的に利用可能にするか、元の状態に復元できるかなどを考えておく必要があるでしょう。また、「業務処理能力の維持」に着目するならば、コンピューティングリソースやアプリケーションをどう保護していくか考える必要があります。
岡本:この時も、対策をそれぞれの担当者に任せきりにしたり、担当領域ごとに細分化して考えたりするのではなく、組織横断的に考えていくことが大切ですよね。
五十嵐:そうですね。まずは組織全体で大きな視点を持ち、自社の資産などで「守るべき対象は何か」を明確にすべきでしょう。次に、「それを守るには何が必要か」を考えます。ここで初めて、セキュリティ対策やシステムの冗長化、データのレプリケーションなどといった、現場での具体的な課題や解決策が見えてくることでしょう。
岡本:今年は、災害対策(DR:Disaster Recovery)やIT-BCPへの関心も非常に高まっていると感じます。年始に発生した能登半島での地震や、夏に発出された南海トラフ地震臨時情報など、それを加速させるような出来事も起こっています。
五十嵐:IT-BCPやDRへの注目度が一気に高まったのは、2011年の東日本大震災の時でした。そこから十余年を経て徐々に世間の関心が薄れてきていた時期もあったと思いますが、直近で再び自然災害のリスクが高まり、危機管理への意識も再燃していますね。