システム障害のリスク管理 (日銀がアンケート調査を公表)


11月25日に日銀Webサイトに掲示された「金融機関におけるシステム障害に関するリスク管理の現状と課題」という調査論文です。

http://www.boj.or.jp/type/ronbun/ron/research07/ron1011a.htm

全ての大手銀、地銀、第二地銀と28信金を含む173行の回答をとりまとめ、システム障害管理の状況と予防策、障害発生時の対処策のポイントをまとめています。対象システムは、勘定系オンライン・システムでIB、FB、全銀接続、営業店システムを含みます。調査内容は、以下6項目です。

1.   システム障害の発生状況と要因

2.   システム障害の予防策

3.   システム障害発生時の対応

4.   システム障害発生後の分析

5.   システム障害・情報セキュリティ侵害対策への経営陣の関与

6.   システム障害等の対策を推進するうえでの課題

同様の調査は、近年、社団法人日本情報システム・ユーザー協会(JUAS)が調査し、「企業IT動向調査」として発表しています。JUASの場合は、会員企業へのアンケート調査ですが、回答金融機関数は、銀行・保険・証券・信販あわせて70前後もあります。対象システムが基幹系だけでなく周辺システムも含んでおり、結果数値が混在してしまうのが残念です。日銀調査ですと、ほぼ全金融機関から、的を絞った調査内容に対し、正確な解答が得られます。システム信頼性対策では、金融業界が全産業でも突出して高いレベルにありますが、他産業から参考となる施策等を得るためにも、JUAS報告書と合わせて日銀調査を吟味すると良いでしょう。

日銀調査結果についてですが、詳細は日銀サイトをご覧頂くとして、主な傾向を羅列してみます。

1.   2007年度1669件から2009年1053件と対外的に影響のあったシステム障害件数は大幅に減少している。その主な原因は業務アプリと電源等対外要因による障害が大きく減っていることにある。

2.   予防策に関してこの3年間で強化された主なものは、品質管理態勢、工程終了時のレビュー、稼働判定である。これだけで、アプリによる障害件数が290件も減るとは思えないが品質管理の枠組みとその忠実な実施が極めて効果的であることを実証している。

3.   経営者の関与状況については、予想以上に経営トップの関与の度合いが高い。委託先経営陣との会議に出席する経営トップが10%以上も存在することは驚きである。金融庁監督指針が後押しする効果かもしれない。このテーマは悩ましいところであり、経営トップに全く関与されないのも、細かいことに口出しされるのも現場からすれば困る。トップ、CIO、現場が話し合って線引きするほかなかろう。

4.   障害対策推進上の課題として、19項目があがっている。際立って大きな課題が「システム数の増加による運用負担の増大である。」この問題は一般産業でも同様であり、仮想化技術が広く普及しつつある背景でもある。二番目の課題が「外部委託の拡大によるブラックボックス化とプロパー要員のスキル低下」で三番目が「コスト制約等によるシステム開発要員のタイト化」と人的資源の問題が大きく指摘されている。

金融業界が他産業と比較して大きな特徴となる点が、高信頼性であり外部委託比率の高さです。この二点は、ある意味で相互依存の関係にある。品質管理に十分な態勢を整備できない金融機関が共同化や外部専門企業に委託すれば、品質が上がります。ソフト等の資源もより使いこむことにより安定化し、冗長化等のコスト負担も容易となります。逆に、共同システムで障害が多発すれば、システム信頼性指標は一挙に劣化するが、幸いにしてこうした例は出ていません。今後を見る上で注意すべきが、二番目の課題「外部委託によるブラックボックス化とプロパー要員のスキル劣化」の弊害が、いつ頃、どのような形で、どの程度の問題を引き起こすかです。今は慢性病の状態ですので、経営トップには現実的問題として認識されていませんが、経営の時限爆弾であることは間違いありません。それとも爆発する時に、引退していれば良しという問題なのか。

JUASの「企業IT動向調査」は毎年のように調査内容を充実させており、(もっとも、このことは経年変化を見たい時に若干困るのだが。)信頼性だけでなく、今年は、予算、投資評価、組織、人材、開発、運用、ハードウェア、リスク管理、ビジネス革新、経営環境変化への対応と幅広な調査を行っている。残念ながら金融業界に関するこうした継続的調査はありません。日銀もFISCも、それだけの人的、コスト的負担に耐えられないし、民間調査機関では十分な回答数を確保できません。金融機関としては、この日銀調査結果を自社とのベンチマークに利用し、システム考査におけるチェックリストとして使うことになります。

個人としては、アカデミックな分析研究が目的でなく実務的に考えるのであれば、調査結果から、自分なりにファクト・ファインディングをし、他の情報や知見と合わせて、自社或いは顧客のITに関する課題と解決策を仮説として整理しておくことをお奨めします。必要な時に引き出して、説得力ある説明が可能となります。