要約

  • 2022年7月8日早朝、Rogers のスタッフは IP コアアップグレードの第6フェーズ中にルーティングポリシーフィルターを削除した。完全な BGP ルーティングテーブルが OSPF に再配布され、効果的な過負荷制限のないコアルーターを圧倒した。この障害により、カナダ全土の無線および有線サービスが停止した。両方が影響を受けたコアを共有していたためである。
  • この障害は単なる顧客アクセス障害ではなかった。Rogers の顧客の大部分が9-1-1に到達できず、無線公衆警報が中断され、Interac Debit および Interac e-Transfer が利用不能となり、政府および自治体サービスが接続を失い、中小企業は同時に通信および支払いチャネルを失った。
  • 復旧は障害ネットワーク内の依存関係によって遅れた。Rogers の管理アクセスは IP コアに依存しており、重要なサイトには代替通信事業者の接続が十分になく、対応者はサードパーティの SIM が不足し、エンジニアは原因を特定するために必要なログに最初はアクセスできなかった。独立評価によると、根本原因の特定には約14時間を要した。
  • Rogers は経営陣の説明責任を受け入れ、5日間の顧客クレジットを発行し、ルーティング保護対策を追加し、リスクおよびレビュープロセスを変更し、別の管理ネットワークを構築し、代替接続を拡大し、無線および有線コアの分離を開始した。これらは意味のある措置であるが、説明責任はテストされた結果と公的保証に依存し、一般的な資本プログラムの規模ではない。
  • より広い教訓は共有される。通信事業者は、自社の障害を封じ込め、緊急アクセスを維持する責任を負う。公的機関、決済事業者、中小企業は、一見別個の機能が同一の通信事業者に依存していることを認識し、それとともに障害が発生しない実用的な代替手段を維持する責任を負う。

これは国家的な継続性の出来事であった

2022年7月8日金曜日、東部夏時間午前4時43分、Rogers ネットワーク内の配信ルーターからポリシーフィルターが削除された。その後2分以内に、後の独立技術評価によると、コアゲートウェイが障害を起こし始めた。午前4時58分までに、ルーターは処理能力を超えるルーティング情報で溢れ、カナダ全土の無線および有線サービスが停止した。復旧作業は翌朝まで続いた。評価では、7月9日午前7時を広範な障害の終了としているが、サービスは一度に全国的に復旧したわけではなく、段階的に回復したことを認識している。

この圧縮された開始は重要である。破壊的な経路は、承認されたメンテナンス活動から、数分で国家的なサービス喪失へと至った。回復経路には、診断、物理的アクセス、制御された変更、地域的な順序付け、そして数百万台の再接続デバイスの慎重な管理が必要であった。この不均衡は複雑なインフラでは正常である。危険な状態を引き起こすことは、それを理解して圧力下で逆転させることよりもはるかに容易である。そして、これこそが、通信事業者の最も重要な管理手段がアラームが鳴り始めた後ではなく、変更の前および最中に機能しなければならない理由である。

CRTC が公開した Xona Partners による評価は、1,200万人以上の顧客が無線および有線サービスを失ったと説明している。この人口には、モバイル加入者、ホームインターネットユーザー、卸売顧客、法人顧客、そして重要なサービスを提供する機関が含まれていた。この数字は、1,200万人が同時に発信や支払いを試みたという数ではない。これは、共通の障害にさらされたサービス人口の尺度である。

外部測定も、突然の公衆ネットワークへの影響を独立して確認している。Cloudflare は、Rogers の AS812 からのトラフィックがほぼ完全に失われ、BGP 更新と大規模なプレフィックス撤回が急増したことを、UTC 8時45分頃から観測した。ThousandEyes の障害分析は、ネットワークの到達可能性が悪化し、公衆 BGP の撤回は内部障害と一致していると指摘したが、外部測定では内部の原因を特定できないと注意を促した。インターネット協会の後のレビューも同様に、外部ルートの喪失を深刻な内部問題の現れとして扱い、公衆インターネット上の BGP が事件を引き起こした証拠とはしなかった。

この区別は重要である。「BGP が Rogers をダウンさせた」と言うことは、ガバナンスの失敗をプロトコルの話に変えてしまう。BGP はルーティングの結果を伝達し、露出させた。原因となった失敗は、完全な BGP テーブルを内部 OSPF ドメインに溢れさせることを可能にした本番構成の変更と、不足していた過負荷保護、効果のない検証、コアルーティング変更を低リスクとして扱ったリスクプロセスであった。これらは制御可能な組織的条件であった。

この出来事はまた、プロバイダー障害の通常の境界を超えていた。モバイル加入者がデータを失うことはサービス障害である。都市が職員の通信、長期介護記録、支払い受付、遠隔交通管制リンクを同時に失うことは継続性の失敗である。9-1-1アクセスと公衆警報が影響を受けると、公共安全の失敗となる。Interac の国家規模のデビットおよび送金サービスが利用不能になると、経済的依存の失敗となる。Rogers は技術的な起源であったが、爆風範囲はエコシステム全体で行われたリスク選択を明らかにした。

公的証拠が確立すること

事件後、証拠は大幅に改善された。Rogers の最初のメッセージは大まかだった。7月8日、同社の最高経営責任者は、無線と有線の両方のサービスが影響を受けたことを認め、信頼回復の責任を受け入れ、自動クレジットを約束するカナダ人への公開メッセージを発表した。7月9日、同社はコアのメンテナンス更新によりルーターが誤動作し、トラフィックをリダイレクトしている間に機器が切断されたと述べた。これらの声明は意味のある認諾であったが、フィルター、内部ルーティングフラッド、欠如していた安全装置、診断の遅れについてはまだ説明していなかった。

規制当局はその後、はるかに広範な記録を要求した。CRTC の7月12日付の情報要求は、Rogers に対して原因、時系列、復旧、顧客への通知、緊急サービスへの影響、事前テスト、クレジット、再発防止策を説明するよう求めた。この書簡は、2つの即時の公的懸念を記録していた。Rogers は最初の数時間にほとんど有用な詳細を提供せず、カナダ人に代替手段で9-1-1に到達する方法を伝えることに失敗した。8月5日付の2通目の CRTC 書簡は、削除されたルーティングフィルター、実際のネットワークポリシー変更、テスト範囲、公共安全応答ポイントへの通知に約4時間を要した理由、一部の緊急通話が成功し他が失敗した理由について追及した。

最も強力な統合は、規制プロセスで委託され、後に CRTC によって一部編集された形で公開された Xona Partners の独立評価である。これは、Rogers の複数回の回答と技術・管理スタッフとの会合に基づいている。報告書は、同社の初日の説明をはるかに超える調査結果に到達している。削除されたアクセス制御リストポリシーフィルター、完全な BGP テーブルの OSPF への再配布、コアルーターのリソース枯渇、過負荷保護の欠如、効果のない変更監査、不適切なリスク格下げ、本番環境を代表するラボテストの欠如、管理ネットワーク依存、不十分なサードパーティ通信、インシデント対応の弱点を特定している。

また、重要な限界も保持している。一部の詳細は編集されたままであり、トポロジの一部、機器の特定、正確な構成、内部タイムラインが含まれる。報告書は、Rogers の障害前のコアは大規模な Tier 1プロバイダーとしては標準的であり、共通コアは設計上の選択であり、それ自体が設計上の欠陥ではないと結論付けている。障害後に Rogers が実施した一連の対策は、根本原因に対処し復元力を向上させるのに十分であると評価している。説明責任の分析は、これらの調査結果を、ネットワーク全体が無謀に設計されていたという主張に静かに置き換えるべきではない。

また、現在の状況について報告書が証明することも誇張すべきではない。評価は、コア分離がレビュー時にまだ進行中であることを発見した。2024年7月、CRTC は Rogers に対して継続的な有効性とコア分離の進捗について報告するよう要求し、公開手続き記録は2025年7月の Rogers の提出書類を示している。公開提出書類と規制当局の受け入れは、プレスリリースよりも確かな保証を提供するが、すべてのテストケース、例外、アーキテクチャ境界、独立した再テストを公開することと同じではない。因果連鎖が理解されているという確信は高くても、すべての改善措置の耐久性については限定的であり得る。

変更から復旧への経過

公開記録は以下の時系列を支持している。時刻は東部夏時間である。これらは運用上のマイルストーンを示しており、完全な内部ログではない。

日時出来事と説明責任の重要性
7月8日の数週間前Rogers は7フェーズの IP コアアップグレードを開始した。全体のプロセスは当初高リスクと評価されたが、以前のフェーズの成功がリスクアルゴリズムに影響を与え、第6フェーズは低リスクとして扱われた。
7月8日午前4時43分スタッフは影響を受ける配信ルーターからポリシーフィルターを削除した。この変更はアップグレードに関連する設定クリーンアップとして意図されていたが、完全な BGP ルートテーブルが OSPF に再配布されることを可能にした。
2分以内ルート情報がコアに殺到し、コアゲートウェイが障害を起こし始めた。ルーターには、再配布されるルートを制限したり OSPF データベースを保護したりする効果的な制限が欠けていた。
午前4時58分評価は広範なサービス障害を示す。無線、有線、家庭電話、インターネット、ビジネス接続、9-1-1接続、公衆警報配信が影響を受けた。
午前6時00分Rogers の最高技術責任者は、Bell および TELUS の担当者に連絡し、障害を警告し、原因が不明なままである間、サイバー攻撃の可能性について言及した。
初期対応Rogers の担当者は、管理接続が障害コアに依存していたため、ネットワーク要素と主要なログへの通常のアクセスを失った。代替通信事業者の SIM が限られていたため内部調整が損なわれ、技術者をサイトに派遣しなければならなかった。
午前8時39分Rogers は9-1-1ネットワークプロバイダーに通知し、引き金から約4時間後であり、公共安全応答ポイントへの通知をカスケードするよう依頼した。
午前11時19分Rogers は CRTC に通知した。政府および緊急管理の調整は他のチャネルを通じてすでに進行中であった。
午後から夕方Rogers は、無線公衆警報が自社ネットワークに接続されているユーザーに届かないことを伝えた。エンジニアは診断を続け、当初はメンテナンスウィンドウ中に行われた複数の変更を検討した。
発症から約14時間後エンジニアは、コアに殺到している配信ルーターを根本原因として特定した。その後、復旧は中央部および東部地域から順次進められた。
7月8日夜Rogers は、デバイスが再接続を試みる際のシグナリングストームを避けるため、モバイル登録を抑制した。外部観測者は部分的なトラフィック回復と反復的なルートアナウンスおよび撤回を確認した。
7月9日午前7時独立評価はこれを広範な復旧の終了点として使用しているが、個々の顧客や機能は異なる時間に回復した。
2022年7月以降Rogers は5日間のクレジットを発行し、ルーティングおよび管理制御を変更し、代替通信を拡大し、無線および有線コアの物理的分離を発表した。業界および政府は、緊急ローミング、相互援助、障害時通信の取り決めを開発した。

このタイムラインは、2つの一般的な単純化を防ぐ。第一に、インシデントはルートが公に再表示されるとすぐに修復されたわけではない。プレフィックスアナウンス、動作するホームインターネット、成功したモバイル登録、復旧した9-1-1パス、完全に安定した国家サービスは、異なる復旧状態である。第二に、根本原因診断の即時欠如は、それ自体が無能を示すものではない。ネットワークは複雑であり、複数の変更が発生し、ログにアクセスできず、復旧はさらなる過負荷を避ける必要があった。説明責任の問題は、予見可能な設計とプロセスの選択が診断を不必要に困難にしたことである。

削除されたフィルターが国家の権威問題となった

削除されたフィルターには保護的な役割があった。簡略化すると、Rogers の配信ルーターは BGP を通じて大量のルーティング情報を学習し、OSPF はコア内部のトポロジと到達可能性を配布していた。フィルターはその境界を越えるものを制限していた。これを削除することで、完全な BGP テーブルが OSPF に再配布されることが可能になった。コアルーターは、処理およびメモリリソースが処理できる以上のリンク状態情報を受信し、クラッシュした。

これは単なる設定ファイルの不幸な行ではなかった。この変更は、全国的な無線および有線トラフィックを運ぶルーティングドメイン間の境界に対する権威を持っていた。その最大の可能な影響は、マルチステージプロジェクト内のラベルではなく、精査のレベルを決定すべきであった。ルート制御バリアを除去できるクリーンアップアクションは、依然として影響の大きい本番変更である。

独立評価は、ネットワーク実務で認識されている4つの保護策を特定している:コアルーターの過負荷保護、配信ルーターによって再配布されるルート数の制限、手動および自動のポリシー監査、自動ロールバック。Rogers はこの事象を阻止できる効果的な組み合わせを持っていなかった。監査プロセスは誤った変更をフラグしなかった。コアには関連する過負荷制限が欠けていた。ラボテストは危険な状態を再現して拒否しなかった。ウィンドウ内の複数の変更により、初期のロールバック選択はあまり明白でなくなった。

長年の運用ガイダンスは、責任を決定することなく原則を支持している。インターネット技術タスクフォースの RFC 7454 における BGP 運用およびセキュリティガイダンスは、プレフィックスフィルタリング、最大プレフィックス制御、監視、および規律ある設定を、有害なルート伝播に対する保護策として論じている。RFC は Rogers を管理する法律ではなく、障害には単純な外部ルートリークではなく内部 OSPF への再配布が含まれていた。しかし、ルート量の制限とルーティング情報のフィルタリングが、2022年7月以降に発明された教訓ではなく、確立された運用上の関心事であったことを示している。

したがって、最も有用な説明責任の質問は、誰がフィルターを削除したかではない。公的評価は Rogers のスタッフが変更を行ったとしているが、個々の従業員の意図、訓練、指示の順守を判断する根拠は提供していない。より良い質問は、なぜ組織が、別個の容量制限やフェイルクローズド検証なしに、コアルーティング境界を1つの取り外し可能なフィルターに依存させることを許可したかである。オペレーターの行動は、それを承認し、実行し、封じ込めに失敗したシステム全体の道徳的重みを担うべきではない。

優れた制御設計は、正当に権限を与えられた人物でも間違う可能性があることを前提とする。影響の大きいルーティング変更は、現在の本番トポロジに対する意味論的比较、ターゲットデバイスによって強制されるルート数制限、実装から独立した人物によるピアレビュー、代表的なラボリプレイ、限定されたセグメントへの段階的展開、ライブ中止基準、通常の管理アクセスが損なわれた場合に機能することが証明されたロールバックパスに直面すべきである。複数の制御が失敗する可能性はあるが、それらすべてが変更が何をするかについて同じ仮定を共有すべきではない。

リスクスコアは成功から誤った教訓を学んだ

最も示唆に富む発見の1つは、管理的なものであり、技術的なものではない。Rogers は当初、7フェーズのアップグレードを高リスクと分類した。以前のフェーズは正常に完了した。その後、そのアルゴリズムはそれらの成功を使用して、障害を引き起こしたルーティングポリシー変更を含む第6フェーズのリスクを低リスクに引き下げた。この評価により、追加の精査、上級承認、実験室テストの必要性が減少した。

過去の成功は、繰り返される、実質的に同一の行動に関する証拠となり得る。異なる制御を異なる爆発範囲で変更する後のフェーズについては弱い証拠である。プログラムは、初期のアクセスや準備段階が成功しても、コアに近づくにつれてより危険になる可能性がある。シーケンス完了を制御緩和の理由として扱うことは、プロジェクトの勢いと技術的リスクを混同する。

この誤りは、リスクアルゴリズムにガバナンスが必要な理由も示している。スコアは変更の客観的特性ではない。それは要因と重みを通じて表現されるポリシー決定である。以前の成功が BGP から IGP への再配布、全国的なコア範囲、フィルター削除、複数の同時変更、限定的なロールバック独立性の存在を上書きできる場合、モデルは安全でない優先事項をコード化している。組織は、ルーターソフトウェアをテストするのと同じように、既知の壊滅的なケースでモデルをテストしなければならない。

取締役および上級幹部にとって、関連する指標は低リスクとラベル付けされた変更の割合やインシデントなしに完了した割合ではない。成熟した報告書は、無線と有線の両方のコアに影響を与える変更の数、どのポリシー機能が高リスク分類を強制するか、エンジニアが自動スコアを上書きする頻度、拒否された変更が追跡されているか、リスクエンジンが既知の危険な構成のライブラリに対してどのように機能するかを示すべきである。また、成功した初期フェーズが、新しい障害境界に触れる後のフェーズの制御要件を削減できるかどうかも示すべきである。

Rogers は独立レビュアーに対して、新しいリスク評価アルゴリズム、自動変更および制限変更の新しいカテゴリ、エンジニアリングと運用の早期協力、コアエンジニアリングピアレビューチーム、より強力なラボテスト、メンテナンスウィンドウ中の変更量の制限を導入したと述べた。これらの措置は、観察された弱点を対象としている。それらの永続的な価値は、試みられた安全でない変更と訓練からの証拠に依存しており、改訂されたプロセス文書の存在ではない。

冗長ハードウェアが1つの論理的運命を共有した

Xona の評価は、Rogers が Tier 1 プロバイダーに期待される物理的アーキテクチャを欠いていたことを発見しなかった。ネットワークには冗長なトランスポート、複数の地域、主要ベンダーの機器があった。しかし、無線サービスと有線サービスの両方が共通の IP コアを使用しており、有害な構成状態はその冗長性の実用的な利点を無効にするほど広範囲にコアに到達した。

これがコンポーネント冗長性と運命分離の違いである。2つのルーターは、一方が故障したときに他方がトラフィックを運ぶことができる場合、冗長である。1つのポリシー更新が両方に過負荷をかける可能性がある場合、それらは独立していない。地域は、制御プレーンが同一の有害な状態をすべての地域に押し出せない場合にのみ、通常の障害を分離する。異なるベンダーは一部の欠陥リスクを低減するが、共通の構成プロセスは依然として相互運用可能な障害を生み出す可能性がある。物理的多様性は現実的で有用である。それは単に論理的なコモンモードイベントに答えない。

無線と有線のトラフィックを共通の IP コアに統合することは、効率、パフォーマンス、管理性を向上させることができる。報告書はこれを一般的な業界設計の選択と呼び、欠陥ではない。説明責任は、その選択によって必要とされる保護策にある。統合が1つの変更の最大影響を増大させる場合、ルート制限、分割、管理独立性、緊急パス、テストの厳格さもそれに伴って増大しなければならない。

Rogers は無線および有線の IP コアを物理的に分離すると発表した。7月25日の下院産業委員会での開会陳述で、CEO の Tony Staffieri は、追加レイヤーに少なくとも2億5,000万カナダドルを見積もり、より広範な3カ年のネットワーク投資について説明した。後の Xona 報告書は2億6,100万カナダドルの分離費用を使用し、新しい無線コアが構築され、既存のコアが有線トラフィックを引き続き処理すると説明した。

分離は、運用がそれを維持する場合にのみ価値がある。2つのコアは、同期された変更、共有オーケストレーション、共有アイデンティティ、共通ルートポリシー、共通トランスポートボトルネック、または1つの管理ネットワークを通じて、再び共通の運命を獲得し得る。独立報告書自体も、同時障害の回避は、同じ有害なアップグレードが両方に同時に適用されないことを前提としている。したがって、取締役会は、単なるプロジェクト完了率ではなく、依存関係マップと共同障害テストを要求すべきである。

復旧ネットワークは修理対象のネットワークとともに故障した

障害の継続時間は、ルーティングエラーのみから理解することはできない。Rogers の管理ネットワークは本番 IP コアに依存していた。そのコアが故障したとき、遠隔地のエンジニアはネットワーク要素とエラーログへのアクセスを失った。ネットワーク運用センターを含む重要なサイトには、代替プロバイダーからの安全な接続が十分になかった。スタッフは機器まで移動しなければならず、会社はすべての重要な対応者が Rogers サービスから独立して通信するためのサードパーティ SIM が不足していた。

これらは、インシデントの爆発範囲内の復旧依存関係であった。それらは、迅速な構成障害を長い診断問題に変えた。評価によると、Rogers は約14時間、根本原因を特定できなかった。メンテナンスウィンドウ中に複数の構成変更が発生していたため、チームは通常使用する情報なしにどの変更チケットを元に戻すかを決定しなければならなかった。これは特に危険な組み合わせである:可視性の低下、制御の低下、通信の障害、複数の可能性のある原因。

帯域外管理ネットワークは、異なる名前、アドレス範囲、またはインターフェースセットを持つだけでは独立していない。それは本番コア、企業 DNS、通常のアイデンティティサービス、主要キャリア、中央運用サイトを生き残らなければならない。アクセスは緊急条件下で安全であり、限られたコマンド、強力な認証、適切な場合の二重制御、改ざん防止ログ、オフライン手順、訓練での定期的な使用を伴うべきである。独立性のないセキュリティはバックドアを作成し、セキュリティのない独立性は到達できない復旧計画を作成する。

報告書は、Rogers がその後、別個の物理的および論理的管理 IP ネットワークを実装し、重要な施設に代替プロバイダー接続を追加し、インシデントおよび危機チームへのサードパーティ SIM 配布を拡大し、アラーム優先順位付けを改善し、監視を拡大し、自動ロールバックを強化したと述べている。それは、サードパーティ接続を適切な改善として評価し、特に戦略的な場所には衛星接続を提案した。これらの措置は、単により多くの稼働時間を約束するのではなく、復旧を遅らせたメカニズムに対処している。

それらは一緒にテストされるべきである。現実的な訓練では、本番ルーティングと企業通信を除去し、1つの運用サイトへのアクセスを拒否し、最近の変更チケットを誤解を招くものにし、対応者が独立したパスを通じて適切なデバイスを見つけることを要求する。それは、コマンドの確立、信頼できるログの取得、爆発範囲の特定、公的当局への連絡、顧客ガイダンスの公開、制限されたロールバックの開始までの時間を測定する。バックアップ SIM が存在するという机上の主張は、それらが充電され、割り当てられ、到達可能であり、午前5時に対応者に知られていることを証明することと同じではない。

緊急通報は無線とサービスの間のギャップを露呈した

最も深刻な影響は緊急アクセスの喪失であった。Rogers の無線アクセスネットワークは、コアがダウンしている間も国内の一部で動作し続けた。これにより直感に反する状態が生じた:電話機は依然として自宅の無線ネットワークを認識して接続できるため、自動的に別のキャリアを検索しなかった一方で、Rogers を通じて9-1-1通話を完了するために必要なパスは利用できなかった。一部の通話は、コアの一部が断続的に到達可能であった場合に、古い2G または3G インフラ上で成功した。一部の新しいデバイスは別のネットワークを見つけた。大部分は接続しなかった。

公的評価は正確な成功通話率を開示していないため、責任ある説明はそれをでっち上げるべきではない。しかし、9-1-1ネットワークプロバイダーおよび公共安全応答ポイントへの接続が断たれ、多くの顧客が緊急サービスに到達できなかったことを確立している。また、この障害条件下で緊急トラフィックを保存するための追加のエッジおよびコアルートは見つからなかった。

通知はアクセス問題を悪化させた。Rogers は、引き金から約4時間後の午前8時39分まで9-1-1ネットワークプロバイダーに通知せず、応答ポイントへの警告をカスケードするよう依存した。CRTC の最初の書簡は、9-1-1に到達する代替手段に関する実用的な公的ガイダンスの欠如を批判した。無線公衆警報も影響を受けた:Rogers は後に国家警報アグリゲーターに対して、障害中は自社ネットワークに接続された無線ユーザーに緊急メッセージが配信されないことを確認した。

下院産業委員会のフォローアップ書簡は、緊急サービスを転送するメカニズム、適切な顧客通知、影響を受ける人口を減らすための十分な冗長性を求めた。優先順位と生存可能性の区別が中心である。動作中のネットワーク上で9-1-1パケットを優先しても、コアがそれをルーティングできない場合は何もならない。緊急継続性には、到達可能なままのパス、ローミングまたはハンドオフの信頼できるトリガー、受信ネットワークの容量、動作中のモバイルデータなしで人々が従える指示が必要である。

業界の対応は、緊急ローミング、相互援助、政府および一般市民との通信をカバーする電気通信信頼性に関する覚書(MOU)であった。それは、技術的に可能な場合の緊急ローミングを認識し、9-1-1アクセスを含んでいる。その条件は重要である。コアが利用不能である間に無線ネットワークが利用可能に見えるシナリオは、まさに通常のローミング動作を妨げる可能性があるシナリオである。したがって、Xona は、合意が存在することを確認するだけでなく、2022年7月の条件に対して MOU をテストすることを推奨した。

緊急サービスは共有された連鎖である。Rogers は自社のネットワークを安全に障害させ、迅速に通知しなければならない。他のキャリアは、自社のネットワークを不安定にすることなく、実行可能な緊急トラフィックを受け入れられなければならない。デバイスと標準の動作は、別のルートの選択をサポートしなければならない。公的機関と応答ポイントは、直接的で認証された通知を必要とする。一般市民は、ラジオ、テレビ、独立してホストされたウェブチャネル、地域の機関を通じて配布される、シンプルでアクセスしやすいガイダンスを必要とする。各参加者が次のリンクを指し示す場合、説明責任は機能しない。

トロントは公共部門の依存関係を間近に示している

全国的な言葉は影響を抽象的にする可能性がある。トロント市の後の運用影響レビューは、1つの政府の依存関係の具体的な絵を提供している。モバイル業務用デバイスを持つ市職員の55%以上が Rogers に依存していた。障害は、技術インシデント管理と緊急運用センターとの間の初期調整を混乱させ、消防および生命安全機能に影響を与え、長期介護、避難所、予防接種クリニック、公衆 Wi-Fi、市施設での支払い、遠隔交通管制に影響を与えた。

詳細は、通信の集中が部門の境界を越える方法を示している。直接運営される10の長期介護施設のチームは、2,600人以上の居住者の電子記録へのアクセスを失った。病気または隔離中のスタッフは、集中スケジュールユニットに電話できなかった。一部の予防接種クリニックは代替キャリアのホットスポットを使用し、他のクリニックは後でアップロードするために手動で情報を記録した。600以上の交差点はローカル信号タイミングを継続したが、Rogers のセルラーリンクを介した中央監視と遠隔調整は、接続が回復するまで利用できなかった。市は、信頼できる緊急通報が不確実であったためレクリエーション活動の中止を検討したが、代替キャリアの電話が供給された後に継続した。

これは市政府の完全な失敗ではなかった。トロントは緊急運用センターを活性化し、可能な場合は作業をシフトし、75台以上のバックアップデバイスを配備し、セカンダリネットワークを使用し、中核的責任を維持した。それらの成功した適応は、失敗と同じくらい重要である。それらは、継続性が、正常なデジタルサービスが変更されないという約束ではなく、境界のある代替案の集合であることを示している。

7月25日の議会公聴会のために準備された ISED のブリーフィングは、Service Canada および自治体サービスへの影響を記録し、連邦調整の役割を説明している。ISED は緊急通信チームと業界ワーキンググループのプレイブックを活性化した。Bell と TELUS は一部の支援を提供した。Rogers は連邦支援を要請しなかった。省庁は情報を調整し、周波数やリソースの移動などのニーズを支援できたが、障害ネットワークを所有しておらず、修理する能力もなかった。

公共部門の説明責任は調達前に始まる。可用性とクレジットを指定する契約は、運用の多様性を保証しない。機関は、再販業者、プライベートリンク、モバイルプラン、クラウドアクセス、建物警報、支払い端末、バックアップホットスポットの背後にあるキャリア所有権をマッピングする必要がある。2つの請求書は2つのネットワークを意味しない。健康、避難所、交通、公的情報機能のための最低限の手動手順、代替デバイスの在庫、テストされた優先復旧連絡先、障害キャリアのデータサービスに依存しない通信計画が必要である。

正しい継続性の目標は、あらゆるサービスをあらゆるコストで複製することではない。それは、生命安全と時間的重要機能を特定し、それらの機能に真の経路多様性を与えることである。信号機は中央リンクなしでローカルタイミングを維持できる。クリニックは後で調整するためにワクチン接種を紙に記録できる。介護施設は、遅延がより大きな結果をもたらすため、別々のメカニズムを通じて記録、スタッフ通信、緊急通報を必要とする場合がある。継続性設計は結果に従うべきであり、組織図ではない。

Interac はキャリアの失敗を支払いの失敗に変えた

障害はまた、Interac Debit および Interac e-Transfer を無効にした。つまり、影響は Rogers の加入者ではない人々や商人にも及んだ。店舗が別のキャリアからのインターネットを持っていても、顧客が期待する支払い方法を受け入れられない可能性があった。家庭が動作する Wi-Fi を持っていても、e-Transfer を送信できない可能性があった。プロバイダー依存関係は、ユーザーの目に見えるエッジではなく、国家決済サービス内部に存在していた。

Interac 自身の障害声明および是正更新は異例に直接的である。同社のプラットフォームは冗長ネットワークと回線多様性を持ち、サプライヤーの可用性コミットメントがあったが、7月8日はそれらの取り決めが Rogers のコアメンテナンスに対して依然として脆弱すぎることを示したと述べた。また、7月8日のような日に約2,500万件の取引を促進したと述べている。これは取引量の文脈であり、失敗した支払いの数や測定された損失ではない。

Interac は「キャリアが失敗した」ことを説明責任の停止の言い訳として扱わなかった。同社は、ネットワーク量に十分なバックアップ容量を持つセカンダリキャリアと第3のリンクを追加し、e-Transfer 参加者のための安全なプライベートバックアップモードを有効にし、事業継続および危機対応プラクティスを改訂した。更新情報によると、キャリア多様性プロジェクトは2023年6月に完了し、プライベート e-Transfer 代替は2023年1月に完了した。これは、既存のリンクが冗長であったという一般的な声明よりも強力な是正記録である。

この事象は、多様性をエンドツーエンドで追跡する必要がある理由を示している。回線は異なるローカルルートを取ることができても、1つのプロバイダーのコアに依存する可能性がある。サービスは複数のサプライヤーと契約することができても、参加銀行またはエンドポイントが共有キャリアを保持する可能性がある。バックアップ容量は存在しても、全国的なフェイルオーバーには小さすぎる可能性がある。通常の条件下で1つのリンクを切り替える継続性テストは、システム全体のキャリア喪失の運用およびトラフィック急増を見逃す可能性がある。

したがって、決済事業者および金融機関は、キャリア全体の障害下で、参加者接続、アイデンティティおよび不正制御、決済メッセージング、顧客通信、容量を含む完全なフェイルオーバーパスを証明すべきである。また、どの低下機能が完全な利用不能よりも安全であるかを知るべきである。オフライン認証またはより高い非接触型制限は、一部の商取引を保存できるが、不正および与信エクスポージャーも変更する。回復力は、すべての取引を盲目的に受け入れる要求ではなく、継続性と財務管理の間の事前合意されたバランスである。

中小企業はサービス信用で修復できない損失を被った

多くの中小企業にとって、障害は複数のチャネルを同時に除去した:固定インターネット、モバイルサービス、音声、オンライン注文、フードデリバリータブレット、クラウド POS アクセス、デビット支払い、スタッフ調整、顧客連絡先。それらのツールの見かけの多様性は、共通の通信依存関係を隠蔽していた。月額請求書に対する5日間の払い戻しは、広範な顧客ポリシーに従って利用不能な Rogers サービスを補償した。それは、1日の売上、逃した予約、腐った在庫、給与時間、または風評被害を置き換えなかった。

同時期のカナディアンプレスによる中小企業への影響に関する報道は、カナダ独立事業者連盟と、数百から数千ドルの損失を説明した事業主を引用した。企業はオンライン注文やカード取引を処理できず、あるカフェはデビットが利用不能な場合に常連客の支払いを延期させた。これらは損失メカニズムの信頼できる例であり、統計的に代表的な全国合計ではない。

Rogers の2022年年次報告書は、障害に関連する顧客払い戻しが約1億5,000万カナダドルであったと述べ、事件に関連する訴訟に言及している。会計数値は Rogers にとって具体的である。それは総経済的コストとして提示されるべきではない。それは、非顧客、公的機関、Interac 参加者、従業員、およびサービス料金が中断された商取引に比べて小さかった企業によって負担された損失を除外している。訴訟における申し立ては責任の認定ではなく、この記事はその存在から法的結果を推測しない。

中小企業は、銀行や都市よりも完全に多様な管理ネットワークを購入するリソースが少ないが、それでも彼らのエクスポージャーに比例した継続性の選択を行うことができる。商人は、真に異なるキャリアでテスト済みのホットスポットを維持し、POS 端末がプライマリリンクなしでどのように動作するかを知り、小さな現金手順を維持し、オフラインの顧客およびサプライヤーリストを保持し、別途ホストされたチャネルを通じて更新を投稿できる。専門サービス会社は、翌日の予定のローカルコピーと、企業メッセージング外のコールツリーを維持できる。配送に依存するレストランは、どの注文プラットフォームと支払いパスが固定接続を共有しているかを知ることができる。

目標は、すべての個人事業主にとって高価な複製ではない。それは、障害中にすべての収益経路に1つの隠れた親があることを発見しないことである。事業主はベンダーに単純な質問をすべきである:このキャリアの全国コアが利用不能な場合、私のサービスのどの部分がまだ機能し、その主張をどのようにテストしたか?稼働時間のパーセンテージのみで答えるサプライヤーは、継続性の質問に答えていない。

コミュニケーションは広報ではなく運用管理であった

Rogers の顧客コミュニケーションは、それが説明する必要があった同じ障害によって制約されていた。エンタープライズチームは、顧客に直接確実に連絡できなかったが、代替接続を持つ一部の従業員はクラウド顧客管理ツールを使用できた。会社には信頼できる復旧見積もりがなく、間違っている可能性のあるものを公開したくなかった。その慎重さは理解できる。有用な見積もりの欠如は、実用的な安全ガイダンス、明確な範囲、定期的な更新間隔の欠如を正当化しない。

CRTC の7月12日付の書簡は率直だった:最初の数時間、Rogers は顧客を安心させることに不能または効果がなく、サイトやソーシャルアカウントでほとんど詳細を提供しなかった。規制当局は、人々に代替の9-1-1アクセスを求める方法を伝えることに失敗したことを取り上げた。良い障害メッセージは、既知の根本原因を必要としない。影響を受けるサービス、インシデントの開始時刻、関係する地域、緊急通報が損なわれているかどうか、検証済みの代替手段、次の更新が到着する時刻、まだ不明な情報を述べることができる。

障害後の業界 MOU は、一般市民および政府当局のためのコミュニケーションプロトコルを含んでいる。2022年9月、連邦政府の信頼性アジェンダ声明は、この合意を第一歩として説明し、アジェンダを堅牢なネットワーク、調整された準備、説明責任の枠組みとした。MOU は共通の枠組みを作成したが、効果的なコミュニケーションは依然としてプロバイダー固有のツール、最新の連絡先リスト、アクセス可能な形式、障害ネットワーク外の公開パスに依存している。

全国キャリアのステータス機能は、本番コアからアーキテクチャ上分離されるべきである。DNS、ホスティング、認証、スタッフアクセス、アウトバウンド通知はすべて、その状態が報告されているネットワークに依存すべきではない。承認された対応者は、通常の企業シングルサインオンなしで代替キャリアから公開する方法を必要とする。メッセージは、公的なソーシャルメディアでの発見を待つのではなく、緊急機関に直接届くべきである。テンプレートは、9-1-1、警報、アクセシビリティサービス、支払い依存関係、卸売顧客をカバーし、インシデント中に事実が記入されるべきである。

コミュニケーションはまた、証拠の道筋を作成する。最初の正確な範囲声明までの時間、安全ガイダンスまでの時間、各当局への通知時間、訂正履歴、更新頻度、アクセシビリティ範囲は測定可能である。これらは取締役会レベルの回復力指標である。なぜなら、組織の主要な技術システムが利用不能な間も、組織が依然として責任を行使できるかどうかを示すからである。

是正措置は資本支出と区別されなければならない

Rogers の対応には、具体的な制御と非常に大きな投資額の両方が含まれていた。議会公聴会で、同社は強化された信頼性計画、ネットワークの物理的分離、より多くの監視とテスト、技術パートナーシップ、数十億ドル規模のネットワークプログラムについて説明した。大きな数字は行動能力を示すが、通常の拡大と障害固有のリスク削減との違いを曖昧にする可能性がある。

Xona の評価はその区別を行っている。アクセスネットワークのカバレッジと技術への支出は、必ずしも7月8日の障害を軽減するものではない。コア分離は同時の無線および有線の喪失を減らす可能性があるが、より広範なパフォーマンスと戦略的目的にも役立つ。最も直接的な是正措置はより狭かった:BGP 再配布と OSPF データベースエントリの制限、独立した管理アクセス、代替キャリア接続、より強力な変更レビュー、本番代表ラボ、変更量の削減、自動ロールバック、アラーム優先順位付け、対応者のためのバックアップ通信。

その区別は説明責任にとって重要である。なぜなら、金銭はインプットであるから。取締役会は数十億ドルを承認し、依然として失敗した制御を変更しないままにできる。閉鎖の証拠は、試みられたフルテーブル再配布が複数のレイヤーで拒否されること、リスクモデルが以前のフェーズが成功したためにコアルートポリシー削除を格下げできないこと、変更が全国伝播の前に制限された領域で停止されること、コアが存在しないときにログに到達可能であること、対応者が Rogers サービスなしで通信および復旧できることを示すべきである。

独立評価は、障害後の一連の措置が根本原因に十分に対処し、信頼性を向上させたと結論付けた。CRTC の2024年書簡は、措置が原因に対処したと述べ、継続的な報告を要求した。これは重要な外部保証であり、最小化されるべきではない。残る説明責任の質問は耐久性である:トポロジ、ベンダー、自動化、スタッフ、ビジネス優先順位が変化しても、制御が機能し続けるかどうか。

制御所有者は、例外と失敗したテストを報告すべきであり、完了したプロジェクトのみではない。ルーター制限は引き上げられる可能性がある。ラボモデルは本番から逸脱する可能性がある。ピアレビューは日常的な承認になる可能性がある。代替回線は調達中に統合される可能性がある。別個のコアは新しいオーケストレーターを共有する可能性がある。バックアップ SIM は期限切れになる可能性がある。是正措置は、構成コンプライアンス、敵対的テストケース、訓練、独立サンプリング、追跡された是正措置を通じて持続される。

規制はアドホック調査から常設義務へと移行した

即時の CRTC 対応は、Rogers への詳細な質問と公開記録に依存していた。2023年2月、委員会は電気通信通知諮問2023-39を開始し、キャリアが2時間以内に大規模障害を報告し、14日以内に障害後報告書を提出する暫定的な期待を課した。手続きは、9-1-1、公衆警報、アクセシビリティ、消費者通信、補償、技術的措置、罰則への影響について質問した。

2025年9月、電気通信決定 CRTC 2025-225 は、大規模電気通信障害のための最終的な必須通知および報告要件を確立した。プロバイダーは、定義された条件下で CRTC、ISED、および関連当局に通知し、更新を提供し、復旧を確認し、障害後情報を提出しなければならない。この枠組みは、Rogers によって露呈された一部の期待を常設のセクター義務に変える。

報告は予防ではないが、3つの方法で説明責任を変える。通知のための共通の時計を作成する。公的当局に安全と継続性を調整するために必要な情報を提供する。再発する原因、弱い是正措置、セクター全体の依存関係を特定できる記録を生成する。キャリアは、この規模の危機の間、政府との通信を即席の礼儀として扱うことができなくなる。

限界も同様に明確である。時間通りに提出された報告書は9-1-1を保存しない。秘密の技術的提出は、顧客が広範な復元力の主張をテストすることを妨げる可能性がある。閾値の定義は、イベントが危険であるかどうかではなく、報告可能であるかどうかに注意を向けさせる可能性がある。規制当局は、根本原因カテゴリに挑戦し、直接的な修正と一般的な投資を区別し、キャリア間の是正措置を比較し、コモンモード露出が残る場合に再テストを要求するのに十分な技術的能力を必要とする。

Rogers の事例はまた、競争を完全な説明として使用することに警告している。集中した全国市場は、1つのキャリアの障害の社会的範囲を増加させ、一部のユーザーにとって実用的な代替手段を減少させる可能性がある。より多くのプロバイダーだけでは、Rogers 内部の承認されたフィルター削除を止めることはできず、2つの名目上のサービスを購入する顧客は依然として同じ基礎コアを選択できる。市場構造とエンジニアリング制御は関連するリスク質問であるが、どちらも他方の代わりにはならない。

説明責任のあるリーダーシップが示すべきこと

Tony Staffieri は議会で、CEO として障害に対して説明責任があると述べた。その声明は、変更に最も近いエンジニアの上に責任を適切に置いた。経営陣の説明責任は、組織がインシデントを国家的にし、長引かせた条件を変更したという証拠を生み出すときに意味を持つ。

取締役会レベルの保証パッケージは、具体的な反事実に答えるべきである:

  1. 変更権限:現在のどのコマンド、テンプレート、自動化ジョブが複数の地域または両方のコアに影響を与える可能性があるか?それらの最大ルートおよびサービス影響を制約する不変の制限は何か?
  2. リスク分類:どの技術的特徴がプロジェクト履歴に関係なく高リスク評価を強制するか?スコアリングモデルは、2022年7月の構成および他の既知の壊滅的なケースに対してどのようにテストされているか?
  3. 検証の独立性:ラボ、ポリシーチェッカー、ピアレビュー、デバイス制限、段階的展開、ロールバックは、異なるデータと障害の前提に依存しているか、それとも1つの誤解がすべてを無効にする可能性があるか?
  4. 運命分離:無線、有線、9-1-1、公衆警報、管理アクセス、企業通信、ステータス公開は独立して障害を起こすことができるか?どの共有制御プレーンが残っているか?
  5. 復旧独立性:名前付き対応者は、本番コアと通常のアイデンティティサービスが利用不能な場合、ログ、デバイス、資格情報、施設、ベンダー、公的通信にアクセスできるか?
  6. 緊急継続性:緊急ローミングは、無線ネットワークが稼働し、ホームコアがダウンしている状態でテストされているか?どの程度のデバイスと通話パスが意図したとおりに動作し、どの残余人口が他のガイダンスを必要とするか?
  7. 外部依存関係:どの機関および卸売顧客が全国的な二次的影響を生み出す可能性があるか?Interac のような依存関係はマッピングされ、共同で訓練されているか?
  8. 持続的な閉鎖:ルーター制限、リスク決定、ラボ忠実度、代替回線、SIM 在庫、訓練行動、分離境界を独立してサンプリングしているのは誰か?どの例外が期限切れか?

これらの質問は、取締役にルーティングを設定するように求めているわけではない。経営陣に技術的回復力を決定証拠に変換するように求めている。平均可用性を示すダッシュボードは、1つのテストされていない変更が全国的な爆発範囲を保持している間も緑のままである可能性がある。取締役会はテールリスク指標を必要とする:変更あたりの最大範囲、共通制御依存関係の数、独立した管理アクセスまでの時間、緊急通知までの時間、ネットワーク外で到達可能な重要な対応者の割合、最小限の安全なサービスを復元するまでの時間。

説明責任はまた、過失と非難を区別すべきである。証拠は、Rogers のプロセス、アーキテクチャの選択、管理制御に関する調査結果を支持している。1人の従業員が無謀に行動したことや、名前の付いたベンダーがインシデントを引き起こしたことは確立していない。個人を解任することは、公的記録にない理由で適切かもしれないが、組織の権限を修正する代わりにはならない。逆に、学習文化は、証明された影響の大きい弱点が未解決のままである場合、上級リーダーを結果から保護すべきではない。

継続性の義務はキャリアの境界で止まらない

Rogers は自社のネットワークを安全に運用および復旧する主要な義務を負っていた。それでも、障害は、公的または経済的機能を持つ顧客が継続性を完全に外部委託できない理由を示している。都市、病院、決済事業者、商人は、調達オプションと予算が制約されている場合でも、自社の運用のどの程度が1つのプロバイダーを共有するかを選択する。

公的機関にとって、最小限の管理セットは実用的である。重要な通信依存関係の権威あるインベントリを基礎キャリアまで維持する。生命安全およびインシデントコマンドの役割に多様なサービスを割り当てる。重要な連絡先および手順情報をオフラインで保存する。定義された期間の手動サービスをテストする。独立したホスティングおよび放送チャネルを通じて公的メッセージを維持する。スタッフのモバイルサービス、オフィスインターネット、クラウドアクセス、支払い受付が一緒に消える正確な条件を訓練する。

中小企業にとって、リストは短く、収益に関連付けるべきである。停止が取引を停止させる2つまたは3つの機能を特定する。必要になる前にセカンドキャリアホットスポットをテストする。支払いプロバイダーが回線冗長性だけでなくキャリア多様性を持っているかどうかを知る。次の営業日の記録をローカルで利用可能に保つ。現金、後払い、または無支払いを受け入れる時期を決定し、事前に制限を設定する。プライマリオフィス接続なしで顧客に何が起こっているかを伝える方法を保持する。

銀行、管理サービスプロバイダー、卸売業者、クラウド通信ベンダーなどの仲介者にとって、義務は意味のある依存関係を開示することである。「冗長」は、パスが異なるアクセス設備、キャリアコア、管理プレーン、および電力ドメインを使用しているかどうか、および容量が完全なフェイルオーバー下でテストされているかどうかを述べるべきである。多様性が単なるマーケティング形容詞である場合、顧客は釣り合った決定を下せない。

クレジットと契約は依然として重要である。それらは一部の直接的なサービスリスクを割り当て、プロバイダーに復旧のインセンティブを与える。それらは弱い継続性管理である。なぜなら、顧客の最大の損失は結果的であり、除外される可能性があるからである。機関は、真の多様性の価格を、最も重要な機能が利用不能になる結果と比較すべきであり、毎月の通信費のみと比較すべきではない。

永続するシグナル

2022年7月の Rogers 障害は、コーディングまたはメンテナンスエラーがカナダをオフラインにした日としてしばしば記憶されている。その説明は小さすぎる。この出来事は構成エラーで始まったが、独立した過負荷制限なしに保護ルーティング境界が削除できたこと、リスクモデルが無関係な成功後に危険を割り引いたこと、無線と有線のトラフィックが影響を受けたコアを共有していたこと、管理およびスタッフの通信が苦境にあるネットワークに依存していたこと、および重要な顧客が隠れた共通依存関係を持っていたために壊滅的になった。

インシデントはまた、改善の証拠を生み出した。Rogers は経営陣の責任を受け入れ、クレジットを資金提供し、ルート保護措置を設置し、管理アクセスを分離し、代替接続および対応通信を拡大し、制御プロセスを変更し、コア分離を追求した。Interac はキャリア多様性とプライベートバックアップ接続を追加した。トロントは実際のフォールバックを訓練した後、冗長性を強化した。キャリアは緊急ローミングおよび相互援助の取り決めに署名した。CRTC は必須の全国障害通知および報告に向けて動いた。

これらの措置のいずれも、全国的な通信ネットワークが決して障害を起こさないことを約束するものではない。それは信頼できる基準ではない。説明責任のある基準は、予見可能な人的またはソフトウェアエラーが、独立した障壁を越えずに1つのメンテナンスアクションから国家規模の喪失に移行できないこと、緊急および復旧経路がメインネットワークを生き残ること、当局および顧客がタイムリーで有用な情報を受け取ること、およびシステムが変化し続ける限り是正措置がテストされることである。

最も深い教訓は継続性の所有権に関するものである。Rogers はフィルターを変更した人物にコアの責任を移すことはできなかった。Interac は支払いの責任を Rogers に移すことはできなかった。都市は公共サービスの継続性をキャリア契約に移すことはできなかった。中小企業は5日間のサービス信用で失われた取引を回復することはできなかった。各主体は同じ依存連鎖の異なる部分を所有していた。

将来に持ち越す価値のある質問は、別のルーターが故障するかどうかではない。それは、故障したときに、システムの残りの部分が人々に助けを求める手段、公的機関に運営手段、企業に取引手段、エンジニアに戻る手段をまだ残しているかどうかである。