読んでみた：金融機関のシステム障害に関する 分析レポート

どうも、イケてるIT品質管理です。

金融庁から「金融機関のシステム障害に関する分析レポート」の最新版がリリースされました。このレポートは令和元年版からはじまり、毎年6月末にリリースされています。過去3年分を比較しながら読んでみました。

令和元年版（集計期間 2018.7～2019.3）

「金融機関のシステム障害に関する分析レポート」の公表について：金融庁

主な障害傾向として以下の点が挙げられています。
【業態共通】
・サードパーティに起因する障害（新たなサードパーティリスクへの対応）
・レガシーシステムにおける有識者不足に起因する障害
・システム統合・更改に関する障害
・取引量増加に起因する障害
【業態固有】
・暗号資産交換業者における障害
・資金移動業者等における障害
・金融商品取引業者（ネット証券会社）における障害

業態共通に記載された内容は、金融系IT経験者にとって真新しさは無い内容でしょう。業態固有に「暗号資産交換業者」は、ちょうこの頃は暗号資産（仮想通貨）の最初のブームが起きていたので取り上げられていますが、発生しているシステム障害そのものに固有性は無いようです。

令和２年版（集計期間 2019.4～2020.3）

IT・サイバーセキュリティの取組みに関するレポートの公表について

障害傾向から「業態」の切り口が無くなりました。
・サードパーティを含む新たなリスクに関する障害
・レガシーシステムにおける有識者不足等に起因する障害
・システム統合・更改に関する障害
・取引量増加に起因する障害
・[New] 新型コロナウイルス感染症の影響に関する障害
・[New] サービス継続等に関する障害
・[New] 過去の大規模イベントに基づくシステム改修に関する障害
・[New] 自然災害の影響に関する障害
・[New] データセンター・回線に関する障害

継続して記載されている４点は、やはり金融系ITにとって永遠のテーマですね。ちなみに私は「有識者」という曖昧で便利な言葉が非常に嫌いです（笑）。

新たに記載された５点を見ると、この期間が色々盛りだくさんだったことが分かります。「過去の大規模イベント・・・」は改元・10連休や消費税率変更を指していますが、思ったより深刻なシステム障害はなかった印象です。新元号が３文字だったらどうする？とか、ちょっと懐かしい。

令和３年版（集計期間 2020.4～2021.3）

「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」の公表について

障害傾向の表現方法が過去２年と変わりました。
・システム統合・更改に伴い発生したシステム障害
・プログラム更新、普段と異なる特殊作業などから発生したシステム障害
　- 作業影響の検討不足
　- 設定ミス・作業の誤り
・日常の運用・保守等の過程の中で発生したシステム障害
　- サードパーティの提供するサービス等の要因
　- 冗長構成が機能しない障害（ハードウェア・回線等）
・サイバー攻撃、不正アクセス等の意図的なもの
　- 本人確認の設計に係る事案）
　- クラウド事業者等の提供するサービスのセキュリティに係る事案

表現が変わっているだけで継続している内容が多いですが、新規性があるのは２つ。「プログラム更新、普段と異なる特殊作業から発生したシステム障害」「サイバー攻撃、不正アクセス等の意図的なもの」です。前者は、内容を読んでいただければわかりますが、みずほ銀行の一連のシステム障害のことです。作業ミスという意味では、他社でも起きうる内容と思います。

事例集は宝の山（？）

このレポートは「障害傾向」「今後の金融庁の取り組み」「事例集」で構成されています。一番読むべきは「事例集」だと思います。社名非公開とはいえ実際に起きた話なので、やや抽象的な内容ではあります。

とはいえ、例えば最近頻発したsalesforce障害への対応には、「サードパーティーが提供するサービスの障害によるサービス提供不可」の事例がヒントになるかもしれません。読んでてお腹が痛くなる副作用もあります・・・。

ではまた！