ファーストサーバ、データ消失事故について第三者委員会の調査報告書を公表
ファーストサーバ株式会社は31日、6月20日に発生したレンタルサーバーサービスのデータ消失事故について、外部の専門家による第三者委員会から調査報告書(最終報告書)を受け取ったことを発表。調査報告書の要約版を一般にも公開した。また、再発防止に向けての取り組みについても、近日中に発表するとしている。
ファーストサーバでは、レンタルサーバーサービスで使用しているサーバーに対して6月20日に実施した作業のミスにより、多数のユーザーのサーバー上のデータが消失。また、復旧作業の過程で、ユーザーに提供した復元データの中に他のユーザーのデータも含まれているという、情報漏えい事故も起こした。
ファーストサーバではこの2件の事故について、専門的および客観的な意見を求めるため、外部専門家による第三者調査委員会を設置。今回、委員会がまとめた調査報告書を公表した。
調査報告書によると、ファーストサーバ内にはシステム変更のための社内マニュアルが存在し、通常はこのマニュアルに沿ってシステム変更が行われていたという。
このマニュアルに従うと、担当者は更新プログラムを作成して検証環境下で実行した後、不具合がないことを確認した後に、少数の「先行ユーザー」への更新プログラムの適用を上長に申請。配布システムを利用して更新プログラムを先行ユーザーが利用しているサーバーに適用した後、不具合がなければ更新プログラムを対象サーバー群に適用するという手順になっていた。
また、更新プログラムはプライマリーディスクにのみ適用され、バックアップディスクには適用されず、バックアップディスクのシステムはプライマリーディスクが毎日午前6時30分に自動的にコピーされることによって更新される仕組みとなっていた。
一方、今回のデータ消失事故の原因となった担当者は、配布システムが導入される以前から、自ら作成した更新プログラムを利用するなど独自の方法でシステム変更を行っており、6月20日のメンテナンス時にも過去の更新プログラムを改変して利用したが、過去に記述していた「対象外サーバー群についてファイルの削除を行う」旨のコマンドを消し忘れていたという。
この担当者は更新プログラムを作成後、検証環境下で対象サーバー群に対して更新プログラムを実行したが、更新プログラムの不具合は「対象外サーバー群についてファイルを削除する」という内容であったため、不具合を確認できなかった。さらに、上長に許可を得ようとしたが上長は会議中で、前日に上長に対してメンテナンスを行う予定であることを報告していたことや、メンテナンスの内容自体はリスクの低い作業であったことなどから、先行ユーザーへの適用というプロセスも省いて、いきなり本番のシステム更新を実施。その結果、メンテナンス対象外だったサーバー群のデータがほとんど消失した。
調査委員会では、今回の担当者がマニュアルに従わない方式でメンテナンスを行っていたことや、それを上長が認識していながら容認していたことなどはファーストサーバの過失にあたり、故意と同視できるほどの悪質な過失(重過失)には該当しないが、比較的重度の過失であったと解されるとしている。
情報漏えい事故については、ファーストサーバではデータ消失を想定したマニュアルを作成しておらず、復元プログラムの実行によって復元したデータに他の顧客のデータが混在する可能性があったにも関わらず、データを復元して提供したことが過失にあたると指摘。重過失とは認められないが、比較的重度の過失だとしている。
また、ファーストサーバでは調査委員会に対して、データ消失事故については「開発・運用プロセスの見直し」「牽制(開発・運用)を含めた体制の確立」「システム変更業務の運用移管と分掌整理」「2次バックアップの取得」、情報漏えい事故については「データ消失次の対応マニュアルの整備」「リスクマネジメントに関する組織の設置」といった再発防止策を示しており、これらについてはいずれも適切なものだと評価できるとしている。