【時事ネタ】金融機関のシステム障害 金融庁が分析レポートを公開（2024.06）②

先日、金融庁が「金融機関のシステム障害に関する分析レポート」を公表した。
第２部になります。

４．2023年度まとめ３（日常の運用・保守等の過程の中で発生したシステム障害）

①冗長構成が機能しない等の障害
　ハードウェア障害が発生し、副系への切り替えに失敗してアプリ等が利用できなくなった。
　勘定系システムとAPIを接続するためのシステムでハードウェア障害が発生し、副系への切り替えに失敗してアプリ等が利用できなくなった。
　冗長構成が意図どおりに機能するよう実効性の確保や、冗長構成が機能不全を起こすような不具合のパッチ適用の必要がある。

②システム障害発生時の復旧に関する不芳事案
　サーバーの処理能力が一時的に低下し、スマートフォン等による決済等サービスが利用不可となる障害が発生した。
　現状復旧を優先したため原因の特定に至らず、再度同様の不具合を発生させた。
　インシデント対応態勢の整備や、障害原因を早期特定するため、予め障害事象の原因分析に必要な情報の把握、情報取得手段の確保の必要がある。

③記憶領域の確保不足による障害
　サーバーの処理能力が一時的に低下し、アプリ等による決済等のサービスが利用不可となった。
　取引処理が利用する記憶領域が不足していた。
　記憶領域の確保に係る設定については、十分な確認や検証が必要である。

④取引量増加に起因する障害
　キャンペーン等によって顧客の利用が集中し、処理能力が不足した。
　そのため、決済アプリへのログイン不可や QR コード等を用いたチャージ及び決済が行えなかった。
　顧客の利用量増加を踏まえたシステムの処理能力設計に係る品質強化や、システムの処理能力の事前検証による実効性の確保が必要である。

５．2023年度まとめ４（プログラム更新、普段と異なる特殊作業等から発生したシステム障害）

ATMがサービス開始時間になっても起動せず、全ATMが長時間にわたって利用不可になった。
手順書に無い項目を担当者の判断で実施した。
作業手順書の確認強化や作業実施体制の強化を行う必要がある。

６．感想

サイバー攻撃は、件数が少ないが、被害が非常に大きくなる。
今後、各企業でも最重点ポイントとなるのではないかと思います。
複雑化していく中で、セキュリティ人材の育成と規定の整備／遵守が、
非常に難しいです。
セキュリティ人材の価値が当面高くなりそうですね。

一方、その以外の課題は、ヒューマンエラーに関連する部分が多く、
正直０に近づけるのは難しいと思っています。
発生した際に被害を最小限にする仕組みを構築することで対応していく必要があると感じました。

今回は、まとめに入れませんでしたが、事例集が付属されていました。
参考になるものも多くありました。
気になる方は、レポートを参照ください。

「金融機関のシステム障害に関する分析レポート」の公表について

最後までありがとうございました。