2020/3/17

「情報セキュリティ10大脅威2020」を読み解く
~予期せぬIT基盤の障害に伴う業務停止とは?~

  • このエントリーをはてなブックマークに追加

独立行政法人 情報処理推進機構(以下 IPA)より、「情報セキュリティ10大脅威2020」(*)が発表されました。内容を確認すると、10大脅威のうち「予期せぬIT基盤の障害に伴う業務停止」が昨年16位から大きく順位を上げています。そして、「予期せぬIT基盤の障害に伴う業務停止」以外はすべて、昨年も選定された脅威が並んでいます。

(*)「情報セキュリティ10大脅威 2020」:
2019年に発生した社会的に影響が 大きかったと考えられる情報セキュリティにおける事案の中から、予めIPAが選定した32の脅威候補を情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーで構成される「10大脅威選考会」が審議・投票することにより、決定したランキングです。「個人編」と「組織編」があります。 ( 参考: https://www.ipa.go.jp/about/press/20200129.html


当コラムでは、昨年の16位から今年6位にランクアップした「予期せぬIT基盤の障害に伴う業務停止」について、脅威の背景や対策を考えてみたいと思います。「予期せぬIT基盤の障害に伴う業務停止」以外の脅威の背景や対策については、関連記事『「情報セキュリティ10大脅威 2019」を読み解く』をご参照ください。




「情報セキュリティ10大脅威 2020(組織編)」




目次:



2019年の大規模障害事例(国内)

世界規模で見れば毎年何らかの大規模障害が発生していますが、2019年は日本国内でも大規模障害が多数発生しました。主な障害事例は以下の通りです。

①大手クラウドインフラサービス事業者 2019年8月
報道によれば、2019年8月23日昼頃から約10時間にわたり、東京近郊のデータセンターにおける冷房装置の故障により、大規模なシステム障害が発生しました。大手コーヒーチェーンではポイント機能が使用停止になり、QRコード決済サービス会社は一日限定の大幅還元日に決済処理が出来なくなりました。大手衣料品通販サイトではログインや購入ができななくなるだけでなく一部店舗にも影響が及びました。ソフトウェアをクラウド経由で提供するSaaS型の名刺管理サービスも利用できなくなるなど、障害により30社以上のサービスが影響を受けました。

②大手クラウド業務用ソフト提供事業者 2019年11月
報道によれば、2019年11月19日、メールシステムやチャットなど、複数のサービスがつながりにくい状態になる大規模障害が、日本、インド、オーストラリアを含むアジア太平洋地域で発生しました。原因はスパム対策を目的とした通信設定更新作業だったのではないかと考えられています。

③大手電力会社グループ 2019年11月
報道によれば、2019年11月23日、無停電装置を外したまま電源設備更新作業を行ったことにより、約7秒間電源が停止し、データセンターを利用する約260社のシステムが影響を受けました。大手カード会社では、クレジットカードの借り入れや、QRコード決済の利用ができなくなりました。

④大手SIベンダー 2019年11月
報道によれば、岐阜県内35自治体からシステム運用受託している大手SIベンダーのデータセンターで、無瞬断切替装置の作業中にUPS(無停電電源装置)が停止したことによって電力供給が止まり、28自治体が住民票や印鑑証明、納税証明の発行ができなくなりました。



2019年の大規模障害事例(海外)

IT基盤の大規模障害は、海外でも毎年のように発生しています。
例えば2019年6月には米国大手検索サイトのクラウドサービスが、米国東部で大規模障害を発生させ、メールサービス、動画共有サービス、検索サイト、ファイル共有サービス等が利用できなくなりました。障害の原因は、特定リージョンのグループに適用するはずだった設定変更を、誤って別リージョンの多数のサーバーにも適用してしまったためと発表されています。(※1)

2019年7月には、大手SNSサービス提供会社が保有する、SNSアプリ(チャット、メッセージ、写真共有)において、北米、欧州を中心に、画像や動画ファイルが送受信できなくなる大規模障害が発生し、復旧までに約9時間を要しました。同様の障害は2019年3月にも発生しており、サーバーの設定変更が原因であったと発表されています。(※2)



IT基盤の障害に伴う業務停止の対策は?

今やクラウドの活用範囲は広がりつつあり、米モルガン・スタンレーによると、世界の企業データの2割強がクラウドで処理されています。(※3)
こうした状況において、いつ発生するのか分からない障害を恐れて、クラウド利用を捨てオンプレミスにサービスを戻すのは現実的ではありません。

一方で、クラウド活用が進むにつれ、企業や組織の業務に対して、大規模障害時の影響が及ぶ範囲が拡大しています。また、クラウド事業者が障害からサービス復帰した後に、システム復旧に手間取るケースも増えてきており、クラウド利用企業や組織は、クラウドの大規模障害を見据えて、複数拠点でのバックアップ運用を含む事業継続計画(BCP)の策定(改訂)や、データ復旧等の障害訓練を定期的に行う事が重要だと言えます。



参考:
※1 ■グーグルが大規模障害の原因など説明
https://japan.zdnet.com/article/35138018/
※2 ■FacebookとInstagramの大規模障害、原因はサーバーの設定変更
https://www.itmedia.co.jp/news/articles/1903/15/news066.html
※3 ■Microsoft「Office365」連日の障害 通信設定に問題
https://www.nikkei.com/article/DGXMZO52388470Q9A121C1TJ2000/  



■関連ソリューション:

DNPマネージドホスティングサービス(クラウド)
DNP柏データセンター



■関連記事:

「情報セキュリティ10大脅威2019」を読み解く
標的型攻撃による被害
ビジネスメール詐欺による被害
ランサムウェアによる被害
サプライチェーンの弱点を悪用した攻撃の高まり
内部不正による情報漏えい
サービス妨害攻撃によるサービスの停止・IoT機器の脆弱性の顕在化

人気の記事