貴社のシステム時刻は正確ですか？

時刻調整の重要性や、時刻がずれてしまった時の生活への影響について考えたことはありますか? 例えば、目覚まし時計が鳴った後、寝過ごしてしまった時の連鎖反応を考えてみましょう。おそらく子供たちを学校に連れて行くのが遅くなり、電車に乗り遅れて仕事に行くことになります。そして、最初のミーティングに遅れてしまい、貴方が参加できなかったため、結局そのミーティングはキャンセルされ、スケジュールの変更を余儀なくされるかもしれません。

では、例えば、ロケットが宇宙に発射する時刻と重要システムが同期しないケースを想像してみて下さい。先日、米航空宇宙局 (NASA) は、無人宇宙輸送機であるCST-100 Starlinerが予定していた国際宇宙ステーション (ISS) とのランデブーのタイミングが合わず失敗したことで、システムタイムに関して厳しい教訓を得ました。予定されていた有人飛行ミッションの最終テスト飛行では、軌道投入時にエンジンの燃焼が起きませんでした。この不発の原因は、カプセルを打ち上げたUnited Launch Alliance Atlas 5 のロケットに搭載されたコンピュータのタイムスタンプが正確ではなかったためです。その結果、地上の管制官は、自律制御の宇宙船を安定した軌道に乗せるためのコマンドを急いでアップロードしましたが、その過程でこの宇宙船の燃料が大量に消費されたため、宇宙ステーションに到達するためのブースト操作を中止しなければなりませんでした。[i]

すべてをコントロールしている時刻同期は安全なのでしょうか？

ネットワークタイムプロトコル (NTP) は、使用されている最も古いインターネットプロトコルの一つであり、インターネット上でコンピュータクロック同期を行っています。NTPは、ネットワークの変動する遅延の影響を緩和するように設計されているため、システムは遅延なしにNTPサービスにアクセスできますが、これがなければ、ネットワークの時刻同期が正常に行われず、同期が取れなくなります。

NTPの利点は、シンプルで軽量なプロトコルであり、パブリックNTPサーバが無料であり、パブリックインターネット上の任意のデバイスにサービスとしての時刻を提供することです。ただし、パブリックNTPサーバの時刻同期パケットは暗号化されていないため、安全性が低く、DDoS攻撃を受けやすくなっています。NTPサービスを保護しようとすると、プロトコルが「重く」なり低速になるため失敗します。

以下の理由から、パブリックNTPソースはかなり危険です。

• 協定世界時（UTC）へのトレーサビリティがない：UTCへのトレーサビリティがないと、トランザクションとレコードに付加されたタイムスタンプが正しいことを保証できません。その結果、ログ、ビデオ、メールなどのシステムのタイムスタンプを信頼することができません。
• 正確であるという保証はありません：クライアントシステムがマスターシステムと同期するたびに、ネットワークのジッタによって時刻がずれる可能性があります。また、何らかの障害が発生すると、一部のデバイスではシステムクロックとタイムサーバの同期が停止します。
• 時刻設定の変更を制御できません：コンピュータシステムで時刻設定を意図的または不注意で変更された場合、その変更を修正しません。コンピュータシステムはNTPサービスに戻って再同期する必要があります。
• 高可用性の保証はありません：通常、パブリックNTPサービスは冗長化されていないため、サービスまたはネットワーク接続がダウンした場合、正確な時刻を維持するためのバックアップがありません。

信頼性の低いNTPを利用することによる潜在的な影響

上記で概説したあらゆるリスクは、ネットワーク上のコンピュータシステムの無秩序な動作を招くかもしれず、重大な影響をもたらす可能性もあります。例えば次のようなことが考えられます。

• 時刻のソースへのトレーサビリティがなければ、金融取引など時間に関連した記録や携帯電話の通話、字幕テレビの映像など、公式なエビデンスとして時刻関連の記録を作成できません。
• メールを送受信するシステムやトランザクション処理アプリケーションの生産性を向上させるタスクが、悪影響を受ける可能性があります。ブロックチェーンなどの分散型台帳技術（DLT）でトランザクションに与える影響を考えてみてください。金融サービス会社にとっては、それは取り返しのつかない損失を意味する可能性があります。
• システムが重要なワークフローと同期していないため、サービスが中断する可能性があります。たとえば、メールサーバー上の時刻が過去または将来になっている場合、メールの送受信が停止する可能性があります。電子商取引アプリケーションがショッピングカート内の過去または将来のアイテムの注文を実行できないなど、誤ったタイムスタンプになり、トランザクションが失敗する可能性があります。
• セキュリティ証明書やトークンは特定の日付以降に有効期限切れになるため、セキュリティ保護が機能しなくなるかもしれません。つまり、これに依存するアプリケーションが危険にさらされ、動作しなくなる可能性があります。また、機密データの脆弱性が高まるため、企業がプライバシーおよびコンプライアンスに関する規制に違反する可能性もあります。
• モノのインターネット（IoT）などのデバイス間で通信する際に、メッセージのシーケンスを制御できなくなることで、重要なデータがデータドリブンの決定を行う必要のあるシステムに届かない可能性があります。

「サービスとしての時刻」を検討するいい機会かもしれません

Platform Equinix® 上のコンピュータにとって安全な「サービスとしての時刻」は、Equinix Cloud Exchange Fabric™(ECX Fabric™）を介して、ソースであるNTPサーバと分散するシステムやデバイス間を安全でダイレクトな接続を提供します。たとえば、ECX Fabricを介して分散するメトロにプライベートのインターコネクション（相互接続）を活用することで、ニューヨークにマスターNTPサーバ、ボストン、シカゴ、ワシントンDCにシステムを配置することが可能になります。この３つのシステムは、パブリックインターネットを経由せず、ニューヨークのマスターNTPサーバから時刻を得ることができ、システムの精度、調整、セキュリティ、信頼性を脅かす多くの問題を回避することができます。

「サービスとしての時刻」の詳細についてはこちらをご覧下さい。

[i] Geekwire, “NASA and Boeing trace roots of Starliner’s bad timing — and prepare for landing,” December 2019.