耐障害性を備えたクラウドベースの地方行政ITシステムの要求仕様の考察ごっこをしてみた
最初に、東日本大震災の被災地の皆様には心からお見舞い申し上げます。
今回の内閣不信任案は否決されて事なき(?)を得ましたが、政局如何では選挙管理委員会が壊滅してる状況下で総選挙決行になり、日本国憲法第15条の選挙権が確保されない憲政国家・法治国家として有り得ない状況に成り得た訳です。
このエントリは、そのような事態を憂慮して藤末 健三参議院議員と@のやり取りをきっかけに書いています。
あくまで、「考察ごっこをしてみた」なので技術文書っぽく結論が最初に書いてありませんし、結論は別エントリです。ゴメンなさい。
地方行政を担うITシステムの重要性
まず、要求仕様を考える前にそのシステムの背景・特殊性を考えておく必要があります。藤末議員のつぶやきからはクラウド化する地方行政ITシステムは、地方行政の職務全般を担うように感じました。すると、当然下記のサービスをホストする訳です。
これらは、住民にとって断絶が許されないライフラインです。一般にミッションクリティカルシステムとしては、
- 航空・宇宙
- 原子力
- 自動車・輸送用機械(鉄道など)
- 医療
- 銀行・証券の勘定系
- クレジットカードの決済・承認系
などが挙げられますが、地方行政ITシステムは直接命に関わるため、銀行・証券の勘定系よりも高いソフトウェア品質・運用品質が求められることになります。
地方行政ITシステムをクラウド化することに関する特殊性
前述したとおり、地方行政ITシステムは住民の命に直接関わる訳ですが、従来のシステムでは障害が発生してもその影響がその地方自治体内に限られていました。
今回、地方行政ITシステムをクラウド化することで、地方自治体の堺を跨いで究極的には全国の自治体の住民へのサービスを担う訳です。その結果、クラウド化したシステムで障害が発生したら究極的には全国民が影響を受けることになります。
具体的には、前述の繰り返しになりますが、
- 水道が止まる、または、給水が著しく混乱する
- 国民健康保険の諸手続きが止まる・もしかしたら給付も止まる
- 国民年金の諸手続きが止まる・もしかしたら給付も止まる
- 生活保護の諸手続きが止まる・もしかしたら給付も止まる
- 生活ゴミの収集・処理が止まる、または、著しく混乱する
のような影響が最悪の場合全国民が受けることになると考えられます*1。
このような特殊性を持つシステムの稼働を脅かすリスク要因
自然災害
そもそも、この議論のキッカケになったのが日本有史史上最悪の自然災害である、東日本大震災です。
この自然災害では実に様々な要因で通信インフラが破壊されました。
- 地震・津波でインフラを構成するハードウェア自体が破壊された。
- 非常用バッテリーの想定時間以上の停電で機能停止。
- 非常用発電機の想定時間以上の停電と、燃料補給の滞りにより機能停止。
- ユーザーの端末のバッテリー切れ・再充電不可による機能停止。
【参考文献:日経エレクトロニクス No.1057 2011-05-30 p.71】
データセンターの候補地選定に当たっては、地震・津波・水害・噴火・土石流などの自然災害の影響を受けにくい場所を選ぶのは勿論ですが、1箇所のデータセンターのみで完全に自然災害を克服することは人間には不可能なことでしょう。
その為には、道州制を念頭においた地域ブロック程度離れた複数のデータセンターが連携して、住民へのサービスを継続するシステム設計がディザスタリカバリの基本になります*2。
システムのインフラ側はディザスタリカバリにより災害耐性が高まりますが、ユーザー側がクラウドが提供するサービスを利用するのに必須なアクセス系の回線の災害耐性を高めるのは参考文献の記事の通り容易ではないようです。
但し、今回のような自治体が庁舎ごと他県へ機能移転したケースでは、クラウド対応してあることで住民サービスの継続が遥かに容易になります。
データセンター停止リスクの観点からの候補地選定条件
道州制を念頭においた地域ブロックごとに、最低限、下記の条件を満たす2箇所の場所にデータセンターを設置します:
- 主となるデータセンターは、その地域ブロックにおいて、最も地震・津波・水害・噴火・土石流などのあらゆる自然災害耐性がある安定した場所であること
- 従となるデータセンターは、その地域ブロックにおいて、最もPAC3等で地政学リスクから守られた場所であること。
今、自然災害に強い方を主と書きましたが、現実的にはPAC3でより守られている場所の方が交通アクセス的・バックボーン回線アクセス的に利便性が高いと思われますから、主と従は逆に書くほうが良いのかも知れません。
運用コストの観点からの候補地選定条件
データセンターの運用コストは、サーバーなどのハードウェアを動かす&冷やす電力コストと、サービスを提供する為の通信帯域を確保する回線コストが大半を占めます。
今まで、日本のデータセンターはほぼ東京に一極集中でした。それは、以下のような理由があるからです:
- ユーザとなる大企業が東京の一極集中であるため、通信遅延を最低限にするためには東京を選ばざるを得ない。
- IX*3が東京一極集中であるため、敢えて東京以外を選ぶとIXまでの回線のイニシャルコスト・維持コストが高くなる。
- データセンターを運用する技術者(インフラ系エンジニア)が都市部にしか居ない一方で、データセンター運用は24時間対応が求められるため地方の技術者が深夜対応を行うのは相当難しい。
この中で、回線のイニシャルコストと技術者の問題が特に大きかったのではないかと予想します。民間ですから当然の判断です。
一方、今回の地方行政ITシステムのクラウド対応は、国策ですから回線のイニシャルコストは世論を味方につければ予算上どうにでもなります。
技術者は立ち上げ時は転勤していただいて対応する他ないでしょうが、これを機にUターン・Iターンする人もいるでしょうし、これだけ就職難の時代ですから中期的には地元での育成も可能でしょう。
また、ユーザーは日本中の地方自治体であるため、通信遅延上東京一極集中のほうがかえって不利です。
つまり、コストで支配的なのは電力コストです。
また下記の書籍でも触れてありますが、核戦争に耐えうるネットワークとして設計された"the Internet"は災害に強いネットワークですし*4、実際3.11でも地震発生時に東北・関東のものと思われるトラフィックが30Gbpsも消失しましたが、日本のインターネットは無事でした。
- 作者: 宮川晋,増田佳泰,古場正行
- 出版社/メーカー: アスキー
- 発売日: 1995/03
- メディア: 単行本
- クリック: 23回
- この商品を含むブログ (9件) を見る
ただし、東京のIXを福島級の津波を襲ったら結果は違っていたでしょう。ミッションクリティカルシステムは可能なかぎり冗長化しておくに越したことはないのです。
電力コスト(=冷却コスト)の観点からの候補地選定の考察
現在のデータセンターのコストは冷却のための電力コストが支配的です。Googleは月を追いかけるデータセンターなんかやってます。
その観点から、最も冷却条件が厳しい九州で候補地について考えてみます*5。
- 年間を通して涼しいほうが良い。北陸・東北・北海道などの寒冷地を除けば、高地しか当てはまらない。
- 津波への耐性を考えると高地が有利。地震・水害などの他の自然災害でも、暴れ川が近くになかったり地盤が安定してることが多い山地が有利。
- 回線コストが安さを考えると、その昔、日本高速通信や日本テレコムが引いた光ファイバーがそばにある方が有利。従って、高速道路や鉄道沿いになる。
- 非常時の電源確保を考えると自然エネルギーが得やすい場所が有利。
これらの条件に当てはまりそうなのは、
が考えられます。
【続きは後で書きます・・・】