有効期限切れのシステム 岡森利幸 2008/9/20
R1-2008/10/4
以下は、新聞記事の引用・要約。
|
毎日新聞朝刊2008/9/15 一面・社会面 全日空システム障害、63便欠航、影響5万人。 14日未明、全日空のコンピューターシステムに障害が起き、全国の空港のカウンターにある端末を使った搭乗手続きができなくなった。 端末情報を管理するシステム(サーバー)内の日付を管理する機能に何らかの障害が起きたと見られ、この機能を停止することで、正午前に復旧した。全日空は端末管理サーバーに障害が生じたと見ているが、原因については「わからない」(全日空の技術担当者)と繰り返すばかりだ。 |
|
毎日新聞朝刊2008/9/19 社会面 全日空は18日、端末を稼動させるための暗号化された認証用データの有効期限切れになっていたことが原因だったと発表した。有効期限を延長せずに放置していた「初歩的な人為的ミス」と言い、同社は関係者を処分した。 全日空によると、05年9月に管理サーバーを導入した際、電子データの有効期限を3年後の「08年9月14日午前1時44分」と設定。07年9月から実際に電子データを使用し始めたが、有効期限の確認作業を怠ってきたという。 |
コンピューターシステムの障害で、秋の連休の日曜日、日本各地の空港で終日大混乱になった。その原因が、認証用データの有効期限切れだったのだから、なんとも、お粗末なシステムであり、管理体制であることか。
でも、システムの障害の原因は「そんなもの」だ。ほんのささいなことから起こる。それでいちいち処分されていたら、システムなどを設計するものがいなくなってしまうかもしれない。(開発業務をしていた私など、処分されるようなことを何回もやった。ミスの数は仕事の量に比例するものだろう。)
今回の場合、14日未明に発生した障害なのに、一日中、原因がさっぱりわからなかったことが一番の問題だろう。正午に復旧したといっても、「悪さをしている」サーバーを止めただけだ。問題のサーバーの表示装置に「認証不可」というような、なんらかのエラーメッセージが出ていたはずだ。ただし、認証不可の理由を示す「有効期限切れですよ!」という親切なエラーメッセージが表示されなかったようだし、有効期限が切れることを前もって警告するような「しくみ」になっていなかったようだ。親切なメッセージでなかったとしても、すこし優秀な技術者であれば、「認証不可」の表示を見て、有効期限のことを瞬時に思い浮かぶはずだ。つまり、原因をすぐに突き止めることができるような技術者が全日空に一人もいなかったことになる。
セキュリティーを万全なものにするために、つまりシステムのプログラムやデータが不当に書き換えられたりするのを防ぐために、暗号化された認証データ(パスワードのようなもの)を設定する。その有効期間を定めることは、コンピューターシステムの常識的なことだ。万が一、認証データが解読されたときのことを想定している。
3年後にその認証データを更新あるいは有効期限をさらに延長しなければならないといったことが、担当者間で伝わっていなかったようだ。認証データについて一番よく知っていたのは、開発に携わった技術者だろう。しかし、彼らは、システムを構築して運用に入れば、もう不要の存在として担当から外され、次のプロジェクトに回されてしまうのが一般的だ。このシステム開発を担当した技術者の大半は、派遣された人たちだったかもしれない。その際に、運用に必要な情報を、運用の担当者にきちんと申し送っていなかった可能性がある。それが書面に残されるなどして、きちんと行われたと仮定しても、担当者は、もう運用に入ったら、すべて「機械」任せにして、ボーとしていたのだろう。認証データのことは、すっかり忘れてしまっていた。「機械」に任せっきりでいると、人は怠慢になるのだ。それに、データを下手に更新したりすると、システムのトラブルになりやすいものだから、さわり(触り、あるいは、障り)たくないという心理もあったのもしれない。
おそらく、このサーバーは二重化されたシステムで、一方がダウンしてももう一方で運用を肩代わりするようにはなっていたと思うが、先任の開発者は、後を任せた運用の担当者がボーとして有効期限を更新しなかったことを想定し、一方のサーバーの認証データの有効期限を一日ずらすなどの工夫をしてほしかった。あるいは、有効期限など設定しないほうが、「安全」だったようだ。すべて自動化され、重要な認証データが暗号化されたシステムに、3年に一度、忘れた頃に、当てにならない(不確実な)人間の操作を必要としたのは、落とし穴を作ったようなものだろう。
大相撲の大麻騒動