耐障害性を備えたクラウドベースの地方行政ITシステムの要求仕様の考察ごっこをしてみた

Cloud IT 地方行政

最初に、東日本大震災被災地の皆様には心からお見舞い申し上げます。

今回の内閣不信任案は否決されて事なき(?)を得ましたが、政局如何では選挙管理委員会が壊滅してる状況下で総選挙決行になり、日本国憲法第15条の選挙権が確保されない憲政国家・法治国家として有り得ない状況に成り得た訳です。

このエントリは、そのような事態を憂慮して藤末 健三参議院議員と@のやり取りをきっかけに書いています。

あくまで、「考察ごっこをしてみた」なので技術文書っぽく結論が最初に書いてありませんし、結論は別エントリです。ゴメンなさい。

地方行政を担うITシステムの重要性

まず、要求仕様を考える前にそのシステムの背景・特殊性を考えておく必要があります。藤末議員のつぶやきからはクラウド化する地方行政ITシステムは、地方行政の職務全般を担うように感じました。すると、当然下記のサービスをホストする訳です。

これらは、住民にとって断絶が許されないライフラインです。一般にミッションクリティカルシステムとしては、

  • 航空・宇宙
  • 原子力
  • 自動車・輸送用機械(鉄道など)
  • 医療
  • 銀行・証券の勘定系
  • クレジットカードの決済・承認系

などが挙げられますが、地方行政ITシステムは直接命に関わるため、銀行・証券の勘定系よりも高いソフトウェア品質・運用品質が求められることになります。

地方行政ITシステムをクラウド化することに関する特殊性

前述したとおり、地方行政ITシステムは住民の命に直接関わる訳ですが、従来のシステムでは障害が発生してもその影響がその地方自治体内に限られていました。

今回、地方行政ITシステムをクラウド化することで、地方自治体の堺を跨いで究極的には全国の自治体の住民へのサービスを担う訳です。その結果、クラウド化したシステムで障害が発生したら究極的には全国民が影響を受けることになります。

具体的には、前述の繰り返しになりますが、

  • 水道が止まる、または、給水が著しく混乱する
  • 国民健康保険の諸手続きが止まる・もしかしたら給付も止まる
  • 国民年金の諸手続きが止まる・もしかしたら給付も止まる
  • 生活保護の諸手続きが止まる・もしかしたら給付も止まる
  • 生活ゴミの収集・処理が止まる、または、著しく混乱する

のような影響が最悪の場合全国民が受けることになると考えられます*1

このような特殊性を持つシステムの稼働を脅かすリスク要因

自然災害

そもそも、この議論のキッカケになったのが日本有史史上最悪の自然災害である、東日本大震災です。

この自然災害では実に様々な要因で通信インフラが破壊されました。

  • 地震津波でインフラを構成するハードウェア自体が破壊された。
  • 非常用バッテリーの想定時間以上の停電で機能停止。
  • 非常用発電機の想定時間以上の停電と、燃料補給の滞りにより機能停止。
  • ユーザーの端末のバッテリー切れ・再充電不可による機能停止。

【参考文献:日経エレクトロニクス No.1057 2011-05-30 p.71】

データセンターの候補地選定に当たっては、地震津波・水害・噴火・土石流などの自然災害の影響を受けにくい場所を選ぶのは勿論ですが、1箇所のデータセンターのみで完全に自然災害を克服することは人間には不可能なことでしょう。

その為には、道州制を念頭においた地域ブロック程度離れた複数のデータセンターが連携して、住民へのサービスを継続するシステム設計がディザスタリカバリの基本になります*2

システムのインフラ側はディザスタリカバリにより災害耐性が高まりますが、ユーザー側がクラウドが提供するサービスを利用するのに必須なアクセス系の回線の災害耐性を高めるのは参考文献の記事の通り容易ではないようです。

但し、今回のような自治体が庁舎ごと他県へ機能移転したケースでは、クラウド対応してあることで住民サービスの継続が遥かに容易になります。

いわゆる地政学リスク

「地方行政ITシステムをクラウド化することに関する特殊性」で前述したとおり、仮に全てのデータセンターを機能停止に陥れることに成功すれば、攻撃者(例えば金正日)にとってこんなにオイシイことは無いわけです。

従って、バックアップとなるデータセンターは多少自然災害耐性が劣る場所でも、PAC3などで守られた場所から選ぶべきです。

また、ホストするサービスが地方行政のみですから、Expiredみたいな事態を未然に防ぐために国外や民間からのアクセスを遮断するのが無難でしょう。

データセンター停止リスクの観点からの候補地選定条件

道州制を念頭においた地域ブロックごとに、最低限、下記の条件を満たす2箇所の場所にデータセンターを設置します:

  1. 主となるデータセンターは、その地域ブロックにおいて、最も地震津波・水害・噴火・土石流などのあらゆる自然災害耐性がある安定した場所であること
  2. 従となるデータセンターは、その地域ブロックにおいて、最もPAC3等で地政学リスクから守られた場所であること。

今、自然災害に強い方を主と書きましたが、現実的にはPAC3でより守られている場所の方が交通アクセス的・バックボーン回線アクセス的に利便性が高いと思われますから、主と従は逆に書くほうが良いのかも知れません。

運用コストの観点からの候補地選定条件

データセンターの運用コストは、サーバーなどのハードウェアを動かす&冷やす電力コストと、サービスを提供する為の通信帯域を確保する回線コストが大半を占めます。

今まで、日本のデータセンターはほぼ東京に一極集中でした。それは、以下のような理由があるからです:

  • ユーザとなる大企業が東京の一極集中であるため、通信遅延を最低限にするためには東京を選ばざるを得ない。
  • IX*3が東京一極集中であるため、敢えて東京以外を選ぶとIXまでの回線のイニシャルコスト・維持コストが高くなる。
  • データセンターを運用する技術者(インフラ系エンジニア)が都市部にしか居ない一方で、データセンター運用は24時間対応が求められるため地方の技術者が深夜対応を行うのは相当難しい。

この中で、回線のイニシャルコストと技術者の問題が特に大きかったのではないかと予想します。民間ですから当然の判断です。

一方、今回の地方行政ITシステムのクラウド対応は、国策ですから回線のイニシャルコストは世論を味方につければ予算上どうにでもなります。
技術者は立ち上げ時は転勤していただいて対応する他ないでしょうが、これを機にUターン・Iターンする人もいるでしょうし、これだけ就職難の時代ですから中期的には地元での育成も可能でしょう。
また、ユーザーは日本中の地方自治体であるため、通信遅延上東京一極集中のほうがかえって不利です。

つまり、コストで支配的なのは電力コストです。

また下記の書籍でも触れてありますが、核戦争に耐えうるネットワークとして設計された"the Internet"は災害に強いネットワークですし*4、実際3.11でも地震発生時に東北・関東のものと思われるトラフィックが30Gbpsも消失しましたが、日本のインターネットは無事でした。

BSDを256倍使うための本

BSDを256倍使うための本

ただし、東京のIXを福島級の津波を襲ったら結果は違っていたでしょう。ミッションクリティカルシステムは可能なかぎり冗長化しておくに越したことはないのです。

ディザスタリカバリの観点から回線系の考察

激しくコスト上昇要因になりますが、お金が許せばデータセンターには下記の回線もあったほうが良いでしょうね。

ディザスタリカバリの観点から電源系の考察

非常用バッテリーや非常用発電機は当然設置しますが、東日本大震災被災を鑑みるとバックアップ電源に自然エネルギーが使えたほうが良いです。考えられるのは、

ですが、現実性があるのは風力と太陽光でしょうね。風力発電が使えるところは涼しいところが多いと予想され、冷却コスト上有利です。

電力コスト(=冷却コスト)の観点からの候補地選定の考察

現在のデータセンターのコストは冷却のための電力コストが支配的です。Googleは月を追いかけるデータセンターなんかやってます。

その観点から、最も冷却条件が厳しい九州で候補地について考えてみます*5

  1. 年間を通して涼しいほうが良い。北陸・東北・北海道などの寒冷地を除けば、高地しか当てはまらない。
  2. 津波への耐性を考えると高地が有利。地震・水害などの他の自然災害でも、暴れ川が近くになかったり地盤が安定してることが多い山地が有利。
  3. 回線コストが安さを考えると、その昔、日本高速通信日本テレコムが引いた光ファイバーがそばにある方が有利。従って、高速道路や鉄道沿いになる。
  4. 非常時の電源確保を考えると自然エネルギーが得やすい場所が有利。

これらの条件に当てはまりそうなのは、

が考えられます。

【続きは後で書きます・・・】

*1:すいません。自治体系のお仕事をしたことが無いので妄想です。

*2:流石に北海道から九州までが同時に被災することはないだろうという前提

*3:インターネットエクスチェンジ:ISP(インターネットサービスプロバイダ)や大手企業同士がデータ交換するための通信結節点

*4:ただし、Wikipediaにはそれは違うと書いてあります。

*5:九州出身だから、土地勘があって考察しやすいと言うのがありますが。リクエストがあれば東海地方くらいは考察しても良いかも