「想定外のシステム障害」は必ず起こる――東証の対応から、企業が今のうちに学べること“東証レベル”の対応ができる企業は少数派、という現実(1/2 ページ)

2020年10月1日に発生した東証のシステム障害をきっかけに「もしも同じような状況に置かれたら、果たして自分たちはどこまで対応できるのか」と自問自答したIT担当者やCIOは多いだろう。想定外の障害が発生しても冷静に対応するために、今回の事件から何を学べるのか。

» 2020年10月27日 08時00分 公開

この記事は会員限定です。会員登録すると全てご覧いただけます。

 システム障害が発生したとき、企業はどのように対応すべきか――。2020年10月1日に発生した東京証券取引所(以下、東証)の会見を見ながら、自社の危機管理体制を見直したIT担当者は少なくないだろう。

 システム障害や情報漏えいは決して対岸の火事ではない。自分が当事者になったとき、適切に対応するためには、どのような準備と心構えが必要なのか。今回の東証の事件から、起こり得る障害に備えてわれわれは何を学ぶべきか。専門家に話を聞いた。

あの日、何が起こったのか

 東証は2020年10月1日午前8時ごろ、システム障害により、全銘柄の売買を終日停止する判断を下した。同日夕方に行われた記者会見で東証は、株式売買システム「arrowhead(アローヘッド)」に障害が発生し、フェイルオーバー(バックアップへの切り替え)も失敗したことが原因だと発表した。

 会見には宮原 幸一郎社長の他、東証を傘下に持つ日本取引所グループ(JPX)の横山隆介氏(CIO:最高情報責任者)、川井洋毅氏(執行役員)、東証の田村康彦氏(IT開発部トレーディングシステム部長)が出席。会見は質疑応答も含めて2時間近くにおよんだ。

 会見で宮原氏は「社会インフラを預かる責任を痛感している」と謝罪した。東証は再発防止に努める意思を明らかにし、富士通はその後、フェイルオーバー失敗の原因として、一部のマニュアルの記載が正しく変更されていなかったことを発表した。

 障害発生の把握から約90分後に売買の終日停止を決定し、同日中に会見を実施した東証の姿勢には、一部の専門家から評価の声が上がった。

社会が目を背けがちな「止まらないシステムはない」という現実

ニュートン・コンサルティングの内海 良氏(出典:ニュートン・コンサルティング)

 企業の全社的リスク管理(ERM)や事業継続計画(BCP)など、企業のリスクマネジメントやコンサルティングを手掛けるニュートン・コンサルティングの内海 良氏(執行役員 兼 プリンシパルコンサルタント)は「(障害の)対応は『リスクマネジメント』と『クライシスマネジメント(危機対応)』の両輪で考える必要があるが、東証の対応はクライシスマネジメントの側面から見て最善だった」と評価する。

 リスクマネジメントとは、組織の存続や事業継続が危ぶまれるリスクが発生する前に、リスクを回避する対策を指す。一方、クライシスマネジメントとは、インシデントが発生した非常事態の際に、被害を最小限にするための対策を指す。

 クライシスマネジメントの観点から東証の対応をなぜ評価できるのか。内海氏は、以下のように語った。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ