令和4年度における具体的なシステム障害の事例

　前回は、金融機関とシステム障害について金融庁の調査結果や、講じている対策、求めているメッセージなどを紹介した。

　とりわけ金融庁が慎重視しているのが、金融機関のシステム統合である。仮に移行時に大規模障害などが生じれば、金融機関経営そのものに甚大な影響を及ぼすだけでなく、利用者たる顧客利便を著しく損なうためだ。

　また、レガシーシステムで新たな機能追加を行い実稼働させた直後に勘定系システムが障害により停止したケースも確認されている。

　こうしたケースでは事前のテスト工程が十分でなかったことを原因に、コーディングされた新プログラムの不具合を見過ごしたり、あるいは、新たに追加した機能が発端となり他の既存機能に影響を与える可能性が炙り出されていなかったことが考えられる。

　金融庁では、こうした障害の原因として、「旧システムの仕様に係る理解不足」や「テストケース不足」などを挙げている。背景にはレガシーシステムの仕様に精通した内部人材が高齢化などにより社外に転出したことに加え、「経営陣における現場実態の把握不足がある」と指摘しているのが特徴的だ。

　内部監査部門としては、プロジェクト特性に基づいたプロジェクト管理態勢が整備されているかどうか、さらに、レガシーシステムの仕様を誰が把握しているのか、IT人材は十分に確保されているのかどうかといった人的・組織的対応力の評価に加え、各工程におけるテストケースが不足していないか、といった観点で確認を行う必要がある。

　さらに、過去の事例では、システム統合の進捗状況やリスク評価に関する子細な状況が必ずしも正確に経営層に伝わっていなかった例も確認されており、経営層の認識について監査役などを通じ、取締役会での報告状況やリスクの認識について確認しておくことが望ましい。

プログラム更新時における設定ミスに起因するシステム障害

　新たなプログラムを導入する際や、既存システムに用いる基盤ソフトウェア（PP）のアップデート時において、本番環境のシステムにおける設定ミスなどに起因するシステム障害が複数報告されている。

　報告されている原因の中では、「製品導入時におけるシステム機器の仕様に係る確認不足」のほか、「設定変更箇所の洗い出しの漏れなどによる設定ミス」が挙げられている。こうした単純な設定ミスが、結果的にATM などでの取引に影響を与えるなど、重大な障害を招いている。

　本質的にはいかに設定ミスを防止するかが課題となるが、内部監査部門としては、「あらかじめ定めていた作業目的や業務要件を正しく作業手順に反映しているか」「本番環境の実態に即したテストの実施有無」を確認することが必要だ。

　金融庁は、現場での「作業の誤りが発生しない仕組み」を整備することなどにより、「システムの設定作業の品質を向上させることが課題」としている。

　とりわけ、頻繁に人事異動がみられる金融機関では、プロジェクト進行中の人事異動などのタイミングには特に注意が求められる。そこで、人事異動などで担当者を変更した場合には、改めて「ノウハウの引き続きができているか」といった点を中心に確認する必要がある。

【次ページ】「金融庁が求める」金融機関がとるべき対策まとめ