6.インターネット網の脆弱性
中村功 三上俊治
はじめに
モバイルコミュニケーションは今や単なる携帯電話ではなく、メールやウエッブ検索など、インターネットの1つのツールとなり発展してきた。そして情報はインターネット網を自由に往来する。一方で固定電話も急速にIP電話に置き換わりつつあり、インターネット網はその重要性を飛躍的に増大させた。しかしこの新しいネットワークは大災害にどれだけ耐えられるのか。新しいネットワークだけに意外な盲点が隠されているかも知れない。
そこで我々はインターネット網の脆弱性をチェックするために、2004年5月に発生したNTTコミュニケーションズの回線障害を例に検討することにした。 以下では、NTTコミュニケーションズとNTT東日本のききとりからわかったことを紹介する。
事故原因と経過
2004年5月31日午後3時20分、NTT大手町ビル本館にて、アラームが検出された。UPS(無停電交流電源装置)内で一部装置の温度が上昇したことにより、別回路に切り替わったのである。この際切り替わった部分にあるACスイッチが製品不良であったために、無停電ではなく、1秒以内の瞬間停電が発生した。当該UPSからの電力は、2つの変圧分電盤を経て各設備(サーバー等)に供給されていたが、この瞬間停電を引き金に変圧分電盤の不調が発生した。すなわち、この変圧分電盤では200ボルトの電気を100ボルトに変圧しで分配していたが、瞬間停電で分電盤内のマグネットコンダクターが解放(回線断)となった。その際本来ならマグネットコンダクター内のタイマーが作動して電源回復とともに瞬間的に再接続されるはずが、タイマーが製品不良であったために、解放状態のままとなり、その先の機器(サーバー等)への電源供給がストップしてしまった。
原因を確認後、午後7時47分に電源設備は回復したが、すべてのサービスが回復したのは翌6月1日の午前2時59分であった(故障時間11時間39分)。
被害
この電源障害による機器停止で影響を受けたのは、企業向け回線(内線電話・データ)約2万回線、IP電話サービス34万番号(全国)、OCNの一般向けインターネット接続サービス15万人(関東)、ホットスポット1000拠点などであった。
企業向けでは100メガの容量を持つIP−VPN(Internet
Protocol Virtual Private Network) サービスが含まれていた。これは公衆ネットワーク上に構築された仮想私設ネットワーク(VPN)をIPベースで実現したサービスで、コストの安さから、専用線に変わるサービスとして、最近人気がある。社内LANに使用したり、銀行などでも基幹的業務(為替業務等)に利用している。今回の事故で深刻な苦情が来たのは銀行各社であったという。ただこれには他の回線でバックがあっはずという。
ちなみにNTTコミュニケーションズのネットワークには、OCNだけではなく、各社のインターネットプロバイダーのIPバックボーンやIP電話網(VoIP基盤ネットワーク)も収容されている。すなわちIP電話(VoIP基盤ネットワーク)で言えば、ニフティー、hi-ho、ぷらら、BIGLOBE、So-net、OCNなどがそれである。いいかえると、プロバイダー各社はNTTコミュニケーションズの通信網を借用して、これを仮想の私設ネットワークとして使っているのである。
現在の段階では、重要回線の多くが未だに専用線やフレームリレーを使用しているので、今回は大きな実害をもたらさなかったが、今後IP−VPN利用が重要回線にまで広がれば、今回のような事故でも大きな被害をもたらす可能性があるのではないだろうか。
対策
NTTコミュニケーションズでは、故障した設備の部品交換だけでなく、故障可能性のあるタイマー全部を交換した。すなわち、故障したタイマーはメーカーがある時期に出荷した10万個の2つであった。調査の結果、その時期に生産され、同社に納入されたタイマーが全国で60個あり、それを交換したという。
さらに今回の事故をふまえて故障部品の交換だけではなく、抜本的な電源設備の強化を図ることにした。すなわちUPS及び変圧分電盤の全面的な2重化である。これにはかなりの投資額が必要になるという。そのため、同じNTTグループでも、同様の施設をもつNTT東日本では、今のところそのような対策は考えていないという。
問題点
1.電源設備の脆弱性
IPネットワークでは、従来の固定電話網に比べて、電源バックアップに問題があることが明らかになった。
電気通信にとって電気は極めて重要で、数々の経験から固定電話の電源対策は入念にされてきた。すなわちそれは、蓄電池、自家発電装置、及び移動電源車などによるものである。従来の固定電話に比べると、今回の事故のような、IP系の電源対策は、基本的な難点を抱えている。それは電話システムが直流電源であるのに対して、IP系は交流電源を使っているという点である。直流では同期の手間がないために、乾電池のように並列して接続することができる。したがってバックアップのためには、もう一系列の電源をあらかじめ接続しておけばよいので、バックアップがきわめて容易である。しかし、交流ではそうはゆかず、一系統がダウンしたら、別の電源に瞬間的に切り替えなくてならない。それを行っているのが、UPS(無停電交流電源装置)なのである。
UPS以降の変圧分電盤についてだが、各機器が2つの変圧分電盤にたすき掛けのように接続されており、2重化されていた。しかしその2つともが故障したために、完全に給電が停止してしまった。
関係者のUPSに対する信頼性は高く、「まさかUPSがやられるとは」というのが実感のようである。UPSは重要なコンピュータ設備には必ずついているもので、UPSの問題はコンピュータ社会全体の問題といえるであろう。
2.集中の問題
NTTコミュニケーションでは全国に6000の変圧分電盤があり、そのうち半分が大手町にある。今回の事故ではそのうち2つが故障しただけだが、これだけの被害となった。もし大災害などで当ビル全体が被害を被ったら、その影響は巨大なものとなるだろう。
3.事故対応の難しさ
今回の障害では、IPネットワークにおける事故対応の難しさも明らかになった。
@迅速な事故通報体制の整備の必要性
事故は総務省には通報するが、事業者相互の連絡体制ができていない。16時に総務省に第一報を連絡しているが、NTT東日本ですら連絡が来たのは17時20分頃であった。グループ内及び影響を受けた直接の顧客には連絡するようにしているが、今回どの部分まで影響を受けたのか調査に時間がかかってしまった。
NTT東日本では様々なプロバイダーやADSL業者の通信を扱っているが、そちらが故障してもNTTに連絡は来ない。一般顧客からの問い合わせがNTT東日本に来るが、故障原因がどこか分からないことがしばしばあるという。
例えば、7月29日にADSL業者のアッカネットワークスで、ATM交換機が発生し、関東一円の14万回線で通信不能になった。たまたま筆者はこれに加入していたために通信不能となってしまった。筆者はまずパソコンやモデムの設定を確認し、次にダイヤルアップでプロバイダーのホームページもみたが、障害情報は出ておらず、原因不明だった。結局、障害が解消した後、インターネットに接続し、アッカの接続先であるNTTコミュニケーションが発表した障害情報を、ネットニュースで知ることになった。
一般にサービス提供側の障害情報は顧客(下流)には伝わりやすいが、顧客の障害情報はサービス提供側(上流)や顧客同士には伝わりにくい。また事業者から監督官庁へも伝わりやすい。これらは、有用な情報は、力関係の弱い方から強い方へは常に流れやすい、という性質によるものである。今回のばあい、アッカはNTTコミュニケーションズの顧客にあたるが、たまたま両社が資本・業務提携関係(NTTコミュニケーションズはアッカの株主)にあったために、比較的スムーズに上流へ情報が流れたと考えられる。
いずれにしても、障害へのより良い対処、及び早期復旧のためには、障害情報を各業者間が迅速に共有するシステムを作ることが必要である。
図1 障害情報の伝わりやすさ
サービス提供側 基幹網 (ex.NTTcom)
A社内の連絡に社内のイントラネットが使えなくなる。社内イントラ向けサーバーも影響をうけたため、障害に関する社内の連絡すらままならなくなってしまった。その際頼ったのは通常の固定電話であったが、回線不足で連絡が付きにくかった。社内がすべてIP電話になっていたら、より混乱は大きかったのではないだろうか。
B停電で機器のアラームが作動しない
停電による障害なので、各機器からアラームの信号が発せられなかった。そのためどの機器が使えないのか、現場でいちいち点検しなくてはならず、障害の把握に手間取った、という。停電による障害は他の障害より困難な事態をもたらすのである。