新潟県の公文書管理システムから約10万ファイルが消失。人為的ミスが原因 80
ストーリー by nagazou
バックアップ期間も短いような 部門より
バックアップ期間も短いような 部門より
新潟県は21日、サーバに保存していた公文書データ10万件が消失したと発表した。システム保守業者の人為ミスが原因であるという。消失したのは同システムにおいて3月24日午後9時から31日午後11時59分までに登録した文書の添付ファイル10万3389件(新潟県発表、富士電機ITソリューション、にいがた経済新聞、ITmedia)。
同県では富士電機ITソリューションの公文書管理システムを使用しているという。県の職員が4月10日に県の職員が添付ファイルを開けない状況になっていることに気付き、同社に調査を依頼したところ、バックアップ期間(3日間)を過ぎていたためバックアップファイルが残っていないことが分かったという。
原因は、添付ファイルの拡張子を小文字に変更する新機能を、必要な社内手続きを経ずに追加したこと。これにより、不要なファイルを削除するプログラムが約10万件のファイルを不要として削除してしまったとしている。開発担当者と運用担当者の間で情報共有もできていなかったとのこと。
同県では富士電機ITソリューションの公文書管理システムを使用しているという。県の職員が4月10日に県の職員が添付ファイルを開けない状況になっていることに気付き、同社に調査を依頼したところ、バックアップ期間(3日間)を過ぎていたためバックアップファイルが残っていないことが分かったという。
原因は、添付ファイルの拡張子を小文字に変更する新機能を、必要な社内手続きを経ずに追加したこと。これにより、不要なファイルを削除するプログラムが約10万件のファイルを不要として削除してしまったとしている。開発担当者と運用担当者の間で情報共有もできていなかったとのこと。
実は (スコア:2)
探してみたらゴミ箱に入っていた。さすがWindows
追加情報 (スコア:1)
新潟県データ10万件消失事故 拡張子を小文字にしたかったのはなぜか 県に聞いた [itmedia.co.jp]
こんなのマクロ側をなおせばいいのに...
おもしろいことをするなぁ。
Re:追加情報 (スコア:2)
面白いというか謎仕様だ。ファイル名をちょっとでもいじったら消されるの? この件、不思議な仕様と経緯だらけ。
Re:追加情報 (スコア:1)
「登録されたファイルのリスト」
ファイル登録時にリストを生成して、勝手に変更されたら改変されたと見做して削除するという仕様なんすかね。
後付のツールが勝手にファイル名を変更するというのは想定できないでしょうし。
改修するとしたら
・ファイル名やタイムスタンプ変更が見つかったら、ファイルを隔離してアラーム上げる
・作業履歴を確認して、廃棄 or renameして戻すかどうかを判断
とかかな
Re: (スコア:0)
ストレージの空きを確保するためのガベージコレクション的な奴かと。
参照されてないから不要として削除したけど、実は使用中だったと。
Re: (スコア:0)
ファイルを登録するときにDBに書き込み、同時にファイルを作成する。
ファイルを読みだすときはDBで検索して、その情報に基づいてファイルを取得して返す。
不要ファイルの削除をするときはDBの該当ファイルの情報を消し、のちにバッチ処理でDBに載っていないファイルを消していく。
そんな処理になっていたんじゃないですかね。
DBにはメタ情報が入っていて、普段をそれで該当ファイルを探してダウンロードするシステムであると考えれば、それほどおかしな設計ではないと思いますよ。
Re: (スコア:0)
クソ仕様な気がしています。(しかも高額かも)
もっと普通な仕様を提案できるチャンスなのかも。
バックアップ世代管理が3日間というのも時代遅れを感じます。
Re: (スコア:0)
マクロ側を修正するお金がなかったんでは。
一方、DB側の変更は既存の開発・保守契約の範囲内で納められるとか?
# まあ普通はDB側はいじらないよな、、影響する範囲を見積もるだけでもたいへん。
Re:追加情報 (スコア:2)
ITmedia
仕様を尋ねて、「どうしたらいいの?」か、「何とかならないの?」とか、ボソッと言った感じ? もちろん、何も言ってない可能性もある。富士電気側が解決策を模索して試してみて、ああこれでいいや、で正式のゴーサインや協議を怠った感じ? 富士電気は「保守担当者の人為的ミス」としか発表していない。
Re: (スコア:0)
影響範囲を見誤ったらこういう問題やらかすわけだしな
社内の地獄絵図を想像すると震える (スコア:1)
本当に不味い事が起きると「やばw」なんて言葉は一切なく、絶句してマジで手が止まる。
原因追求してた社員もメールなんかで情報共有なんて事もなく、上司に口頭報告だろうなぁ。
聞かされた上司も絶句。酷い上司だとなると怒りをどうしていいのか分からず目の前の無関係な人に何故か怒鳴り始めて犯人探しを始める。
原因を作ったやらかした張本人とかは意外にケロっとしているんだよなぁ。「なんかあったすかw」みたいな。
#実際に起きた事をちょっとアレンジ。
Re: (スコア:0)
ヤバすぎてやらかした張本人は担当をパージされ、謝罪や対応も上司とか別の人が行くしな!
#実際に起きた事をちょっとアレンジ
Re: (スコア:0)
その割には会社のサイト見ると例年通りにGWはお休みを取るらしいですが。ケロっとしてますねえ。
Re:社内の地獄絵図を想像すると震える (スコア:1)
対外的にGWを主張して電話受付を中止するだけで、中の人が休むとは限らないのでは?
実際問題として、データのリカバリー作業をする必要があると思うので、地獄の作業前にゆっくり休んでおくって事なのかもしれないし。
ファイルシステム (スコア:0)
ファイル名の大文字・小文字を区別しないファイルシステムであれば問題なかったのに。
Re: (スコア:0)
ファイルシステムじゃなくてファイルリストみたい。
Re: (スコア:0)
ファイル名の大文字・小文字を区別しないファイルシステムであれば、そもそも今回の新機能が追加されることはなかった。
Re: (スコア:0)
いや新機能追加はマクロの不具合対応だよ。こちらもおそらく比較がCase Sensitiveなせいだからファイルシステム関係ない。
Re: (スコア:0)
マクロ付のExcel使ってるってあるからNTFSだよね。
それならファイルリストと突き合わせるときにcase ignoreでやらないといけないのにそうではなかったと。
今回、引き金を引いたのは新機能の追加だったけど、いずれ問題が生じるシステムだったと思うよ。
Re: (スコア:0)
ファイル名の大文字・小文字を区別しないファイルシステムしか
今まで使ったことがなかったんだろうなぁ、誰も彼も。
すぐに動けば復旧できたのでは? (スコア:0)
・添付ファイルは、4月9日夜にシステムから削除されていた。
・バックアップは3日間の保存であり、削除されたことが判明した時点で3日を経過してしまっていた。
ということならば、11日までは8日分のバックアップが残っていたはずだが、3日を経過していたとは一体どういうことなんだ? デイリーバックアップではなかったとか?
Re: (スコア:0)
「削除されたことが判明した時点」が何日なのかリリースに記載がないのが悪いけど、
・4月10日に県から不具合の連絡があったが、運用担当者は新たな機能が適用されたことを把握しておらず、添付ファイルが削除されるはずはないと思い込み、対応が遅れた。
とも書いてあるから、たぶん12〜13日頃に削除されたことに気付いて、タッチの差でアウトだったんだろう
12日なら9日時点のバックアップが残っていた可能性もあるが、バックアップを取った時間にもよるな
マジで時間との戦い
どういうバックアップなの (スコア:0)
>県の職員が4月10日に県の職員が添付ファイルを開けない状況になっていることに気付き、同社に調査を依頼したところ、バックアップ期間(3日間)を過ぎていたためバックアップファイルが残っていないことが分かった
3日前の全データを無条件で上書き保存してるだけ??そんなのバックアップっていえるの?
Re: (スコア:0)
逆にどういうラインを超えたらバックアップと言えるのか?
Re: (スコア:0)
個人的には、バックアップを取り始めてから最新までの任意の時点に戻せるものかな。
粒度(一日単位か、週単位か、月単位か)はともかく。
次々と上書きされて、ひとつ前にしか戻せないというのは一寸違う気がする。
Re: (スコア:0)
それバックアップじゃなくてバージョン管理だろJK
Re: (スコア:0)
バックアップはその目的に応じてデザインする。
障害の為のバックアップは人為ミスのためのバックアップデザインではないので効果は期待できない。
(偶々救われるケースもあるが元々その為のものではない)
3日間と聞くとデイリーでスナップショットを3日分保存する状況を想像する。
アップデート不具合のデータ喪失や、誤操作に直ちに気付いた状況のリカバリはカバーするぐらいの想定かな。
人がシステムに削除を指示したファイルはむしろ削除されなければならないので、
人が誤って削除する対策をどのレイヤで講じるべきかはそれほどシンプルな問題ではないと思うよ。
バックアップは金がかかる (スコア:0)
バックアップが3日なのはどうなん?
今回は人為的問題だけと、ランサムウエアとか。
あと営業日3日なんだろうか。
GWでデータありません、とか起こりそう。
Re: (スコア:0)
バックアップが3日なのはどうなん?
えらいひとにとっては即時隠滅してくれないなんてってくらい長いのでは?
Re:バックアップは金がかかる (スコア:2)
東京都がこの不具合に興味を持たれたようです
Re: (スコア:0)
週のどこかでフルバックアップ、あと6日は差分バックアップ。それを4セットか5セットくらい用意して・・・
ってのが無難なとこだと思ってた。
実際今まで組んだシステムはたいがいそれでやってた。
3営業日ってなかなかきつい仕様ですな。
Re: (スコア:0)
自治体だから主に災害対策用なんだろう(ついでにランサムウェア対策みたいな)
どっちも被害があればすぐに気付くだろうから3日でいいやって考えだったのかも
まさか障害報告から3日間もファイル削除の事実に気付かない大間抜けが保守担当とは思いもよらないだろうし
Re: (スコア:0)
あんまり使ってなかったんじゃね。
大騒ぎにはなったが、なくても大しては困らないシステムなのかもしれない。
そういうの結構あるでしょ。
公文書管理システムで3日って… (スコア:0)
公文書って保管年限決められてるんだから、いくら原本が紙運用してても、管理システムのバックアップも保管年限に合わせて設計しないと。
日次7、週次5、月次13、年次3から7ぐらい、週次から分散保管ぐらいしないとダメじゃね?
(例に出したポリシーは金融系の会社の要件でよく上がるやつ、もちろんテープです)
Re: (スコア:0)
不具合が起こらなければ当然規定された期間は残ってるだろ。
おまえの理論で行くとバックアップのバックアップも取っとかないとな。
Re: (スコア:0)
バックアップのバックアップって普通取るよね?Secondary Backupって言葉がずいぶん昔から普通にあって、
最近、って言ってもクラウド黎明期ぐらいからオンプレミスについてはThirdlyを検討しましょう、っていうのがちょぼちょぼあるぐらいなのに。
Re: (スコア:0)
いや取らんが?そんなシステム納めた経験も無いな。おまえの普通って世間の何割ぐらいがやってたら普通なん?
Re: (スコア:0)
そりゃ小規模過ぎないか?
東京と大阪に拠点があるぐらいの規模のファイルサーバーですらDR対策として普通にバックアップ二重化ぐらいは提案するぞ。
動作環境→東京バックアップ→大阪バックアップ(同世代or1世代ディレイ)って流れ。
Re: (スコア:0)
システムの種類にもよるけれど、公文書管理システムくらいになると当然のようにバックアップのバックアップは残すよね。
昔ならば紙の文書を倉庫に保管するのだろうけど、今どきならテープなどにバックアップして長期保管するのではないか。
バックアップには種類があって、システムに障害があった場合に直近の状態に戻す時に使うバックアップと、長期間ファイル単位で残しておくバックアップがある。
公文書を3日間しか残さないバックアップなんて、通常はあり得ない。
これほど短い期間しか残さないのって、数年前にあった公文書の偽造問題で、偽造の証拠を隠す
Re: (スコア:0)
金融系だったらファイル消失即大損失だから入念なバックアップにも合理性があるんだけど、公文書ってバックアップする動機に乏しいんだよね。
命や財産に直結するのは住基ネット周りとか予防接種の記録とか災害復旧用の図面とかそういうのだけで、残りのほとんどはしょーもない文書ばかり。
って書いてある通りで、行政の透明性の確保のためにどれだけ税金を投入するのかって考えると、3日は短いにしても親コメのは過剰。
Re: (スコア:0)
ディスクストレージだったら確かに高いけど、テープなんて1巻2-6万円ぐらいよ。
高く見積もってもドライブと24巻オートローダー込みでハード500万ぐらいだから、諸々込みで1000万で十分おつりがくる。
公文書はバックアップに1-2人分/年ぐらいは掛けていいと思うんだけど。そんなに感覚違う?
Re: (スコア:0)
少なくとも新潟県の感覚とは違ったんじゃないかな
Re: (スコア:0)
って書いてある通りで、行政の透明性の確保のためにどれだけ税金を投入するのかって考えると、3日は短いにしても親コメのは過剰。
でも実際、役所って書類作るとき「去年どうしてたっけ」で昨年の書類をテンプレに作成してたりするので実はコレって恐ろしい量の労力の喪失を意味するのではないか
Re: (スコア:0)
昨年のがなければ一昨年のを参考にすればいいじゃない
Re: (スコア:0)
全部消えたんですがそれは
Re: (スコア:0)
全部消えたんですか?
いやマジで消失範囲がわからない
年度末だから1日あたり3万件受理してもおかしくないのか、過去分も含めての10万件なのか
Re: (スコア:0)
3日以上前の仕事が全部消えたんじゃないのか。
昔某所で2週間以上前のデータが全部消えたが、各人がローカル保存していたデータを持ち寄って完全復元したことがあった。
ローカル保存しちゃいけないはずのデータもあったのにお咎めなしだったという。
3/24, 3/31はどちらも金曜日 (スコア:0)
こういう契約って、週1でしかメンテナンスもチェックもしないもんなんでしょうか。改修入ったら最低1週間放置でログも見ませんってのは普通なの?ならばバックアップは最低7日、いや当日分入れて8日は必要だよね?
Re: (スコア:0)
バックアップから戻せませんでしたってインシデントの多発具合からするとお察しでしょう。
この手のメインじゃないというかその他いろいろなシステムだと週一どころかなんかあったらやっと見る程度なんじゃないかなぁ。
ハード異常なんかはメーカー保守の一環で常時監視してくれるようになってたりするけど。
役人に有らぬ知恵を付けるのが (スコア:0)
今風IT技術なのかなのか!