システム障害の影響は40弱の証券会社に、賠償は考えず=東証幹部
コメント
注目のコメント
報道されている内容をまとめると、以下の状況だったようですね。
・ある証券会社の設定ミスで、通常の1000倍の負荷リクエストが東証に送信された
・4台ある負荷分散装置の内、1台がダウン
・東証から提供される接続仕様書には「複数の回線につなぐこと」という記載しかなかった
・障害発生した回線に接続中だった & 障害時の自動系切り替えに対応できていない証券会社側システムが影響を受け発注不可になった
-----
以下は個人的に感じたことです。
1000倍の負荷というのは、インターネットに公開しているTo CサービスではDDoSなどで想定しなければいけない負荷量ですが、参加者が限定されるクローズドネットワークにおいては想定しにくい負荷量だとは思います。
昔のみずほ証券誤発注の際もそうでしたが、良くも悪くも性善説に基づいた設計になっていると感じます。
推測ですが、ベンダーに提示した必要な性能の要件も1000倍の負荷は想定しておらず、ベンダー側の補償も受けられないのでしょう。
あるべきでいえば、サーキットブレイカーのような機構でもって、過負荷をかける接続元を切り離すべきですが、性善説に基づいた設計ではこのような仕組みは優先度が下がりがちです。
4つの回線の内、接続元が生きている回線を選ぶという仕様は、接続元に複雑な処理を要求するという点で正直無理があると思います。
多くある接続元がそれぞれ障害を見据えたロジックを構築するよりも、東証が接続先を1つに限定して対応すべきだと思います。一つダウンしただけで全体システムのダウン、
というのでは、分散の意味がないよーな。。。
-------
不正電文は通常の1000倍以上の規模で、注文を処理するサーバーの前段階に位置する4台の負荷分散装置の1つがダウンした。
-------
