【委員会視察報告:後編】市役所のデータはどこに置けばいいのか?

datacenter_DSC00055_TP_V.jpg 前回(→ユニークな場所を使った集客を横浜に学ぶ)に引き続き、1/20~21の委員会視察報告だ。※画像提供:ぱくたそ

 視察2日目の1/21には、NTT西日本さんの大阪某所のデータセンターにお邪魔した。
 なお、本稿を書くにあたっては、同僚の本石篤志・総務常任委員会副委員長(元・横須賀市職員)に、道中で様々なことを教えて頂いた。この場を借りて感謝する。ありがとうございました。
 ただし、仮に記載に間違いがあれば、それは私の聞き間違いであり、本石議員のミスではないことは申し添えたい。

●なぜデータセンターを視察したのか?
 私は今年度、総務常任委員会委員長であり、データセンター視察を提案していない。そのため、委員会を代表せず、私個人の問題意識を述べる。

 本市のシステムは数多くあるが、中でも大きいのが次のようなものらしい。
●基幹系システム
 (住民基本台帳・税・介護保険・国民健康保険など。インターネットにはつながない閉鎖系だが、行政センターとは結ばれている。担当職員のみアクセス)
●行政系システム
 (職員がPCで日常的に様々な作業をするもの。インターネットにもつながれている開放系。3,000人近い多くの職員がアクセス)
●教育系システム
 (学校の教職員が生徒の成績記録を含む様々な作業をするもの。教職員らが使う2,531台の端末がアクセスし、それらの端末はインターネットにもつながれている開放系)

 基幹系と行政系は本庁舎内の某所に、教育系は久里浜の某所に置いてあり、この2つのサーバールームが比較的大きいようだ。なお、その他にも多数のシステムがあり、各課で分散してサーバーを持っている。
 私が考えていた課題は、大きく次の4点だ。
●課題1:セキュリティ
 久里浜のサーバールームに試しに抜き打ちで行ってみたが、タイミングを見計らって外から突入すれば入れてしまう。本庁舎も、何とか忍び込める気がする。そしておそらく、私がペットボトルに水やガソリンを入れて持ち込んでサーバーにかければ壊すことができる状態だ。
 入退室管理も厳格でないので、内部の人間による情報持ち出しも比較的やりやすいと思われる。

●課題2:災害リスク
 免振などは備えていないが、耐震基準は満たしている。火災が起きても、スプリンクラーではなく不燃ガス消火なので、サーバー類が水に濡れることはない。
 ただし、バックアップをとってはいるものの、バックアップデータも同じサーバールームに置いてあるらしい。だから、もしもサーバールームが燃えたり崩れたりすれば、データが失われてしまうだろう。

●課題3:電源
 停電したときに10~20分の無停電電源装置はあり、その間にシャットダウンすることとなる。
 ただし、本庁舎には建物全体の自家発電装置があり、それが動き出せば20時間程度は稼働できるようだ。しかし、久里浜にはないため、停電すると教育系は使えなくなる。

●課題4:人員
 基幹系や行政系については、保守のために保守管理委託事業者から常駐で複数人が張り付いている。情報政策課の職員も保守に携わっている。自前で持つと、それらのコストも割高になる。
 また、それ以外のシステムについては、必ずしもシステム類の専門ではない職員がそれぞれの課で対応している。分散管理によって、専門性も低くなり、多くの人員が割かれている。

 こうした中、自前でセキュリティ、地震、停電などに強い施設を用意してサーバーを置くこともできるが、専門業者の施設にサーバーを置く方法もある。この辺りの判断材料を得るために視察に伺った。

●NTT西日本さんのデータセンターの特徴
 勉強してみると、システム類の置き方・置き場所としては次のようなものがあるらしい。
(1)オンプレミス
 所有サーバーを自前の施設で運用する
 ↑現在、本市のほとんどのシステムがコレ

(2)ハウジング
 専門事業者の施設内に所有サーバを設置して遠隔で使用する
 ↑今回視察したもの

(3)ホスティング
 専門事業者の施設内の共用サーバを借りて、遠隔で使用する

(4)クラウド(ASP/SaaSなど)
 専門事業者のサーバを使った事業者によるサービス提供を遠隔で受ける。クラウドは使う人によって色々な意味で使われる言葉だが、ここではASP(Application Service Providerの略)やSaaS(Software As A Serviceの略)の系統を指すことにする。
 ↑コレは、軽めのシステムでは本市でもいくつか事例あり

 こういった手法がある中、今回は(2)ハウジングの事例として、NTT西日本さんの某データセンターに視察を受け入れて頂いた。

 結論から言えば、NTT西日本さんの某データセンターは一つの点を除いて、現在考えられる最良の選択だろう。大地震にも耐えうる免震構造、十分な稼働時間が保証された自家発電装置、複数の生体認証を用いた入退出管理。ミサイルか飛行機がビルに当たらない限りはデータは生き延びられるはずだ。
 しかし、一つだけ問題がある。なかなか高価らしい。

●まとめ
 おそらく、本市がハウジングを使う必要はないだろうと思われた。
 金融機関のように厳格なセキュリティ管理が求められておらず、しかも個人情報保護の観点から見れば本市はもっと低次元の問題で穴だらけなので、お金をかけるのはそちらが優先だ。
 また、医療機関や消防、防衛といった絶対に止まってはいけないシステムは別だが、本市の基幹系・行政系・教育系は大規模災害時に一時的に停止するのは仕方ない。いったん止めて、順次復旧する格好でいいだろう。
 ただし、オンプレミスからホスティングやクラウドに移行する必要性は感じた。やはり、自前で持つと全体では高くつくし、結局は自前と言ってもシステム会社や保守契約会社に委託するわけで、データを人質に取られて高い費用を払わされる「ベンダーロックイン」が起きがちだ。何よりも、一つの部屋にバックアップデータまで置いているのはリスクが大きく、分散すべきだ。
 だから、基本的にはホスティングやクラウドで運用し、いざという時のために市のどこか安全な施設に、色々なデータをひとまとめに保存する(仮想化した)サーバーを数台置いてバックアップだけとっておけば良いのではないか。いざ契約企業に障害が起きたり、データを人質にとって値上げ交渉したり、何かしら具合が悪くなったら他の会社に乗り換えればよい。そういうことができるように、ある程度一般的なサーバー上で運用できるシステムとできないか。

 ただし、実は、本市はまだ大きな判断を下す状況にない。
 実は、会派有志による複数部署へのヒアリングによって「現時点では本市のシステムの全体像を誰も把握していない!」という恐ろしい現状がわかった。9年前に、公共施設を分散管理していて全体像を誰も把握していなかったため、「施設白書」の策定を提案したが、そのときと同じような状況なのだ。この点については、現在、公共施設と同じように各種システムのいわば「システム白書」「システムカルテ」の基礎調査を実施するよう依頼しており、来年度には第一弾の資料照会結果が出てくる見込みだ。
 そのため、本市のシステムをどうするかは、調査結果が出てきて全体像を把握できた段階で判断したいと私は考えている。

 以上で委員会視察報告を終える。

この記事へのコメント