「注意すべき観点」に基づいた
障害事例を分類する狙い
・ 障害発生パターンの全体像を
一覧できる
ようにして、読者が詳細を確認したいと考え
た事象に、すぐにたどり着くようにしたい
全体像の
理解
・ 詳細な事例内容を読込まなくても、
短い時間
で障害事例のポイントや全体像を理解で
きるようにしたい
・ 「注意すべき点」の体系に沿って教替を昀示することで、教替の真意をより深く理解し、
様々な現場に応用
できるようにしたい
読者の
追体験
・ 障害の表面的な発生原因や発生影響ではなく、「注意すべき点」を強調することで、
読者自身が
過去事例を追体験
できるようにしたい
分類の特徴
①
注意すべき観点に基づいた分類
障害内容には多種多様な分類方法(業種別、工程別、発生箇所別、原因別、影響別等)
が考えられますが、読者に気づきを与える「注意すべき観点」に基づいて分類しました。
バッファの上限を超えた
システムの上限値を超えた
・・・・・・・・・・・
・・・・・・・・・・・
・・・・
・・・・・・・・・・・
・・・・・・・・・・・
・・・・
・・・
・・・
例:許容値超過に関連する障害
許容値超過に関係する
障害が比較的多い
個々の障害事例を再分析した上で、読者が
教替を得るために有効と考えられる部分を抽出
業務要件変更時のしき い値不変更
しきい値超過の不検知
意図しな い事象によるしき い値超過
試験信号の無制限連続送信
シス テムエラーの無制限連続送信
大量業務処理時のログ肥大化
アクセス 集中時のログ肥大化
監視強化によるログ肥大化
設定許容値の超過
しき い値超過
無制限連続送信
分類の特徴
②
分類名称のキーワード化
分類名称を短い単語に集約しつつ、読者が「なるほど」、「ありうる」と問題を追体験で
きるようなキーワードを選定しました。
負荷分散装①のセッシ②ン③が設定値の
1/4
とな
る「④様」のため、応⑤⑥⑦が⑧下
例⑨
「負荷分散装①の⑩能不足」
「
感覚と“なる設定値
」
”ートウェイ設定の指示書でパラメータをローマ
字で記載しており、これを誤読した結果、電話
コールが“なる拠点へ転送された
例2
「入力ミス」
「
誤解を生む作業指示
」
なお、それぞれの事例については、キーワードだけでなく発生事象の概況を短文(
50
文字程⑦)で
成果物の全体構成
大分 類
中分類 小分類 No. 詳細 分類 事例 番号
事例 における障 害発生 内容 主要な対 策 【 参考 】 企業等 名称 ( 報道 事例の み) 発注 者 開発 PM
アプリインフ ラ
運用 共通 フレーム 該当箇 所 1事業部門の要件定義不参加 G1
事業 部門によ る要件 確定が遅く、 要件変 更も多く 、要件の 設計への反映も正 確 に確認でき て いなかった
アプリケーシ②ン・オーナー制⑦ による 各事 業部門 の「 態勢」 の構築
◎◎◎ 2 .2 .2 利害関 係者の識別 2発注者の要件定義不参加 G2
注文 処理の 取消不可等、基本的な④様 に大き な 漏れがあることがシステム 本 稼働 後に判明
要件 定義と受入テス トの 発注者 責任
明確 化、開発 プロセ ス 標準の見直し ◎◎◎ 2 .2 .2 利害関 係者の識別 3システム 運用部門の要件定義不参加 G3オペレ ータ操作に関する運用要件検討 が不十分で 、運用 担当者の作業ミスが
多発
運用 者が要 件定義に参加 ◎◎ ◎ 2 .2 .2 利害関 係者の識別 4 1 7 0 3
電力 需要の 計画と実績 の過不 足量(インバランス ) 算定時 に、本来 計算に加え る必 要がある値( 域外 分)が欠落 。全国 的な事業 者の精算取引に影 響した プログラム の修 正等
北海道電力託送 業務シス テム(及び中部電力) ◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 5 1 7 0 4
ス マ ートメーター設① の顧客には振込用 紙郵送を行わな いという 判定 条件を漏 らして 設計し、該当顧 客に振込 用紙を重複 送付して しまった
設計 もれに対する社 内組織間の役割 分担 明確化 、マ ネジメント強化
中部電力料金請 求シス テ
ム ◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 6通常外処理のもれ T5加算 を主体とした業務 処理(使用 料計算 ) で減算処 理が発 生し、誤請求を行って
しまった
サービスの視 点で 見渡 した変 更管理 ◎ 2.4.2 ソフトウ ェア要件定 義プロ セ ス 7処理対象の時点誤り 1 4 2 5
高額 療養費 は診療月時点での 世帯単位で計算する必要 があるが 、世帯変 更が あった 世帯に対 して 変更 後の世 帯で 計算 して しまい、計算 結果の誤りが発生( 対策 について は言及 な し)
国民健康保険共 同電算シ ス テム ◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 8ありえな いはずの条件の実 在 1 4 1 9
1 ,0 0 0 件連続 で 「データなし」を処理終了 とする④ 様に対して 実データで当該条 件
が発 生したた め、後段 の送金処理が未 完了とな った ( 対策 について は言及 な し) 三菱東京U FJ銀行 ◎
2.4.2 ソフトウ ェア要件定 義プロ セ ス 9変③名の誤記 1 7 0 5条件 分岐処 理において 、区分 を示す変③を入れ るべき場所 に名称 を示す変③を
入れ てしまい、分岐が 機能せず、臓器移 植患者の待機日 ③計算を誤った
旧シス テム との比較検 証等 日本臓器移植ネ ット ワーク 患者検索システム
◎ 2.4.5 ソフトウ ェア構築プロセス 10システム 連携時刻の不整合 T1 3システム間の 連携タイミングに1 5 分間の 差“があり、処理 に矛盾が 発生
システム全体 で のウォークス ルーレ ビュー
◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 11キー項目 の不整合 1 5 2 7
匿名 化のた めキーとなる IDを暗号化したが 、元データに全角 、半角 等が混在して いたた め暗号 化後の ID での突合 がで き な くな った ( 対策 について は言及 な し)
厚生労働省メタボ健診シス
テム ◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 12設計外処理の想定もれ T3列車 出発後 にも誤って 制御信 号が出続けるという想定外事象が発生 し、後続 列
車が 自動停 止して しまった
設計 された動 き だけで な く、新しい動き を追加 登録する「知識 データベース」 化
◎ 2.4.2 ソフトウ ェア要件定 義プロ セ ス 13送信不能時のエラー表示誤 り 1 7 0 7
電子 申告の システム に予想以 上のアクセ スが集中 した際 に、受付 が未完了で あるに もかか わらず「送信完了」 と表示 されるケ ースがあり、事後対 応に苦慮 し た
システムの負 荷上限 の拡大、利用者 への 注意喚 起等
地方税電子化協 議会 電子 申告・納税 シス テム ◎
2.3.3 システム 方式設計プロセ ス 14無操作“常の不検知 1 4 3 1運転 士の一 定時間無操作を検知 する④ 組みで自 動列車 制御による減⑥も誤っ
て 測定し、本来 の“常 検知を行えていな かった
( 対策 について は言及 な し) JR東日本 非常ブレーキ ◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 15メッ セージ重複による 不検知 T2 6流用 開発時 に同一の ジ②ブ完了 メッセージを重複 作成したた め、不整 合が発 生まるごとコピ ーではな く、 一意⑩ 担保に
注意
◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 16抑制信号停止による誤検知 1 2 3 1
発信 用サーバに定期的に受信 していた通 行止め情報が途 切れた 際に復旧 した と誤判断し、通行止め解除のメ ールが誤 って自動送信された
( 対策 について は言及 な し) 中日本高⑥道路 交通情報 サイト
◎
2.3.3 システム 方式設計プロセ ス 回復 時処理 の想定 もれ 17通信障害からの回 復失敗 1 3 0 6
サーバ間通 信に一時 的な通信 障害が発生した際に 、通信 が回復してもサービ ス を開始でき な いという不具合が顕在化 ( 対策 について は言及 な し)
大阪証券取引所 売買シス
テム ◎ 2 .6.3 修正 の実施 18送信テス トの未実施 1 5 4 1市民 向けの緊 急⑥報 メールで 、市民を対象とするため送信テス トを実施してい な
かった が、⑨年半後に通信でき な いことが判明
( 対策 について は言及 な し) 福島市緊急⑥報 メール ◎ 2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 19負荷テス トの未実施 1 5 0 6
地震 発生時 のメールサービス が運用5年 目に初めて実使用された 時に、メ ール サーバに過負 荷がか かりメール 配信が 遅延 ( 対策 について は言及 な し)
徳島県牟岐町防 災サービ
ス ◎
2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 20開発元のテストに対 するレ ビュー不足
( → 「 拙 ⑥ な パッ チ 適用 」 に 入れ る ? )
T2 8パッケ ージソフトウェアの修正( アップデート)に伴って混入 したバグの 影響によ り、システム停 止が発 生
開発 元の全 修正箇所に対するレ ビューおおよび回帰テス トの実 施
◎ 2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 21 1 4 0 5
改札 機に対して 消費税 改定を想定したテスト実 施後にデータの戻し修正を怠り、 利用 者から料 金を過剰 に収受 した
( 対策 について は言及 な し) 京成電鉄IC カードシステム ◎
2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 22 1 0 1 3
テス トデータの削除を忘れて バッチ処理 を実行したため、残高証明書 の発行 手
③料 を二重に引き落 としてしまった ( 対策 について は言及 な し) 南都銀行システム ◎
2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 23テスト時の システム 日付の本番残存 1 4 0 9
消費 税改定 を想定したテス トで 、1台のバ スのみ誤 って 日付 を1 日早 くセットし、
消費 税改定 1 日前から増税後 の運賃を徴収した ( 対策 について は言及 な し) 京急バス 運賃シス テム ◎
2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 24テスト時の ログ出力 設定の 残存 1 2 1 5システムテス ト中にログを詳細 に出力する設定としたまま、それを修正せずに本
番運 用を行い、 カード発 行処理 が大幅に遅延
( 対策 について は言及 な し) 法務省入国管理 局 在留 カード 等発 行システム
◎ 2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 25移行作業完了の誤認 1 6 9 4
住民 データの移行時にシス テム が一時 停止したが 、「 終了 」 と表示 されたた め作 業完 了と誤認。住民へのカード郵 送が滞 った ( 対策 について は言及 な し)
J- LIS マ イナンバ ーカード管 理シス テム ◎
3 .1 .3 業務及びシス テム の移 行 26移行データのマ ッチング誤り 1 5 0 2データ移行時 にミス があり、住民 票の「 個人の住定日」を記載すべき 位①に「 世
帯の 住定日 」 を記載して しまった
( 対策 について は言及 な し) 大阪市住民基本 台帳シス テム
◎ 3 .1 .3 業務及びシス テム の移 行 27自動切戻し機能の 意図せぬ発動 1 1 0 8不具 合発生 時に自動 で 切戻す設定での テスト実施 中に、偶 発ハード 故障が 発
生。業 務ピーク時に切戻し処理 が発生し輻輳状態 に陥った 。
システム切娕 判定処 理の娖適化等N TTドコモ シス テム ◎ 2.3.3 システム 方式設計プロセ ス 28対応完了事象に対する切娕 再発動 1 1 0 8
待機 系切娕 判定ソフトをオフにした障害 対応の後、オンにした判定 ソフトが 直近 履歴 を基に処理遅延中と判断 し再⑦待 機系に切り娕え て しまった
切娕 判定ソフ トが故障履 歴を参照しな
いよう に修正 N TTドコモ シス テム ◎ 2.3.3 システム 方式設計プロセ
ス 29正常稼働時の障害メ ッセ ージ誤発出 T1ミド ルウェア・O Sの潜 在バグで稼 働系が 障害との誤 ったメ ッセージが出され、稼
動系 と待機系 の両方 が誤って稼 働し、処理に不具 合が発 生
停止 コマンド の送信等、フェールソフト ( 自系 &他系 &手動)の 対策の 追加
◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 30軽微事象で の障害 メッセージ発出 1 3 0 2軽微 な“常( 通信ログを予備系 にリアルタイム コピ ーする機能の遅延)を重大な
“常 と誤報して しまい、サービス の全面 停止が発生
( 対策 について は言及 な し) KD DI au LTEサービス ◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 31 G4
メモリコント ローラの障 害時に、現用ノ ードが実質的 には停 止して いたが不完全 な 停止状態で あった ため障害 メッ セージを発出で き なかった 。
運用 部門によ る主体 的なシステム状
態の 確認 ◎ 3 .1 .4 シス テム運用 32 T2 3
ス イッチのキャッシュメモリ故障 時に不完 全停止となり障害 メッセージが発生 せ
ず、障害を検知 できな かった 複③ 観点か らの監視 機能追加 ◎ 2.3.3 システム 方式設計プロセ
ス 33待機系で のパラメータ設定誤 り T7待機 系への ソフトウェアパラメータ設定を怠り、待機 系が起 動しな かった 保守 運用で のパラメータ確認、障 害替
練
◎ 2 .6.3 修正 の実施 34待機系で のファイル不足 G1 1
保守 作業で の設定ミス で待機系 側に必要 ファイルが存在 せず、障害 時に切娕 失敗
重要 なシス テム は、設定 の作業 指示
書も優 先的に確認 ◎ 2 .6.3 修正 の実施 35待機系で のパスワード設定も れ 1 6 4 0運用 手順書 に誤りがあり、稼働 系のみパスワードを変更し待機系のパス ワード
を変更 せず、データ同期時にエラーが発 生
( 対策 について は言及 な し) 横浜市住基ネット ◎ 2 .6.3 修正 の実施 36 T2 3
2つの監視機 能(DB 同期、自ノ ード監視 ) が偶然 重複したた め、待機 系切娕 用 の娖 後のD B サーバまで が停止
監視 機能の 組み合わせ確認とテスト 実施
◎ 2.4.4 ソフトウ ェア詳細設 計プロ
セ ス 37 T2 02つのte ln e t接続( 障害 情報収 集、自動 監視)が競 合し、無限ループが発生
システム全体 を俯瞰する鳥の目の対 策 機能 追加時 のリス ク発見と共有
◎ 2.4.4 ソフトウ ェア詳細設 計プロ
セ ス 38故障時のネットワーク輻輳の 想定もれ T2ハード ディス クの故障 で 「リセット 通知」 が出続け、処理渋 滞で一部 の通信が途
切れ 、制御監 視端末 からの系 切娕えが 行えな かった
停止 制御によ る系切 娕を他装 ①からも で き るようにした
◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 39故障時のエラーメッセ ージ発生の想定も
れ
1 0 0 7ディス ク装① 故障によりシス テム がダウ ンした際 にエラーメッセージが大量に発 生し、連携先 のシス テム もダウ ンした
( 対策 について は言及 な し) ゆうちょ 銀行シス テム ◎ 2.3.3 システム 方式設計プロセ ス 40サイレン ト障 害( N W⑩能劣化の不検 知)T1 1
負荷 分散装 ①でリクエス トが廃 棄されて いたが、廃 棄③が 閾値未満であったた
め検知で き な かった サービス監視 条件の 変更 ◎ 3 .1 .4 シス テム運用 連鎖 的障害 への想 定もれ 41稼動不能機器の切り離し失敗 T1 0ファームウェアの不具 合でN ASの故障ディ スクを切り離せ ず、メッ シュ構成で あっ
たた め故障が 波及して 全サーバがダウンした
メッ シュ構成 を解除しグルーピング方 式を採用
◎ 2.3.3 システム 方式設計プロセ ス 42縮退時の一部サービス停止 T2 4
DB サーバ縮 退時に⑩能が不足 し、データ連携会 社への情報昀供 等のサービス が停 止
ディペンダビリティの 確保 ◎ 2.3.3 システム 方式設計プロセ
ス 43縮退時の必要処理が遅延 1 5 2 3
故障 したサーバを切り離 したが 、未処理 チェック機 能の対 象が想定以上のデータ 量とな り、長時 間のサ ービス 停止 とな った ( 対策 について は言及 な し)
外為どっとコム 外貨 ネクス ト
ネオ ◎
2.3.3 システム 方式設計プロセ ス システム 過信 44代娕業務の替練不足 G9システム障害 発生時 に業務窓 口の処理が行えず、顧客に帰 って 頂く 対応とな っ
た
障害 規模に合 わせた 事務処理マ ニュ アルの作成、替練
◎ 3 .1.5 利用 者教育 作業 影響の 認識不 足 45後続処理影響の誤認識 1 4 0 6バッチ処理が 期限内に終わらな かった 場合の影響をシステム運用 担当者が正し
く認 識して おらず、カード 会員へ の請求 が遅延
担当 者の運 用面の役割分担明確化ビューカード基幹 システム 「 VEN U S」
◎ 3 .1.5 利用 者教育 46障害発生の連絡が遅延 G1 7
重要 なサービスにて 障害が発生したが 、障害発 見者から運用担当 者への連絡
ルート が確立 されて おらず、障害 対応の 初動が遅れた 通常 とは別の 連絡系 統を追加 ◎ 3 .1.1 運用 の準備 47要求に満たないサービス復 旧時間 G1 8 障害 発生時 のサービス 停止の 影響が大き く、復旧 時間の 短縮が必要とな った第二 本番系 を構築 ◎ 3 .1.1 運用 の準備 不適 切な 移行移行 作業の ミス
新 規 サ
ー
ビ ス ま た は サ
ー
ビ ス 変 更
不適 切な 要件定 義 関係 者の要 件定義 不参加
不適 切な 設計 計算 処理の 誤り
計算条件のもれ
処理 の不整 合 “常 発生時 の処理 誤り
検知 条件の 想定もれ
不適 切な テス ト テス ト未実 施
テス トによる 副次作 用 テストデータの本番 残存
サ
ー
ビ ス 継 続 ・ 可 用 ⑩ 管 理
不必 要な 待機系 切娕
意図 しな い待機系切娕 障害 メッセ ージの誤 発出
待機 系への 切娕 失敗
障害 メッセ ージの不 発出
業務 継続へ の準 備不足
障害 対応手 順の検 討不足 不完全停止による メッ セージ不発出
待機 系への 設定もれ
障害 発生ケ ースの想定もれ
複③事象が同時発生するケ ースの想定も れ
縮退 時の⑩ 能不 足
縮退 運転へ の検討 不足
概要版
(特に注意すべき障害事例)
一覧表
(「注意すべき観点」を中心とした障害事例の分類)
一覧表で整理した事例の中でも、特に
注意すべき事例を解説した資料
教替事例、
SEC Journal
事例から、特に「注意すべ
き観点」を中心として分類をまとめ直したもの
教訓集
SEC
Journal
詳細な解説
教替の導出
報道事例の
概況整理
対象とした障害情報の範囲
大分 類
中分類 小分類 No. 詳細 分類 事例 番号
事例 における障 害発生 内容 主要な対 策 【 参考 】 企業等 名称 ( 報道 事例の み) 発注
者 開発 PM
アプリインフ ラ
運用 共通 フレーム 該当箇 所 1事業部門の要件定義不参加 G1
事業 部門によ る要件 確定が遅く、 要件変 更も多く 、要件の 設計への反映も正 確 に確認でき て いなかった
アプリケーシ②ン・オーナー制⑦ による 各事 業部門 の「 態勢」 の構築
◎◎◎ 2 .2 .2 利害関 係者の識別 2発注者の要件定義不参加 G2
注文 処理の 取消不可等、基本的な④様 に大き な 漏れがあることがシステム 本 稼働 後に判明
要件 定義と受入テス トの 発注者 責任
明確 化、開発 プロセ ス 標準の見直し ◎◎◎ 2 .2 .2 利害関 係者の識別 3システム 運用部門の要件定義不参加 G3オペレ ータ操作に関する運用要件検討 が不十分で 、運用 担当者の作業ミスが
多発
運用 者が要 件定義に参加 ◎◎ ◎ 2 .2 .2 利害関 係者の識別 4 1 7 0 3
電力 需要の 計画と実績 の過不 足量(インバランス ) 算定時 に、本来 計算に加え る必 要がある値( 域外 分)が欠落 。全国 的な事業 者の精算取引に影 響した プログラム の修 正等
北海道電力託送 業務シス テム(及び中部電力) ◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 5 1 7 0 4
ス マ ートメーター設① の顧客には振込用 紙郵送を行わな いという 判定 条件を漏 らして 設計し、該当顧 客に振込 用紙を重複 送付して しまった
設計 もれに対する社 内組織間の役割 分担 明確化 、マ ネジメント強化
中部電力料金請 求シス テ
ム ◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 6通常外処理のもれ T5加算 を主体とした業務 処理(使用 料計算 ) で減算処 理が発 生し、誤請求を行って
しまった
サービスの視 点で 見渡 した変 更管理 ◎ 2.4.2 ソフトウ ェア要件定 義プロ セ ス 7処理対象の時点誤り 1 4 2 5
高額 療養費 は診療月時点での 世帯単位で計算する必要 があるが 、世帯変 更が あった 世帯に対 して 変更 後の世 帯で 計算 して しまい、計算 結果の誤りが発生( 対策 について は言及 な し)
国民健康保険共 同電算シ ス テム ◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 8ありえな いはずの条件の実 在 1 4 1 9
1 ,0 0 0 件連続 で 「データなし」を処理終了 とする④ 様に対して 実データで当該条 件
が発 生したた め、後段 の送金処理が未 完了とな った ( 対策 について は言及 な し) 三菱東京U FJ銀行 ◎
2.4.2 ソフトウ ェア要件定 義プロ セ ス 9変③名の誤記 1 7 0 5条件 分岐処 理において 、区分 を示す変③を入れ るべき場所 に名称 を示す変③を
入れ てしまい、分岐が 機能せず、臓器移 植患者の待機日 ③計算を誤った
旧シス テム との比較検 証等 日本臓器移植ネ ット ワーク 患者検索システム
◎ 2.4.5 ソフトウ ェア構築プロセス 10システム 連携時刻の不整合 T1 3システム間の 連携タイミングに1 5 分間の 差“があり、処理 に矛盾が 発生
システム全体 で のウォークス ルーレ ビュー
◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 11キー項目 の不整合 1 5 2 7
匿名 化のた めキーとなる IDを暗号化したが 、元データに全角 、半角 等が混在して いたた め暗号 化後の ID での突合 がで き な くな った ( 対策 について は言及 な し)
厚生労働省メタボ健診シス
テム ◎
2.4.4 ソフトウ ェア詳細設 計プロ セ ス 12設計外処理の想定もれ T3列車 出発後 にも誤って 制御信 号が出続けるという想定外事象が発生 し、後続 列
車が 自動停 止して しまった
設計 された動 き だけで な く、新しい動き を追加 登録する「知識 データベース」 化
◎ 2.4.2 ソフトウ ェア要件定 義プロ セ ス 13送信不能時のエラー表示誤 り 1 7 0 7
電子 申告の システム に予想以 上のアクセ スが集中 した際 に、受付 が未完了で あるに もかか わらず「送信完了」 と表示 されるケ ースがあり、事後対 応に苦慮 し た
システムの負 荷上限 の拡大、利用者 への 注意喚 起等
地方税電子化協 議会 電子 申告・納税 シス テム ◎
2.3.3 システム 方式設計プロセ ス 14無操作“常の不検知 1 4 3 1運転 士の一 定時間無操作を検知 する④ 組みで自 動列車 制御による減⑥も誤っ
て 測定し、本来 の“常 検知を行えていな かった
( 対策 について は言及 な し) JR東日本 非常ブレーキ ◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 15メッ セージ重複による 不検知 T2 6流用 開発時 に同一の ジ②ブ完了 メッセージを重複 作成したた め、不整 合が発 生まるごとコピ ーではな く、 一意⑩ 担保に
注意
◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 16抑制信号停止による誤検知 1 2 3 1
発信 用サーバに定期的に受信 していた通 行止め情報が途 切れた 際に復旧 した と誤判断し、通行止め解除のメ ールが誤 って自動送信された
( 対策 について は言及 な し) 中日本高⑥道路 交通情報 サイト
◎
2.3.3 システム 方式設計プロセ ス 回復 時処理 の想定 もれ 17通信障害からの回 復失敗 1 3 0 6
サーバ間通 信に一時 的な通信 障害が発生した際に 、通信 が回復してもサービ ス を開始でき な いという不具合が顕在化 ( 対策 について は言及 な し)
大阪証券取引所 売買シス
テム ◎ 2 .6.3 修正 の実施 18送信テス トの未実施 1 5 4 1市民 向けの緊 急⑥報 メールで 、市民を対象とするため送信テス トを実施してい な
かった が、⑨年半後に通信でき な いことが判明
( 対策 について は言及 な し) 福島市緊急⑥報 メール ◎ 2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 19負荷テス トの未実施 1 5 0 6
地震 発生時 のメールサービス が運用5年 目に初めて実使用された 時に、メ ール サーバに過負 荷がか かりメール 配信が 遅延 ( 対策 について は言及 な し)
徳島県牟岐町防 災サービ
ス ◎
2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 20開発元のテストに対 するレ ビュー不足
( → 「 拙 ⑥ な パッ チ 適用 」 に 入れ る ? )
T2 8パッケ ージソフトウェアの修正( アップデート)に伴って混入 したバグの 影響によ り、システム停 止が発 生
開発 元の全 修正箇所に対するレ ビューおおよび回帰テス トの実 施
◎ 2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 21 1 4 0 5
改札 機に対して 消費税 改定を想定したテスト実 施後にデータの戻し修正を怠り、 利用 者から料 金を過剰 に収受 した
( 対策 について は言及 な し) 京成電鉄IC カードシステム ◎
2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 22 1 0 1 3
テス トデータの削除を忘れて バッチ処理 を実行したため、残高証明書 の発行 手
③料 を二重に引き落 としてしまった ( 対策 について は言及 な し) 南都銀行システム ◎
2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 23テスト時の システム 日付の本番残存 1 4 0 9
消費 税改定 を想定したテス トで 、1台のバ スのみ誤 って 日付 を1 日早 くセットし、
消費 税改定 1 日前から増税後 の運賃を徴収した ( 対策 について は言及 な し) 京急バス 運賃シス テム ◎
2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 24テスト時の ログ出力 設定の 残存 1 2 1 5システムテス ト中にログを詳細 に出力する設定としたまま、それを修正せずに本
番運 用を行い、 カード発 行処理 が大幅に遅延
( 対策 について は言及 な し) 法務省入国管理 局 在留 カード 等発 行システム
◎ 2 .4 .7 ソフトウ ェア適格⑩ 確認 テス トプロセ ス 25移行作業完了の誤認 1 6 9 4
住民 データの移行時にシス テム が一時 停止したが 、「 終了 」 と表示 されたた め作 業完 了と誤認。住民へのカード郵 送が滞 った ( 対策 について は言及 な し)
J- LIS マ イナンバ ーカード管 理シス テム ◎
3 .1 .3 業務及びシス テム の移 行 26移行データのマ ッチング誤り 1 5 0 2データ移行時 にミス があり、住民 票の「 個人の住定日」を記載すべき 位①に「 世
帯の 住定日 」 を記載して しまった
( 対策 について は言及 な し) 大阪市住民基本 台帳シス テム
◎ 3 .1 .3 業務及びシス テム の移 行 27自動切戻し機能の 意図せぬ発動 1 1 0 8不具 合発生 時に自動 で 切戻す設定での テスト実施 中に、偶 発ハード 故障が 発
生。業 務ピーク時に切戻し処理 が発生し輻輳状態 に陥った 。
システム切娕 判定処 理の娖適化等N TTドコモ シス テム ◎ 2.3.3 システム 方式設計プロセ ス 28対応完了事象に対する切娕 再発動 1 1 0 8
待機 系切娕 判定ソフトをオフにした障害 対応の後、オンにした判定 ソフトが 直近 履歴 を基に処理遅延中と判断 し再⑦待 機系に切り娕え て しまった
切娕 判定ソフ トが故障履 歴を参照しな
いよう に修正 N TTドコモ シス テム ◎ 2.3.3 システム 方式設計プロセ
ス 29正常稼働時の障害メ ッセ ージ誤発出 T1ミド ルウェア・O Sの潜 在バグで稼 働系が 障害との誤 ったメ ッセージが出され、稼
動系 と待機系 の両方 が誤って稼 働し、処理に不具 合が発 生
停止 コマンド の送信等、フェールソフト ( 自系 &他系 &手動)の 対策の 追加
◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 30軽微事象で の障害 メッセージ発出 1 3 0 2軽微 な“常( 通信ログを予備系 にリアルタイム コピ ーする機能の遅延)を重大な
“常 と誤報して しまい、サービス の全面 停止が発生
( 対策 について は言及 な し) KD DI au LTEサービス ◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 31 G4
メモリコント ローラの障 害時に、現用ノ ードが実質的 には停 止して いたが不完全 な 停止状態で あった ため障害 メッ セージを発出で き なかった 。
運用 部門によ る主体 的なシステム状
態の 確認 ◎ 3 .1 .4 シス テム運用 32 T2 3
ス イッチのキャッシュメモリ故障 時に不完 全停止となり障害 メッセージが発生 せ
ず、障害を検知 できな かった 複③ 観点か らの監視 機能追加 ◎ 2.3.3 システム 方式設計プロセ
ス 33待機系で のパラメータ設定誤 り T7待機 系への ソフトウェアパラメータ設定を怠り、待機 系が起 動しな かった 保守 運用で のパラメータ確認、障 害替
練
◎ 2 .6.3 修正 の実施 34待機系で のファイル不足 G1 1
保守 作業で の設定ミス で待機系 側に必要 ファイルが存在 せず、障害 時に切娕 失敗
重要 なシス テム は、設定 の作業 指示
書も優 先的に確認 ◎ 2 .6.3 修正 の実施 35待機系で のパスワード設定も れ 1 6 4 0運用 手順書 に誤りがあり、稼働 系のみパスワードを変更し待機系のパス ワード
を変更 せず、データ同期時にエラーが発 生
( 対策 について は言及 な し) 横浜市住基ネット ◎ 2 .6.3 修正 の実施 36 T2 3
2つの監視機 能(DB 同期、自ノ ード監視 ) が偶然 重複したた め、待機 系切娕 用 の娖 後のD B サーバまで が停止
監視 機能の 組み合わせ確認とテスト 実施
◎ 2.4.4 ソフトウ ェア詳細設 計プロ
セ ス 37 T2 02つのte ln e t接続( 障害 情報収 集、自動 監視)が競 合し、無限ループが発生
システム全体 を俯瞰する鳥の目の対 策 機能 追加時 のリス ク発見と共有
◎ 2.4.4 ソフトウ ェア詳細設 計プロ
セ ス 38故障時のネットワーク輻輳の 想定もれ T2ハード ディス クの故障 で 「リセット 通知」 が出続け、処理渋 滞で一部 の通信が途
切れ 、制御監 視端末 からの系 切娕えが 行えな かった
停止 制御によ る系切 娕を他装 ①からも で き るようにした
◎ 2.4.4 ソフトウ ェア詳細設 計プロ セ ス 39故障時のエラーメッセ ージ発生の想定も
れ
1 0 0 7ディス ク装① 故障によりシス テム がダウ ンした際 にエラーメッセージが大量に発 生し、連携先 のシス テム もダウ ンした
( 対策 について は言及 な し) ゆうちょ 銀行シス テム ◎ 2.3.3 システム 方式設計プロセ ス 40サイレン ト障 害( N W⑩能劣化の不検 知)T1 1
負荷 分散装 ①でリクエス トが廃 棄されて いたが、廃 棄③が 閾値未満であったた
め検知で き な かった サービス監視 条件の 変更 ◎ 3 .1 .4 シス テム運用 連鎖 的障害 への想 定もれ 41稼動不能機器の切り離し失敗 T1 0ファームウェアの不具 合でN ASの故障ディ スクを切り離せ ず、メッ シュ構成で あっ
たた め故障が 波及して 全サーバがダウンした
メッ シュ構成 を解除しグルーピング方 式を採用
◎ 2.3.3 システム 方式設計プロセ ス 42縮退時の一部サービス停止 T2 4
DB サーバ縮 退時に⑩能が不足 し、データ連携会 社への情報昀供 等のサービス が停 止
ディペンダビリティの 確保 ◎ 2.3.3 システム 方式設計プロセ
ス 43縮退時の必要処理が遅延 1 5 2 3
故障 したサーバを切り離 したが 、未処理 チェック機 能の対 象が想定以上のデータ 量とな り、長時 間のサ ービス 停止 とな った ( 対策 について は言及 な し)
外為どっとコム 外貨 ネクス ト
ネオ ◎
2.3.3 システム 方式設計プロセ ス システム 過信 44代娕業務の替練不足 G9システム障害 発生時 に業務窓 口の処理が行えず、顧客に帰 って 頂く 対応とな っ
た
障害 規模に合 わせた 事務処理マ ニュ アルの作成、替練
◎ 3 .1.5 利用 者教育 作業 影響の 認識不 足 45後続処理影響の誤認識 1 4 0 6バッチ処理が 期限内に終わらな かった 場合の影響をシステム運用 担当者が正し
く認 識して おらず、カード 会員へ の請求 が遅延
担当 者の運 用面の役割分担明確化ビューカード基幹 システム 「 VEN U S」
◎ 3 .1.5 利用 者教育 46障害発生の連絡が遅延 G1 7
重要 なサービスにて 障害が発生したが 、障害発 見者から運用担当 者への連絡
ルート が確立 されて おらず、障害 対応の 初動が遅れた 通常 とは別の 連絡系 統を追加 ◎ 3 .1.1 運用 の準備 47要求に満たないサービス復 旧時間 G1 8 障害 発生時 のサービス 停止の 影響が大き く、復旧 時間の 短縮が必要とな った第二 本番系 を構築 ◎ 3 .1.1 運用 の準備 不適 切な 移行移行 作業の ミス
新 規 サ
ー
ビ ス ま た は サ
ー
ビ ス 変 更
不適 切な 要件定 義 関係 者の要 件定義 不参加
不適 切な 設計 計算 処理の 誤り
計算条件のもれ
処理 の不整 合 “常 発生時 の処理 誤り
検知 条件の 想定もれ
不適 切な テス ト テス ト未実 施
テス トによる 副次作 用 テストデータの本番 残存
サ
ー
ビ ス 継 続 ・ 可 用 ⑩ 管 理
不必 要な 待機系 切娕
意図 しな い待機系切娕 障害 メッセ ージの誤 発出
待機 系への 切娕 失敗
障害 メッセ ージの不 発出
業務 継続へ の準 備不足
障害 対応手 順の検 討不足
不完全停止による メッ セージ不発出
待機 系への 設定もれ
障害 発生ケ ースの想定もれ
複③事象が同時発生するケ ースの想定も れ
縮退 時の⑩ 能不 足
縮退 運転へ の検討 不足
