NCニュースの読み方 #14 「ソフトウエアの二重化を検討すべき」 （2005年11月21日）

　東京証券取引所は11月1日、売買システムが正常に立ち上がらないという
障害が発生したために、午前中の全銘柄の売買を停止した。この3日後、今
度は名古屋証券取引所で相場報道システムに障害が発生し、午前中の取引が
中止された。証券取引所のシステム障害は以前にもあったが、今年は特に多
い。ジャスダック証券取引所に至っては、システム障害によって3回も取引
を一時中止している。

　言うまでもなく、我々の社会の情報システムへの依存度はますます高まっ
ている。電力やガス、水道などのライフラインはもちろん、鉄道や飛行機の
運航管理、金融機関も、もはや情報システムなしにはサービスを提供できな
い。したがって情報システムに何らかの障害が発生すれば、生活に大きな影
響が出る。人命にかかわる事故につながる可能性も否定できない。

　重要なシステムには、重大な事故を回避するためにさまざまな対策が取ら
れている。例えば、情報システムに異常があっても手作業でサービスを継続
できる仕組みを作っておいたり、システムを二重化するなどだ。二重化とは、非常時に備えて回線を余分に引いておくとか、予備のシステムを待機させておくといった対策である。

　しかし、システムの二重化には落とし穴がある。それは、ハードウエアの
障害には有効だが、ソフトウエアの欠陥が原因でおきる障害には有効ではな
いこと。実際、2003 年3月に起きた航空管制システムの障害が、そのケース
だった。原因は、飛行計画情報処理システム（FDP）のバグにあったのだが、ホットスタンバイしていたコンピュータも同じソフトを使っていたために、同じ障害で停止してしまい、結局、合計215便が欠航、1500便以上が30分以上の遅延というトラブルになってしまった。
こうした事態を避けるため、停止が

　許されない重要な情報システムの場合、ソフトウエアの二重化を検討すべきである。つまり、同じ機能を持ったソフトを完全に別に作成し、バックアップのシステムの一つは、このソフトで準備しておく。

　実例はある。米航空宇宙局（NASA）のスペースシャトルを制御するコンピ
ュータ・システムだ。PASSと呼ぶ、通常利用するソフトとは別に、BFSと
呼ぶ別のソフトを用意している。BFSは、PASSに潜在する不具合によって
システムに異常が生じた場合に備えたもので、バックアップ用コンピュータ
の１台にインストールされている。BFSの開発は、PASSの開発企業とは別の
企業が担当しており、両社の開発チームは接触することも、互いのコードを
参照することも禁止されている。

　もちろん、ソフトウエアを二重化すれば、開発コストは倍増する。しかし、ソフトウエアの欠陥をゼロに近づけようとすればするほど、欠陥を取り除くコストは大きくなり、しかも欠陥がないことを証明することは事実上不可能なことを考えれば、ソフトウエアの二重化は検討に値する。