概要
- 2023 年 11 月 8 日の Optus の障害は、公共安全に関わる国内通信事業者の継続性障害であった。政府委託のBean レビューは、約 1,000 万人の顧客と約 50 万の事業者が影響を受けたと推定し、ACMA は後に Optus が 2,145 人に対して緊急通報サービスへのアクセスを提供できなかったと認定した。
- 技術的なトリガーは単純な「インターネットが落ちた」といった事象ではなかった。ACMA の調査によると、Singtel の国際上流トランジットネットワークでの定常的なソフトウェアアップグレードによりトラフィックが再ルーティングされ、Optus は IPv6 ルーティング情報の大幅な増加を受け、コアルーターがサードパーティベンダーの事前設定された安全限界を超え、それらのルーターが自己隔離した。
- 緊急通報は、単に通常の Optus サービスが障害を起こしたためだけに失敗したわけではない。より深刻な継続性の問題は、Optus コアを経由して緊急通報が進行できないにもかかわらず、一部の 3G 無線ユニットが信号を放射し続けたことである。一部のデバイスは他の事業者にキャンプオンする代わりに Optus の信号を利用しようとし、Optus は障害中にそれらの 3G サイトを強制的にウィルトさせるために必要な遠隔管理パスを持っていなかった。
- ACMA はこれを制御可能なコンプライアンス違反とみなし、不可避の上流事象とは見なさなかった。報告書は、Optus が自社ネットワークの設定、アーキテクチャ、ルーティング伝搬、O&M ネットワークへの依存、変更管理対応を管理していたと述べている。Optus はその枠組みの一部に異議を唱えたが、規制当局は緊急通報の目的において障害が Optus の制御外であったという主張を退けた。
- 顧客および利害関係者とのコミュニケーションは、第 2 の説明責任のトラックとなった。Bean レビューは顧客とのコミュニケーションが不十分であるとし、自主的なガイダンスが遵守されていなかったようだと指摘し、大規模障害に対する顧客コミュニケーションの義務化を勧告した。
- 障害後の改革の記録は、何が欠けていたかを示すため重要である。すなわち、トリプルゼロ管理機関、半年ごとのエンドツーエンドの緊急通報テスト、リアルタイムの障害データ共有、義務的な障害後報告、直接通知義務、改善された顧客コミュニケーション、そしてより広範な政府および業界の冗長化計画である。
この障害は公共安全のテストであり、単なる通信事業者の信頼性の問題ではなかった
Optus の障害は、クラウド制御プレーンのインシデント、航空会社のスケジュール崩壊、決済ネットワークの停止と同じ説明責任のカテゴリーに属するが、より深刻な公共安全への影響を伴う。小売アプリがダウンした場合、消費者は利便性を失い、企業は売上を失うかもしれない。しかし、国内通信事業者事業者が障害を起こした場合、直ちに問われる継続性の問題は、顧客がまだ緊急通報できるか、病院が連携を維持できるか、交通機関が運行を続けられるか、小規模事業者が決済を受けられるか、政府が状況情報を共有できるか、そして脆弱な立場の人々が何をすべきか分かるかどうかである。
公的記録は異例なほど充実している。オーストラリア政府は 2023 年 11 月 9 日に事故後調査を発表し、後にリチャード・ビーン氏が主導する2023 年 11 月 8 日の Optus 障害に関するレビューを公開した。最終報告書は、この障害が Optus の顧客および Optus の再販業者の顧客向けサービスを中断させ、消費者、企業、政府サービス、公衆衛生、安全インフラに支障をきたし、約 1,000 万人の顧客と約 50 万の事業者に影響を与えたと述べている。
その後、オーストラリア通信メディア庁(ACMA)が執行記録を作成した。2024 年 11 月の ACMA の発表、Optus、トリプルゼロ障害で 1,200 万ドルの罰金を支払うによると、Singtel Optus の子会社は緊急通報規則違反により総額 1,200 万ドル超の罰金を支払った。ACMA は、Optus が障害中に 2,145 人に対して緊急通報サービスへのアクセスを提供できず、緊急通報を試みた人に対する 369 件の必要な福祉確認を実施しなかったと認定した。
これら 2 つの記録は異なる問いに答えている。Bean レビューは執行判断ではない。技術的原因、規制遵守、補償額の妥当性はその主要範囲外であると明示した。その焦点は、トリプルゼロ、政府の対応、顧客コミュニケーション、苦情、補償、通信の耐障害性について、システムが何を学べるかであった。対照的に、ACMA の調査報告書および違反通知ページは、緊急通報法に基づく規制当局のコンプライアンス記録である。責任ある記事は、両者を混同せずに利用すべきである。
総合的な教訓は明白だ。通信の耐障害性とは単なる稼働時間ではない。それは、通信事業者が緊急通報アクセスを維持し、コアネットワークの障害を管理し、管理チャネルの到達性を保ち、他のプロバイダーに警告し、政府や緊急対応機関と状況を共有し、顧客と正確にコミュニケーションし、事後に証拠を提示できる能力である。
技術的連鎖は、規制上の認定に足るだけ制御可能であった
この障害の公に語られるストーリーは、ルーティング情報から始まる。Bean レビューによれば、多数の Optus ルーターが IP ルーティング情報の過負荷により自動的に自己隔離した。ソフトウェアアップグレード中、Optus ネットワークは代替の Singtel ピアリングルーターからのルーティング情報の変更を受け取り、それらのルーティング変更が IP コアネットワークの複数層を通じて伝搬した。AEDT 午前 4 時 5 分頃、かなりの数の Optus ネットワークルーターで事前設定された安全限界を超え、コアネットワークとの接続が失われた。
ACMA の調査は重要な詳細を追加している。ACMA 調査報告書 PDFによれば、ルーティング情報の増加は、Optus の国際上流トランジットネットワークの 1 つである Singtel インターネットエクスチェンジでの定常的なソフトウェアアップグレードに続くものであった。北米の STiX ルーターがアップグレードされ、トラフィックはアジアの代替 Singtel ピアリングルーターに再ルーティングされたが、これはそのような更新で想定通りの再ルーティングであった。その後、Optus ネットワークはルーティング情報、特に IPv6 情報の大幅な増加を受け、それが複数層に伝搬し、一部のコアルーターで事前設定された安全限界を超えた。
この区別は重要である。もし分析が「上流の Singtel のアップグレードが問題を引き起こした」で止まれば、実質的な説明責任は曖昧になる。ACMA はそこで止まらなかった。同庁は、ソフトウェア更新がルーティング情報の増加を引き起こしたことを認めつつも、障害は Optus のコアルーターの自己隔離によって引き起こされたと考えた。同庁は、これらのルーターの保守、Optus ネットワークのアーキテクチャと設定は Optus の管理下にあったと述べた。また、デフォルトの制限値はサードパーティの機器ベンダーによって設定されていたが、変更可能であったと指摘した。
Optus は、ルーティングトラフィックの増加は自社の制御外であり、機器ベンダーも外部専門家も障害前にルーターの安全限界リスクを特定していなかったと主張した。ACMA はより広範な免責を退けた。同報告書は、再ルーティングされたトラフィックは Optus ネットワークの複数層を伝搬したが、他のネットワーク層のルーターを自己隔離させることはなく、Optus 自身もネットワークはその変更に対処できるはずだったと述べている。規制当局の説明責任に関する一文は異例なほど直接的である:機器ベンダーや外部専門家が沈黙していたことは、Optus の責任を免除したり、不十分な設定と変更管理に関連するリスクを Optus から移転したりするものではない。
これがインシデントの核心である。ネットワーク事業者は、ベンダー、上流トランジットの取り決め、デフォルト設定、外部専門家、ピアネットワークに依存することがある。それでもなお、合理的なルーティング変更が全国的な通信事業者の障害になるかどうかを決定するアーキテクチャを所有している。ルート伝搬制御、安全限界のレビュー、ラボテスト、ロールバック準備、テレメトリ、管理プレーンの分離、依存関係マッピング、そして計画された上流の変更が自社のコアを過負荷にする可能性があるかどうかを問うビジネスプロセスを所有しているのである。
これは、すべての詳細が事前に公的に知り得たことを意味しない。ACMA の報告書は部分的に墨消しされており、完全な Optus ネットワークマップを公開していない。また、特定のエンジニア、ベンダー、経営幹部が正確な故障連鎖を直接認識していたことを証明するものでもない。説明責任のある主張は、より狭く、かつ強力である:設定とアーキテクチャは Optus の実質的な管理下にあり、規制当局は、障害前に合理的に実施可能な措置が耐障害性を改善できたと認定した。
トリプルゼロはネットワーク障害とフォールバック設計の境界で機能しなかった
最も深刻な継続性の失敗は、通常の Optus サービスがダウンしたことではなかった。国内通信事業者事業者の障害だけでも十分に悪い。しかし、緊急通報システムは、モバイルユーザーのホームネットワークが利用できない場合にフォールバック動作をすることが想定されている。大まかに言えば、モバイルデバイスは、ホームネットワークが通話を運べない場合、緊急通報のために他の利用可能なネットワークに「キャンプオン」することができる。
Bean レビューは、11 月 8 日にそれが確実に機能しなかった理由を説明している。コアネットワーク接続の喪失に伴い、Optus の 4G および 5G 基地局は自動的にウィルト(停止)したため、デバイスは他のネットワークを探索できた。しかし、Optus の 3G 無線ユニットは、コアネットワークの障害により通話がトリプルゼロに進行できなかったにもかかわらず、音声チャネルを介してコアネットワークへの接続を維持していたため、信号を放射し続けた。一部のデバイスはこれらの 3G 信号を検出し、他のネットワークを探すのではなく、Optus を通じて緊急通報を試みた。これらの通話は Optus ネットワークからエラー信号を受信した。
ACMA の報告書は、同じ問題を執行の言葉で述べている。この障害により、Optus の運用・保守(O&M)ネットワークへの接続が失われた。この O&M ネットワークは、基地局を含むネットワーク要素の監視に使用されていた。この喪失により、Optus は 3G ユニットが信号を放射し続け、障害中も音声伝送能力を維持していることを特定することが困難になった。3G 信号は、たとえ Optus が通話を運べなくても、ほとんどのモバイルデバイスが緊急通報時に他のネットワークにキャンプオンするのを妨げた。
したがって、フォールバックは、一般の顧客が違いを見分けられないまさにその地点で失敗した。遭難している人は、自分の電話が壊れた 3G 無線に接続されているのか、他の事業者にキャンプオンしようとしているのか、あるいはアクセスネットワークとコアネットワークの状態の間で静かに捉えられているのかを知る由もなかった。ユーザーの視点からは、唯一意味のある問いは、緊急通報が確立され維持されるかどうかだけである。
だからこそ、ACMA の緊急通報の数字が重要なのである。規制当局は、添付資料にリストされた 2,145 件の失敗した緊急通報を発見した。Optus Mobile は 000 または 112 に緊急通報を行った 2,091 人のエンドユーザーに緊急通報サービスへのアクセスを提供できず、Optus Networks は 41 人のそのようなエンドユーザーに対して、Optus Internet は 12 人に対して同様に失敗した。また、Optus Networks が提供する固定回線サービスでの 106 通報の失敗も 1 件発見した。2,145 件の通報は、関連する終端点に運ばれなかった。
規制の枠組みは、緊急アクセスに関する書類上の見方を拒否する。ACMA の報告書によれば、Optus は、関連する要件は実際の通報の接続ではなく、ネットワーク設定に関するものであると主張した。ACMA はこの見解を退け、緊急通報は、試みられたときに通報が確立され維持されなければ、人は緊急通報サービスへのアクセスを持たないという法的概念を引用した。言い換えれば、緊急アクセスは、ユーザーが接続できなければ、名目上のアーキテクチャによって満たされるものではない。
これはすべての重要ネットワークにとって中心的な説明責任の教訓である。フォールバックは、図面に書かれているから存在するのではない。実際のデバイス、実際の無線状態、実際のコア障害、実際の緊急通報ルーティングがストレス下で正しく動作するときに存在するのである。
アウトオブバンド管理は副次的な問題ではなかった
アウトオブバンド管理は、ネットワークがダウンし、事業者が制御する必要のあるコンポーネントに到達できない瞬間まで、エンジニアリングの詳細として扱われがちである。Optus のケースでは、それは公共安全の制御手段となった。
Bean レビューは、Optus が顧客が他のネットワークにキャンプオンすることでトリプルゼロに確実に通報できるようにできなかった 2 つの根本原因として、運用・保守ネットワークまたはアウトオブバンドネットワークを通じてコアインフラに到達できなかったこと、および 3G 無線基地局を強制的にウィルトさせることができなかったことを挙げている。レビューは、Optus が OAM ネットワークが利用可能であれば、自動ウィルトの遠隔オーバーライドを含む事後対応オプションがあったと述べたが、11 月 8 日には OAM ネットワークが利用できず、Optus は 3G ネットワークを手動または遠隔でシャットダウンしてウィルトを強制することができなかったと記録している。
ACMA は同じ点をより鋭く指摘した。報告書は、O&M ネットワークは、基地局を含むネットワークの一部を監視し管理するため、適切かつ効果的なネットワーク機能を維持するために不可欠であると述べている。同庁は、Optus が障害時にネットワークを効果的に管理するためのアウトオブバンドネットワーク接続を実装するための実行可能な措置を講じていなかったと認定した。同庁は、O&M ネットワークの設計は、コアネットワークへの依存を減らし、連鎖的な障害のリスクを許容可能なレベルまで低減すべきであったと考えた。
Optus は ACMA に対し、OOB ネットワークは緊急通報の伝送に使用されていないため、緊急通報決定の関連条項の対象ではないと述べた。ACMA はこの主張を退けた。規制当局は、OOB 障害は、O&M ネットワークに関連する障害が、より広範なネットワークが適切かつ効果的に機能しなかったことを意味するため、関連性があると述べた。同庁は、効果的な OOB 運用は、ネットワークの影響を受けた部分、特に 3G タワーのウィルト失敗に関する保守のための信頼できる方法を提供することで、障害の範囲、影響、および期間を縮小できた可能性があると述べた。
この認定は Optus を超えて重要である。管理ネットワーク、リモートアクセスパス、電源制御、可観測性システム、特権アクセス、緊急運用ランブックは、しばしば内部の信頼性管理策として扱われる。重要インフラにおいては、それらは公共の管理策となる。それらは、主要サービスプレーンが故障したときに、事業者がネットワークをより安全な縮退状態にできるかどうかを決定する。
ここでのより安全な縮退状態は、「すべてを即座に復旧する」ことではなかった。より基本的なことだった:ハンドセットが他のネットワークを通じて緊急通報を試みられるように、誤解を招く 3G 信号の放射を停止すること。したがって、エンジニアリング上のタスクは、人間の結果に結びついていた。管理プレーンの依存関係が、公共安全のフォールバックが大規模に機能するのを妨げたのである。
顧客コミュニケーションはそれ自体が継続性の失敗となった
この障害はまた、自主的な顧客コミュニケーション慣行の限界を露呈した。Bean レビューは、Optus が最初のメディア声明を午前 6 時 33 分、すなわち障害発生から約 2 時間半後に発表し、その後午前 8 時 16 分に再度発表したと記録している。Optus は、顧客が Optus サービスにアクセスできなかったため、メディアコミュニケーションが最速かつ最も効果的な経路であると考えたと述べた。また、ビジネス顧客への連絡、午後 12 時 55 分にオンラインに戻った後のウェブサイトとソーシャルチャネルへの投稿、午後 2 時からの小売店情報の提供、CEO による 11 回のメディアインタビューも行った。
レビューはこれが十分であるとは認めなかった。Optus は自社のコミュニケーションを適切かつ妥当であると考えたが、この見解はレビューを含む他の人々には共有されなかったと述べている。顧客の不満、通信大臣への公開書簡や電子メール、消費者擁護団体が、タイムリーで明確な情報の欠如が、特に脆弱な人々、障害者、低所得者、地方・遠隔地のコミュニティに苦痛を与えたとの懸念を表明したと報告している。
レビューの結論は明白である:Optus の障害中のコミュニケーションは不十分であった。顧客への助言の遅れ、原因と影響に関する詳細な回答の欠如、復旧時期の未提示を指摘している。また、Communications Alliance の緊急通信プロトコルガイドラインは限定的であり、プロバイダーの裁量に多くを委ねており、Optus によって遵守されていなかったようだと述べている。
これは単に評判の問題ではない。コミュニケーションは継続性の管理策である。モバイルやインターネットサービスを失った顧客は、トリプルゼロに到達できるか、固定電話が影響を受けるか、場所を移動すべきか、病院や高齢者ケア提供者が代替の連絡手段を持っているか、決済端末が影響を受けるか、再販業者が障害の一部であるか、ビジネスサービスが影響を受けるか、いつ待つのをやめてバックアッププロバイダーに切り替えるべきかを知る必要がある。
中小企業にとって、コミュニケーションの問題は特に具体的である。レビューは、約 50 万の事業者が影響を受けたと推定した。カード決済が処理できないカフェ、電話を受けられない医療機関、モバイルデータに依存する宅配業者、顧客からの電話を待つ個人事業主は、意思決定を支援する復旧情報を必要とする。スタッフを帰宅させるべきか?現金のみのプロセスを開始すべきか?バックアップ SIM を配布すべきか?予約をキャンセルすべきか?「対応中」というメッセージは、これらの運営上の質問に答えない。
レビューの勧告は当然の帰結である:ACMA は、事業者が障害中および障害について顧客に特定の情報を伝達することを要求する基準または決定を策定すべきである。これは、ブランド管理の危機コミュニケーションから、規制された最低限のコミュニケーションへの移行である。
再販業者と他のプロバイダーは単なる傍観者ではなかった
Optus ネットワークは、直接の Optus 顧客だけでなく、再販業者の顧客もサポートしていた。これは別の説明責任の層を生み出した:基盤となる通信事業者が障害を起こした場合、下流の通信サービスプロバイダーとその顧客は、直接的で利用可能な通知を必要とする。
ACMA は、Optus Mobile と Optus Networks が他の通信サービスプロバイダーへの通知義務に違反したと認定した。規制当局の報告書によると、Optus Mobile は関連アクセスを提供した 16 の CSP のリストを、Optus Networks は 20 の CSP のリストを提供した。Optus は主に、全国メディアチャネル、ソーシャルメディア、メディアリリース、ウェブサイトの更新を通じて、Optus ネットワークを使用する CSP に通知した。ACMA は、これらの声明は CSP 自身への直接通知ではなく、広範な公的コミュニケーションであると見なし、通知要件を満たしていないと判断した。Optus は、予備的調査結果で特定された CSP に直接通知しなかったことを認めた。
これは、ホールセールの依存関係が顧客被害の形を変えるために重要である。再販業者の顧客は、基盤となるネットワークが Optus であることを知らないかもしれない。再販業者のサポートデスクは、直接のステータス、技術的事実、緊急通報情報、復旧見積もりを欠いたまま、苦情の洪水に見舞われる可能性がある。下流プロバイダーは、アラートをプッシュし、カスタマーサービススクリプトを調整し、脆弱なユーザーに警告し、企業顧客と調整する必要があるかもしれない。
全国的な障害では、メディアリリースは直接の運用通知の代わりにはならない。重要な依存関係チェーンには、指名された連絡先、エスカレーションパス、ステータスフィード、事前合意された文言が必要である。説明責任のある事業者は、障害前に誰が自社のネットワークに依存しているかを知っておく必要があり、障害中の公的な混乱を通じてそれらの関係を発見してはならない。
Bean レビューのより広範な調整に関する所見も同じ方向を指している。レビューは、1 日を通じてコミュニケーション、協力、情報共有の不足を発見し、既存のプロトコルは主要な利害関係者間で明確かつ調整された対応を提供するために効果的に機能しなかったと述べている。大規模サービス中断通知プロトコルは遵守されなかった。国家調整メカニズムは午後に発動され、2 回の会合を開催したが、レビューは、より早期の、より明確な政府主導の調整が価値があっただろうと指摘した。
議会の精査は同じ記録を広げた。上院環境通信参照委員会のOptus ネットワーク障害報告書とその公開提出資料集は、消費者団体、業界参加者、政府機関、影響を受けた利害関係者が、この障害を私的な顧客サービス紛争ではなく、公的説明責任の事象として扱ったかを示している。この議会資料は ACMA の執行認定を置き換えるものではないが、国内通信事業者事業者の障害がエコシステム全体に証拠ニーズを生み出すことを強化する。
したがって、通信事業者の障害は、企業とその小売顧客の間の二者間の出来事ではない。それらは、再販業者、緊急サービス組織、緊急通報受付者、規制当局、大臣、州および準州の機関、病院、交通事業者、決済プロバイダー、ビジネス顧客を通じて移動する。責任は依存関係グラフに従う。
福祉確認はコンプライアンスチェーンの人間的末端を示した
緊急通報の失敗は、ネットワークが復旧したときに終わらない。誰かが緊急通報を試みて失敗した場合、システムは人間の質問に答えなければならない:その人は後に助けを受けたか?
ACMA は、Optus が 369 件の通報について必要な福祉確認を実施しなかったと認定した。報告書によると、Optus は 2,145 件の通報のうち 183 件について、可能な限り速やかに福祉確認を実施した。31 件については、エンドユーザーがその後 Telstra ネットワークにキャンプオンして成功した緊急通報を行ったため、例外が適用されることを受け入れた。1,562 件については、通報以降にモバイル顧客機器の位置が変更されていたため、別の例外が適用されることを受け入れた。これにより、福祉確認が必要な 369 件の通報が残った。Optus は、これらの通報について福祉確認を実施しなかったことを認め、361 件は Optus Mobile のエンドユーザー、8 件は Optus Networks のエンドユーザーに関するものであった。
福祉確認義務は官僚的な後付けではない。それは、助けを求めようとしてまだリスクにさらされている可能性のある人を特定する、システムの最後の既知の機会である。このプロセスには、電話または SMS による連絡、および連絡が取れない場合は州または準州の警察への照会が含まれ得る。失敗した緊急通報を特定できず、後に成功した通報があったかどうかを確認できず、または速やかに福祉確認を実施できない通信事業者は、信号復旧後も持続する継続性のギャップを抱える。
ここで、通信の説明責任は最も人間的になる。失敗した通報ログは単なるデータセットではない。各レコードは、医療緊急事態、暴力事件、火災、交通事故、または脆弱な世帯にいる人物を表している可能性がある。ネットワーク事業者の証拠慣行、通話詳細記録、例外ロジック、顧客位置情報の取り扱い、障害後のワークフローが、その人物が障害統計の中に消えるか、フォローアップを受けるかを決定する。
ACMA のリリースの表現は適切に厳しい。トリプルゼロの可用性は、通信事業者が一般市民に提供しなければならない最も基本的なサービスであり、緊急通報が接続に失敗した場合、公衆の健康と安全に壊滅的な結果をもたらす可能性があると述べている。また、リリースは、Optus が障害解決後も 360 人以上の顧客の安全と福祉をフォローアップしなかったと述べている。
いかなる公的記録も、既知のことを誇張してはならない。ACMA の報告書は、2,145 件の失敗した通報の個別の緊急状況を公開していない。各失敗通報が特定の傷害を引き起こしたとは述べていない。しかし、緊急アクセスとフォローアップ義務が大規模に失敗したことを立証しており、それだけで高い信頼性の説明責任の結論として十分である。
ガバナンスの結果は Optus のトップに達した
この障害はまた、目に見える経営陣への影響をもたらした。2023 年 11 月 20 日、Singtel は Optus CEO のケリー・ベイヤー・ロスマリンが辞任したと発表した。Singtel の会社発表は、彼女が困難な時期に Optus を率い、同社は後任を探す間、暫定 CEO を任命すると述べた。この発表自体は、障害に対する法的責任を割り当てるものではなかったが、説明責任がエンジニアリング管理の上に移動したことを示した。
Singtel 自身の財務報告は、その運営上の重要性を記録した。Singtel の年次報告書は、Optus を主要事業として論じており、障害と以前のサイバー問題に続く運営上および評判上の圧力の時期を反映している。年次報告書はフォレンジックなインシデント報告書ではないが、国家規模の障害が親会社にとってガバナンス、ブランド、投資、規制の問題となることを示している。
経営陣の層はエンジニアリングの層を曖昧にしてはならない。CEO の辞任は、ルート制御の変更、緊急通報テスト、OOB 管理の強化、再販業者への通知、福祉確認の規律の代わりではない。しかし、リーダーシップの交代は関連性がある。なぜなら、通信事業者の耐障害性の姿勢は、予算、リスク選好、近代化の優先順位、ベンダー監視、取締役会の圧力、規制当局との関係、危機準備の産物だからである。
Bean レビューが推奨する改革パッケージは、問題が一人の人物ではなかったことを強化する。レビューは、緊急通報義務、管理機関の監督、半年ごとのエンドツーエンドテスト、デバイスの動作、リアルタイムの障害データ共有、障害後報告、中断プロトコル、緊急通報受付者契約、政府調整、顧客コミュニケーション、苦情、補償、一時的ローミング、相互支援、ネットワーク管理ツールへのリモートアクセス、政府の冗長性、およびトリプルゼロ法規制の見直しにわたる 18 の勧告を行った。
オーストラリア政府の対応は、体系的な改革の必要性を受け入れた。政府のBean レビューへの回答は、勧告を支持または原則的に支持し、通信エコシステム全体にわたる変更を約束した。この姿勢は、障害が単なる民間企業の問題であったと見せかけることを避けるため重要である。Optus は自社ネットワークに対して直接の運営責任を負っていたが、政府も監督、調整、緊急通報ガバナンスのギャップに直面しなければならなかった。
トリプルゼロ管理機関は、所有権のギャップに対するガバナンスの回答である
Bean レビューの最も重要な知見の 1 つは、トリプルゼロがエコシステムとして機能していることである。発信者の緊急アクセスは、発信元通信事業者、デバイスの動作、ネットワーク状態、緊急通報受付者、緊急サービス組織、規制当局、契約、業界委員会、州および準州の対応者に依存している。障害以前には、このエコシステムに対してエンドツーエンドの管理責任を負う単一の機関は存在しなかった。
レビューは、Telstra が契約上および規制上の取り決めに基づき、000 および 112 の緊急通報受付者であり、トリプルゼロ通報の応答と転送を行っていると述べている。また、ECP 契約は、Telstra がトリプルゼロサービスのエンドツーエンドの提供を監督すること、またはエコシステム全体の管理機関として行動することを要求していないと述べている。ACMA はコンプライアンスを規制するが、規制は運営上の管理権限と同じではない。既存の委員会は調整を支援するが、レビューはそれらが管理機関として機能するのに適していないことを発見した。
Telstra の公開緊急サービス情報は、ECP の役割にとって有用な文脈である。なぜなら、Telstra をすべての発信元通信事業者のネットワーク状態の所有者にすることなく、一般向けの緊急通報経路を説明しているからである。説明責任の区別は重要である:緊急通報受付者は、受信した通報に応答し転送することができる一方で、Optus はネットワーク障害中に自社の顧客がその経路に到達できるようにしなければならなかった。
このギャップは Optus の障害で可視化された。通信事業者のネットワークが故障し、一部の無線層が他と異なる動作をし、ハンドセットがキャンプオンするかもしれないししないかもしれない、他のプロバイダーがリアルタイムのステータスを必要とし、緊急サービスが何が起こっているかを理解する必要があり、政府が共有状況を必要とする場合、誰がシステムのエンドツーエンドの健全性を所有するのか?レビューの回答は、トリプルゼロ管理機関を設立し、エンドツーエンドのパフォーマンスの監視を含むエコシステムの効率的な機能に対する監督と全体的な責任を持たせることであった。
同省の現在のトリプルゼロ管理機関の資料は、この改革が勧告を超えて進んだことを示している。管理機関機能は、トリプルゼロエコシステム全体の監督、調整、監視、情報共有を改善することを目的としている。これは、1 つの機関をすべての通信事業者のネットワーク設計に責任を持たせることと同じではない。これは、システムが個別の法定サイロだけでなく、チェーン全体を見渡す誰かを持つことを確実にする方法である。
説明責任分析にとって、管理機関改革は将来の基準を変える。通信事業者は依然として自社のアーキテクチャと緊急通報義務について判断される。しかし、より広範なシステムは、エンドツーエンドの劣化を検出し、リアルタイムの情報共有を強制し、公的メッセージを調整し、失敗した通報が悲劇になる前にニアミスから学ぶことができるかどうかについても判断されるべきである。
義務的テストは、想定されたフォールバックと証明されたフォールバックの違いである
レビューは、トリプルゼロエコシステムのすべての側面について、ネットワーク内およびネットワーク間で半年ごとのエンドツーエンドテストを推奨した。テストには、さまざまなタイプの障害中のネットワーク機能と能力、さまざまな状況におけるすべての既知のデバイスの動作、および障害中の発信元通信事業者から ECP、緊急サービス応答ポイントまでの相互運用性を含めるべきである。特定された欠陥は、改善計画とスケジュールとともに ACMA に報告されるべきである。
この勧告は、Optus によって露呈された正確な弱点を標的にしている。緊急キャンプオン機能は、多くの通常の圏外シナリオで機能するかもしれない。問題は、通信事業者の 4G および 5G サイトはウィルトするが 3G サイトは放射を続ける場合、コアが到達不能な場合、O&M パスがダウンしている場合、デバイスがモデルとファームウェアによって異なる場合、顧客がカバレッジ境界を移動している場合に機能するかどうかである。
テストは、快適な前提を打ち破るのに十分な敵対的でなければならない。部分的な障害、誤解を招く信号、古い無線状態、故障した管理プレーン、再販業者の顧客、古いデバイス、自己持ち込みデバイス集団、地方のカバレッジエッジ、エンタープライズ音声サービス、固定回線サービスを含めるべきである。それは「通報は接続するか?」だけでなく、「事業者はどのユーザーが失敗したかを知っているか、失敗した通報記録を調整できるか、福祉確認を開始できるか、公的ガイダンスを発行できるか?」も問うべきである。
ACMA は既に緊急通報要件を更新し、さらなる変更を示唆している。リリースは、2019 年電気通信(緊急通報サービス)決定が更新され、障害中の顧客コミュニケーションに関する新しい業界標準と苦情処理の変更を策定中であると述べている。2024 年電気通信(障害時の顧客コミュニケーション業界標準)は、その障害後の義務的コミュニケーション行動への動きの一部である。
自主的ガイダンスと義務的テストの違いは証拠である。次の障害の後、通信事業者は、最後のクロスネットワーク緊急通報テスト、テストされたデバイスクラス、シミュレートされた障害モード、発見された欠陥、改善スケジュール、規制当局への報告書、ガバナンス所有者を示すことができるべきである。その記録がなければ、「フォールバックは機能すると信じていた」は耐障害性の議論にはならない。
苦情と補償は大規模障害に対して個別化されすぎていた
Bean レビューは、苦情と補償についても検討した。問題は、単に Optus が顧客に何かを提供したかどうかではなかった。Optus は、対象となるモバイルおよびプリペイド顧客に追加データを、ホームインターネット顧客に 12 月中のより高速なホームインターネット速度を発表した。レビューは、このオファーに対する不満が報告されていると指摘し、既存の苦情および補償メカニズムが危機的規模の障害に適切であるかどうかに焦点を当てた。
電気通信業界オンブズマン(TIO)は、個別の苦情において中心的な役割を果たす。レビューは、電気通信業界オンブズマンを、電話やインターネットプロバイダーに関する苦情を持つ消費者、中小企業、非営利団体、占有者、財産所有者のための無料で独立した紛争解決サービスであると説明している。TIO は、ネットワーク障害による事業利益の損失、代替サービスの費用、場合によっては非金銭的不便を含む特定の補償請求を支援することができる。
しかし、大規模障害は個別化された苦情処理にストレスを与える。レビューは、ネットワーク障害の影響と危機事象時のコミュニティの期待を考慮するように、苦情処理基準と記録保持規則を改正することを推奨した。また、危機または大規模障害の影響を受ける消費者が利用可能な解決策に対する業界全体の標準化されたアプローチを推奨し、可能な補償形態と罰則を含めた。
これは中小企業にとって特に関連性がある。個人事業主や小売業者は、半日の支払い不能、不在着信、予約失敗、またはスタッフのダウンタイムに苦しんだかもしれない。損失は現実的であるが、正式な紛争エスカレーションを正当化するレベルで証明するのが難しい場合がある。標準化された障害補償フレームワークはすべての損失を捕捉することはできないが、何千人もの人々に 1 件ずつ小さな請求を証明させる管理的負担を軽減することができる。
ACCCと消費者保護アーキテクチャは、通信障害がサービス品質と市場行動の両方の疑問を生み出す可能性があるため、背景で関連性がある。Bean レビューの指定苦情メカニズムに関する議論は、消費者や中小企業に影響を与える重大または体系的な問題の集団的取り扱いを指し示している。これは、すべての障害が自動的に多額の支払いを生み出すべきであることを意味しない。システムが、個別証明の実際的なコストを認識する大規模事象経路を必要とすることを意味する。
より大きな継続性の教訓は、補償は耐障害性の代替ではないということである。追加データは失敗した緊急通報を復元しない。請求書のクレジットは、決済端末がダウンした瞬間に事業を再開させない。しかし、補償と苦情の設計は、サービス障害後に害が比例的に認識され解決されるかどうかを決定するため、説明責任の一部である。
公共部門の継続性は被害者であると同時に対応者でもあった
この記事のマニフェストカテゴリーには、公共部門の継続性が含まれる。なぜなら、Optus の障害は政府および緊急サービスの機能に直接触れたからである。Bean レビューは、病院が妨げられ、交通ネットワークが混乱し、政府サービスが影響を受けたと述べている。また、オーストラリアの通信ネットワークは、不可欠な政府、公衆衛生、安全インフラを支えていると述べている。
この文脈は修辞的ではない。サイバー・インフラストラクチャー・セキュリティセンターの電気通信セクター情報は、電気通信をオーストラリアの重要インフラ枠組みに位置付けており、そのため通信事業者の障害は迅速に公共行政問題になり得る。オーストラリア政府の危機管理枠組みと国家緊急管理庁は、障害情報、エスカレーション、政府全体の対応がより明確な経路を必要としたというレビューの批判の、より広範な調整の背景を提供する。
公共部門は二重の役割を担っていた。それはネットワークの利用者であり、対応の調整者でもあった。政府機関は、接続性と状況認識を必要とした。国家調整メカニズムは 11 月 8 日の午後に会合し、オーストラリア政府機関、州および準州の首相府、緊急対応機関の代表者が含まれていた。レビューは、これらの会合は招集された後は効果的に運営されたが、既存のプロトコルと枠組みは 1 日を通じて明確で調整された対応を提供しなかったと指摘した。
レビューは、中央調整ポイントを通じた通信障害中の政府コミュニケーションと協力のための明確な要件を伴う、大規模サービス中断通知プロトコルの改善を推奨した。これは、通信事業者、関係大臣、連邦、州および準州の機関、TIO、ACCC、ACMA、緊急サービス組織、およびその他の関係者をカバーすべきであると述べた。また、オーストラリア政府は、重要サービスのための通信冗長性を含め、障害中に自らの運用を維持するための取り決めを見直すことを推奨した。
最後の点は不可欠である。政府機関自体が冗長通信を持たなければ、政府は全国的な障害を効果的に規制できない。公立病院、緊急機関、交通管制室、福祉サービス、裁判所、学校、地方自治体は、単一の通信事業者接続が危機運用に適切であると想定すべきではない。通信事業者は自社のネットワークに責任を負う。公共機関は、それへの自らの依存を知ることに対して責任を負う。
これは、すべての小規模オフィスが通信バンカーを構築すべきという呼びかけではない。重要度に応じた階層的な冗長性の呼びかけである:緊急スタッフのためのマルチキャリアモバイルサービス、管制センターのためのバックアップインターネットパス、適切な場合はアナログまたは無線のフォールバック、印刷された連絡先リスト、単一のプロバイダーに結び付けられていない危機メッセージングチャネル、支払い、発送、患者コミュニケーションのためのテスト済みの回避策。
したがって、Optus の障害は国にとっての継続性監査であった。それは、Optus が失敗した場所だけでなく、病院、企業、機関、家庭が実用的なフォールバック計画を欠いていた場所を示した。
説明責任マップ:Optus が制御したものとしなかったもの
公正な説明責任マップは、トリガー、制御可能なアーキテクチャ、運用対応、規制枠組み、および下流の準備を分離する。
Optus は、Singtel の国際ネットワークにおけるすべての上流行動を直接制御していたわけではない。すべてのルーターを製造していたわけではない。すべてのハンドセットの緊急通報動作を設計していたわけではない。すべての再販業者の顧客コミュニケーションを管理していたわけではない。緊急通報受付者や緊急サービス組織を運営していたわけではない。トリプルゼロエコシステム監視をめぐる既存の法定上の断片化を作り出したわけではない。
しかし、Optus は、自社ネットワークのアーキテクチャ、ルーターの設定、サードパーティのデフォルト安全限界を維持するか変更するかの決定、ルーティング伝搬設計、O&M およびアウトオブバンド管理のコアネットワークへの依存、3G ウィルトを強制する能力、コア障害下の緊急通報動作のテスト、下流 CSP への直接通知、公的コミュニケーション、ビジネス顧客コミュニケーション、失敗通報記録、福祉確認の実行、および障害後の改善証拠を制御したか、または実質的に影響を与えた。
規制当局の認定はその割り当てを支持する。ACMA は、コアルーターの自己隔離、アーキテクチャ、設定が Optus の制御下にあった範囲で、障害は予防可能であったと認定した。同庁は、Optus が制御されたネットワークと施設の適切かつ効果的な機能を維持できなかったと認定した。同庁は、失敗した緊急通報アクセス、終端点への通報伝送の失敗、特定の CSP への直接通知の失敗、および必要な福祉確認の実施の失敗を発見した。
政府は異なる層を制御した:エコシステムに管理機関が存在するかどうか、義務的なコミュニケーションとテスト規則が存在するかどうか、中断プロトコルが明確かどうか、機関が冗長性を持っているかどうか、法律がモバイル依存に追いついているかどうか、規制当局の権限が十分かどうか。政府の改革勧告の受け入れは、古いシステムが十分な共有保証を生み出さなかったことの暗黙の承認である。
顧客と中小企業は最も制御しなかった。一部はバックアップ SIM を購入し、現金取り扱い手順を維持し、代替インターネットを維持し、重要な運用に複数の通信事業者を使用することができた。しかし、個人顧客は国内通信事業者事業者の 3G ウィルト動作をテストできない。中小企業は Optus のアウトオブバンドネットワークを検査できない。緊急通報者は危機中にアーキテクチャを選択できない。この非対称性が、通信事業者の説明責任が通常の消費者自己責任よりも強くなければならない理由である。
信頼が回復される前に再テストすべきこと
Optus 後の実用的なテストは、同社が変更を行ったと言えるかどうかではない。それらの変更がストレス下で証明できるかどうかである。
第一に、ルーティング変更保証を再テストすべきである。Optus および他の通信事業者は、計画された上流ルート変更がどのようにモデル化されるか、IPv6 ルートテーブルの成長がどのように制限されるか、ルーターの安全限界がどのようにレビューされるか、デフォルトのベンダー設定がどのように異議を唱えられるか、ラボ環境が障害モードをどのように再現するか、重要なネットワーク層がリスクにさらされている場合に変更凍結またはロールバックルールがどのように適用されるかを示すことができるべきである。
第二に、緊急通報フォールバックは、ネットワークシャットダウン後の残留 3G の教訓を含め、無線世代を超えて再テストされるべきである。この教訓は、3G ネットワークが廃止されているからといって時代遅れとして扱われるべきではない。将来の障害は、4G、5G スタンドアロンコア、LTE 音声通話(VoLTE)、Wi-Fi 音声通話、エンタープライズ音声、固定無線、衛星補助、またはデバイス固有の動作を含む可能性がある。原則は、どのアクセス層も、他のネットワークがそれを運べる場合に、通話を進行できない通話を試みるようにデバイスを誤解させてはならないということである。
第三に、O&M およびアウトオブバンドアクセスは、生存システムとして再テストされるべきである。管理パスは、独立性、容量、認証、および運用訓練を必要とする。問いは、エンジニアが通常の日にシステムに到達できるかどうかではない。コアネットワークが部分的にダウンし、テレメトリが不完全で、公共安全がネットワークをより安全な縮退状態に置くことに依存している場合に、適切なコンポーネントを確認し制御できるかどうかである。
第四に、利害関係者とのコミュニケーションは、実際のテンプレートと連絡先リストを用いてテストされるべきである。全国的な障害は、直接の再販業者通知、緊急サービスのステータス、政府調整、顧客メッセージ、メディア更新、ウェブサイトとステータスページの公開、小売スクリプト、ビジネス顧客向け勧告、脆弱な顧客向けガイダンスをトリガーすべきである。ACMA 顧客コミュニケーション標準は、完全なプレイブックとしてではなく、最低限として扱われるべきである。
第五に、福祉確認業務は訓練されるべきである。失敗した緊急通報記録は、捕捉され、重複排除され、例外下で分類され、必要な場合に照会され、監査されなければならない。事業者は、何件の通報が失敗したか、何件が後に成功したか、何件が福祉確認を必要としたか、確認がどれだけ迅速に開始されたか、例外がどのように検証されたかを示すことができるべきである。
最後に、改革エコシステムは、信頼を支えるのに十分な詳細で公に報告されるべきである。一般市民は機密性の高いネットワーク図を必要としない。しかし、前回の障害がテスト済みの変更、強制力のある規則、指名された管理権限、そして次の障害に対する明確な説明責任を生み出したという証拠を必要とする。
より広範な教訓は、フォールバックは約束ではなく製品であるということ
Optus の 2023 年 11 月 8 日の障害は、しばしば電話とインターネットのない日として記憶されている。それは正確だが不完全である。その本当の重要性は、想定されたフォールバックと証明されたフォールバックの間の脆弱な境界を露呈したことである。
トリプルゼロアクセスは、多くのものが協調して機能することに依存していた:ルーターがルート変更を吸収し、コアネットワーク接続、基地局のウィルト、ハンドセットのキャンプオン動作、O&M の可視性、緊急通報の伝送、ECP の可用性、再販業者への通知、福祉確認手順、そして公的ガイダンス。一部は機能した。他は機能しなかった。その結果、何千もの緊急通報が確立され維持できなかった。
障害後の公的記録は、管理について異例なほど明確である。ACMA は、上流の変更、ベンダーのデフォルト、または外部専門家の沈黙が、自社のネットワークアーキテクチャと設定に対する Optus の説明責任を取り除くとは認めなかった。Bean レビューは同じ方法で責任を割り当てようとはしなかったが、修正されなければならないシステムギャップを特定した:エンドツーエンドの管理機関の不在、不十分な義務的テスト、弱いコミュニケーション規則、不明確な調整、そして広範な通信障害に対する不十分な準備。
これが成熟した説明責任の枠組みである。通信事業者は、自社のネットワークの耐障害性と緊急通報動作に責任を負う。規制当局は、強制可能な最低限とコンプライアンス措置に責任を負う。政府は、システム調整と公共部門の冗長性に責任を負う。企業は、現実的な依存計画に責任を負う。顧客は、トリプルゼロにダイヤルする前に通信アーキテクチャを理解することを期待されるべきではない。
この障害はまた、公的信頼が謝罪だけでは回復できない理由を示している。信頼は証拠によって回復される:テストされたルーティング制御、強化された管理パス、証明された緊急通報フォールバック、明確な顧客コミュニケーション、直接の利害関係者通知、完了した福祉確認、標準化された救済策、規制当局の執行、そしてコミュニティが何が変わったかを見ることができる公的報告。
その意味で、Optus の障害は単なる接続性の失敗ではなかった。それは説明責任のある保証の失敗であった。自らを国家インフラとして売り込む通信事業者は、主要ネットワークがダウンしたときに、緊急パス、管理パス、公共情報パスがそれと共にダウンしないことを証明できなければならない。

