東証のシステムはバックアップが役に立たないことが最大の問題だ

有地 浩

東京証券取引所(写真AC)

1日、東証のシステムがダウンして取引が終日停止した。2日には一応無事にシステムが稼働を再開したが、金融庁は日本取引所と東証に対して障害の原因やシステムの管理体制について報告徴求命令を出した。

この原因については既に様々なメディアで報じられているが、私なりに何が一番問題か、何を改善すべきか考えてみた。

今回のインシデント(重大事象)の原因は2つの部分からなる。最初の原因は銘柄名や基準値段などの基本的な情報を格納する2つあるディスク装置の1つが故障したことだ。そして、2番目の原因はこのディスク装置が故障した際に、バックアップ用のもう1つのディスク装置への切り替えができなかったことだ。

この2つの原因のうち、後者のバックアップへの切り替えができなかったことが、今回のインシデントの最も重要な部分だ。

読者の方もよくご存じかと思うが、ハードウェアであるディスク装置は結構壊れるものだ。何しろ超高速回転しているディスクにデータを書き込んだり書き出したりするのだから、装置に大きな物理的な負担がかかっていることは間違いない。

私たちのパソコンでもたまにディスクは壊れる。私も以前使っているパソコンのディスクがクラッシュした経験がある。

東証のディスク装置は私たちのパソコンのディスク装置よりも圧倒的に強度は高く作られているだろうが、ハードウェアである以上壊れる可能性はゼロにはならない。そして壊れる可能性が少しでもあるのであれば、「ネバー・ストップ」を合言葉に市場の安定的な運営を心掛けてきた東証としては、ディスク装置の故障を想定した上で、バックアップ体制を整えておくべきだし、そうしたつもりだっただろう。

しかし今回バックアップ機能は全く働かなかった。故障したディスク装置からバックアップ用のディスク装置に自動的に切り替えができなかったからだ。

なぜ自動的に切り替わらなかったのかについては、プログラムにバグがあるかどうかなど、今後の調査が必要だが、今回自動的に切り替わらなかったとき、東証のシステムは手動で切り替えられなかったのだろうか。

東証は、1日午前7時4分には1号機のディスクの故障を知っていたのだから、9時に場が開くまでに時間的な余裕があり、2号機に自動的に切り替えることができなかったことがわかった時点で、直ちに手動で2号機への切り替えができたはずだ。

そもそも切り替えは自動的に行うので手動という選択肢はなかったのだろうか。もしそうであれば設計段階での見通しが甘すぎると言わざるを得ない。

また、もし手動で切り替えられるが、何かの理由で故意に切り替えなかったのであれば、その理由についてよく検討して、それに対する解決策を考える必要があるだろう。

手動切り替えをしなかった理由はいろいろ考えられるが、参考までに私自身の約10年前の経験をお話すると、私が以前働いていた会社でも、多数の顧客から時々刻々送られてくるデータを処理する基幹システムが突然停止したことがあった。

当時その会社のシステムは自動的にバックアップ・システムに切り替わるのではなく、手動で切り替える方式だったが、会社のITの責任者は、システムダウンが長引き顧客からの問い合わせや苦情が殺到する中で、バックアップ・システムに切り替えるかどうか、迷いに迷ったと聞いた。それは当時のシステムでは、バックアップ・システムに切り替える際に顧客側の対応も必要で、それ次第では、一部の顧客がシステムにアクセスできなくなったり、システムとのデータのやり取りに齟齬が出る懸念があったからだ。

不幸中の幸いで、バックアップ・システムに切り替える前に本来のシステムの再起動に成功して、その会社のシステムの切り替えはせずに済んだ。

東証のシステムがどのようなものか詳細は今後さらにわかるだろうが、もし多数の証券会社とシステム的につながっていることがバックアップの足かせになっているのであれば、何とかしてその足かせを外す手立てを講じる必要があるだろう。

いずれにしても、東証はソフトウェア会社と一体となって、バックアップ・システムへの切り替えができなかった原因の究明と解決策を早期に策定しないと、この次障害が発生したときに、またバックアップ機能が働かないことになる。