東京証券取引所の売買システムで10月に6年ぶりのシステム障害が発生し、40社近くの証券会社が一部の注文を送れなくなった。引き金はメリルリンチ日本証券のIPアドレス設定ミス。東証と証券各社の運用の不手際も重なり、影響が広がってしまった。4重化構成をフル活用できず、運用面での課題が浮き彫りになった。

 「ログインができない。どうなっているのか」。3連休明けの2018年10月9日火曜日、午前7時30分過ぎ。あるネット専業証券会社のシステム運用担当者は朝からトラブル対応に追われた。

 この証券会社は東京証券取引所の株式売買システム「arrowhead」と接続して直接に売買注文を出せる「取引参加者」の1社だ。4系統ある東証との外部接続ポイントのうち1系統で、通信を確立できない接続不良が発生した。

 原因は自社システムの不具合か、それともarrowheadの問題か、この時点では判然としなかった。幸い他の3系統とは問題なく接続できた。

 東証は午前8時から株式売買の事前注文を受け付け始める。接続できた3系統を通じて注文電文を送り始めるか、様子を見るべきか。その証券会社の運用担当者は対応策を判断するため、東証に連絡を試みた。

接続装置が過負荷で停止

 同じ頃、東証のシステム運用担当も障害対応に追われていた。

 トラブルが発生した接続ポイントは、証券会社から売買注文の電文を受け取る「ゲートウェイ(GW)サーバー」と、その前段に置いた「接続装置」で構成する。接続装置は証券会社のシステムと通信を確立し、注文電文を複数台あるGWサーバーに振り分ける。障害はこの接続装置で発生した。

 4系統のうち問題が起こった接続ポイントを構成する接続装置の「1号機」に対し、メリルリンチ日本証券のサーバーから大量の電文が送信され、1号機が過負荷に陥った。1号機の挙動を監視していた安全機構が装置を緊急停止させた。午前7時31分のことだ。

 arrowheadと接続する取引参加者は約90社ある。午前8時3分、東証は専用の掲示板システムで取引参加者に障害の第1報を発信した。障害の概要を報告したうえで、正常な別系統につないで電文を送るように対応を求めた。

 東証は複数の系統を使って注文電文を分散送信するよう接続条件書で推奨しており、実際に「全参加者が2つ以上の系統で接続していたことを確認済み」(東証IT開発部)。午前8時からの事前注文も、売買が始まる午前9時からの注文電文も各証券会社は問題なく送信できるはず。東証はそう判断した。

 だが、思惑は外れた。野村証券やSMBC日興証券、三菱UFJモルガン・スタンレー証券、みずほ証券など大手を含む多数の証券会社が一部の売買注文を東証に送信できなかった。午前中の注文受付を停止したところも複数あった。サービスに何らかの支障が生じた証券会社は40社弱に及んだ。

 一方でネット専業や外資系などを中心に、ほぼ通常通りに取引を継続できた証券会社も多くあった。

 事態を把握した東証は9日午前11時過ぎ、一部証券会社で取引に支障が発生しているとWebサイトで公表した。9日夕方には記者会見を開き、親会社である日本取引所グループの横山隆介最高情報責任者(CIO)らが状況を説明。東証の賠償責任こそ否定したものの、「証券会社とのコミュニケーションが不足していた」と反省を述べた。

メリルリンチがIPアドレス重複使用

 障害の詳しい原因がその後の調査で判明した。引き金となったメリルリンチ日本証券は10月6~8日の3連休にサーバーを新設した際、既存のサーバーと同一のIPアドレスを設定していた。9日朝にこの2台のサーバーを立ち上げ、重複したIPアドレスで接続装置と通信しようとした。これにより大量の電文が誘発された。

 電文は注文データではなく接続制御などに関わるシステム電文だった。接続装置はシステム電文を連番で管理しており、電文に不整合が生じると再送を要求して再び通信確立を試みる。この日は2台のサーバーでIPアドレスを重複使用していたため不整合が解消されず、再送要求に応じる形でシステム電文が短時間に繰り返し送られ、接続装置が過負荷に陥った。

 メリルリンチはサーバーの新設を事前に東証に申請していた。申請時点で、既存サーバーと同じIPアドレスの使用を申告していた。東証はIPアドレスの重複使用を禁止しているが、同一IPアドレスの申請そのものは受け付けていた。「バックアップサーバーを設置する際に同一IPアドレスを使う場合がある」(IT開発部)からだ。

 メリルリンチは重複したIPアドレスを使った理由について「システム運用の詳細は開示できない」(広報)としており、東証も理由を把握していないとする。申請時点で何らかのミスがあったのか、あるいは同時使用するつもりがないサーバーを誤って立ち上げたのかなど、詳細は不明だ。連休中に東証とメリルリンチは接続テストを実施していたが、その際は新設したサーバーのみを立ち上げていたため、IPアドレスの重複に気付けなかった。

 IPアドレスの重複は初歩的なミスであり、東証にとって想定外だった。再発防止策の1つとして、東証はたとえバックアップ用であっても、重複アドレスの申請を禁止することにした。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら