概要

  • 2022 年 7 月 8 日の早朝、Rogers のスタッフが IP コアアップグレードの第 6 段階でルーティングポリシーフィルターを削除した。完全な BGP ルーティングテーブルが OSPF に再配布され、実効的な過負荷制限を持たないコアルーターが圧倒された。無線と有線の両サービスが影響を受けたコアを共有していたため、カナダ全土で障害が発生した。
  • この障害は単なる顧客アクセスの問題ではなかった。Rogers の顧客の大部分が 9-1-1 に接続できず、無線の緊急速報が中断され、Interac Debit と Interac e-Transfer が利用不能となり、政府や地方自治体のサービスが接続を失い、中小企業は通信手段と決済チャネルを同時に失った。
  • 障害が発生したネットワーク内部の依存関係によって復旧が遅れた。Rogers の管理アクセスは自社の IP コアに依存しており、重要な拠点では代替通信事業者との接続が不十分で、対応要員にはサードパーティの SIM が少なく、技術者は当初原因を特定するために必要なログにアクセスできなかった。独立した評価によると、根本原因が特定されたのは約 14 時間後だった。
  • Rogers は経営責任を認め、顧客に 5 日間のクレジットを発行し、ルーティングの安全対策を追加し、リスクとレビューのプロセスを変更し、独立した管理ネットワークを構築し、代替接続を拡大し、無線と有線のコアの分離を開始した。これらは意味のある措置だが、説明責任は検証された成果と公的な保証に依存するのであり、一般的な設備投資プログラムの規模に依存するものではない。
  • より広範な教訓は共有されるものである。通信事業者は自社の障害を封じ込め、緊急アクセスを維持する責任がある。公的機関、決済事業者、中小企業は、別々のように見える機能が実際には同じ通信事業者を共有しているかどうかを把握し、障害時に機能しなくならない実用的な代替手段を維持する責任がある。

これは国家的な継続性事象だった

2022 年 7 月 8 日金曜日、東部夏時間午前 4 時 43 分、Rogers ネットワーク内の配信ルーターからポリシーフィルターが削除された。後の独立した技術評価によると、2 分以内にコアゲートウェイが故障し始めた。午前 4 時 58 分までに、ルーターは処理能力を超えるルーティング情報で溢れ、カナダ全土の無線および有線サービスが停止した。復旧は翌朝まで続いた。評価では 7 月 9 日午前 7 時を広範な事象の終了時点としているが、サービスが一斉に復旧したわけではなく徐々に回復したことを認識している。

この短い初期段階が重要である。破壊的な経路は、承認された保守作業から数分で全国的なサービス停止に至った。復旧の経路には、診断、物理的アクセス、制御された変更、地域ごとの順次対応、数百万台の再接続デバイスの慎重な管理が必要だった。この不均衡は複雑なインフラでは通常のことである。危険な状態を生み出すことは、プレッシャーの中でそれを理解し元に戻すよりもはるかに容易なのだ。通信事業者の最も重要な制御は、アラームが発生した後だけでなく、変更の前と最中に機能しなければならない理由もそこにある。

Xona Partners によるCRTC 公表の評価では、1200 万人以上の顧客が無線および有線サービスを失ったと記載されている。その対象には、携帯電話加入者、家庭用インターネット利用者、卸売顧客、法人顧客、重要サービスを提供する機関が含まれる。この数字は、1200 万人が同時に電話や決済を試みた人数ではない。これは、共通の障害にさらされたサービス対象人口の指標である。

外部からの測定は、公共ネットワークへの突然の影響を独立して裏付けている。Cloudflare は、Rogers の AS812 からのトラフィックがほぼ完全に失われるのを 8:45 UTC 頃に観測し、BGP アップデートの急増と大規模なプレフィックス撤回も確認した。ThousandEyes の障害分析では、ネットワークの到達可能性が低下し、公衆 BGP の撤回が内部障害と整合するものの、外部からの計測では内部の発生原因を特定できないと注意を促した。Internet Society のその後のレビューも同様に、外部経路の喪失を深刻な内部問題の現れと見なし、公衆インターネット上の BGP が事象を開始した証拠とはしなかった。

この区別は重要である。「BGP が Rogers を停止させた」と言うことは、ガバナンスの失敗をプロトコルの話にすり替えることになる。BGP はルーティングの結果を伝搬し露呈させた。最初の障害は、本番環境での設定変更によって完全な BGP テーブルが内部 OSPF ドメインに流入することを許し、過負荷保護の欠如、効果のない検証、コアルーティング変更を低リスクと扱うリスクプロセスが重なったものである。これらは管理可能な組織的条件だった。

この事象は、通常のプロバイダー障害の範囲を超えていた。携帯電話加入者のデータ通信が失われるのはサービス障害である。自治体が職員の通信、介護記録、決済受付、遠隔交通制御のリンクを同時に失うのは、継続性の障害である。9-1-1 へのアクセスと緊急速報が影響を受けると、公共安全の障害となる。Interac の全国デビットおよび送金サービスが利用不能になると、経済的依存の障害となる。Rogers は技術的な起点だったが、被害範囲はエコシステム全体で行われたリスク選択を明らかにした。

公の証拠が確立すること

証拠は事後的に大幅に改善された。Rogers の最初のメッセージは大まかだった。7 月 8 日、最高経営責任者はカナダ国民への公開メッセージで、無線と有線の両方のサービスが影響を受けたことを認め、信頼回復の責任を受け入れ、自動クレジットを約束した。7 月 9 日、同社はコアのメンテナンス更新がルーターの誤動作を引き起こし、トラフィックの再ルーティング中に機器が切断されたと発表した。これらの声明は意味のある自認だったが、フィルター、内部でのルーティング洪水、欠けていた安全対策、診断の遅れについてはまだ説明していなかった。

規制当局はその後、はるかに広範な記録を要求した。CRTC の 7 月 12 日付情報請求では、Rogers に対し原因、時系列、復旧、顧客への連絡、緊急サービスへの影響、事前テスト、クレジット、再発防止策について説明するよう求めた。この書簡には、最初の数時間で有用な詳細がほとんど提供されなかったこと、カナダ国民に代替手段による 9-1-1 への到達方法を伝えなかったことという、即座の公的懸念が記録された。8 月 5 日の 2 通目の CRTC 書簡では、削除されたルーティングフィルター、実際のネットワークポリシー変更、テスト範囲、公安応答拠点への通知に約 4 時間かかった理由、一部の緊急通報が成功し他は失敗した理由について追及した。

最も強力な統合は、規制プロセスの中で委託され、後に CRTC が要約版で公表した Xona Partners の独立評価である。これは複数回の Rogers の回答と技術・管理スタッフとの会合に基づいている。報告書は、同社の初日の説明を大きく超える所見を提示している。削除されたアクセス制御リストのポリシーフィルター、完全な BGP テーブルの OSPF への再配布、コアルーターのリソース枯渇、過負荷保護の欠如、変更監査の機能不全、不適切なリスク格下げ、本番環境を代表しないラボテスト、管理ネットワークへの依存、不十分なサードパーティ通信、インシデント対応の弱点を特定している。

また、重要な限界も保持している。トポロジーの一部、機器識別、正確な設定や内部タイムラインを含むいくつかの詳細は非公開のままである。報告書は、Rogers の障害前のコアは大規模 Tier 1 プロバイダーにとって一般的なものであり、共通コアはそれ自体が設計上の欠陥というよりは設計上の選択だったと結論付けている。Rogers が障害後に実施した一連の措置は、根本原因に対処し回復力を向上させる上で満足できるものと評価している。説明責任の分析は、こうした所見を「ネットワーク全体が無謀に設計されていた」という主張に静かに置き換えるべきではない。

また、報告書が現在の状況について証明することを誇張してはならない。評価では、コア分離はレビュー時点でまだ進行中であるとされた。2024 年 7 月、CRTC は Rogers に対し、継続的な有効性とコア分離の進捗について報告するよう要求し、公開手続の記録には 2025 年 7 月の Rogers の提出が示されている。公開提出と規制当局の受け入れはプレスリリースよりも保証を提供するが、すべてのテストケース、例外、アーキテクチャ境界、独立した再テストを公表することと同じではない。因果関係が理解されているという確信は高くても、すべての是正措置の耐久性については限界がある。

変更から復旧までの流れ

時刻または日付事象と説明責任上の重要性
7 月 8 日の数週間前Rogers は 7 段階の IP コアアップグレードを開始した。全体プロセスは当初高リスクと評価されたが、先行するフェーズの成功がリスクアルゴリズムに影響し、第 6 フェーズは低リスクと扱われた。
7 月 8 日 午前 4 時 43 分スタッフが影響を受ける配信ルーターからポリシーフィルターを削除した。この変更はアップグレードに伴う設定の整理を意図していたが、完全な BGP 経路テーブルが OSPF に再配布されるのを許した。
2 分以内に経路情報がコアに殺到し、コアゲートウェイが故障し始めた。ルーターには、再配布経路を制限したり OSPF データベースを保護する効果的な制限が欠けていた。
午前 4 時 58 分評価では広範なサービス障害とされている。無線、有線、家庭用電話、インターネット、法人接続、9-1-1 接続、緊急速報の配信が影響を受けた。
午前 6 時Rogers の最高技術責任者が Bell および TELUS の担当者に連絡し、障害を警告し、原因不明のままサイバー攻撃の可能性を提起した。
初動対応Rogers の要員は、管理接続が障害を起こしたコアに依存していたため、ネットワーク機器や主要ログへの通常アクセスを失った。限られた代替通信事業者の SIM が内部調整を妨げ、技術者を現場に派遣する必要が生じた。
午前 8 時 39 分Rogers は、トリガーから約 4 時間後に 9-1-1 ネットワークプロバイダーに通知し、公安応答拠点への連絡を依頼した。
午前 11 時 19 分Rogers が CRTC に通知。政府と緊急管理の調整はすでに他のチャネルで進んでいた。
午後から夕方Rogers は、自社ネットワークに接続しているユーザーには無線緊急速報が届かないと伝えた。技術者は診断を続け、保守時間帯に行われた複数の変更を当初検討した。
発生から約 14 時間後技術者はコアに殺到していた配信ルーターを根本原因と特定した。その後、中央および東部地域から系統的な復旧が行われた。
7 月 8 日夜Rogers は、デバイスの再接続試行によるシグナリングストームを避けるため、モバイル登録を抑制した。外部の観測者は、部分的なトラフィック回復と経路広告および撤回の繰り返しを確認した。
7 月 9 日午前 7 時独立評価ではこれを広範な復旧終了時点としているが、個々の顧客や機能は異なる時間に回復した。
2022 年 7 月以降Rogers は 5 日分のクレジットを発行し、ルーティングと管理の制御を変更し、代替通信を拡大し、無線と有線のコアの物理的分離を発表した。業界と政府は、緊急ローミング、相互支援、および障害時通信の取り決めを策定した。

このタイムラインは、よくある二つの単純化を防ぐ。第一に、公的に経路が再出現したからといって事象が修理されたわけではない。プレフィックス広告、家庭用インターネットの回復、モバイル登録の成功、9-1-1 経路の復旧、全国的なサービスの完全安定は、それぞれ異なる復旧状態である。第二に、即座に根本原因が診断できなかったこと自体が無能を示すわけではない。ネットワークは複雑で、いくつかの変更が行われており、ログにアクセスできず、復旧はさらなる過負荷を避ける必要があった。説明責任の問題は、予見可能な設計とプロセスの選択が診断を不必要に困難にしたことである。

削除されたフィルターが国家の権威問題となった

削除されたフィルターには保護的な役割があった。簡略化して言えば、Rogers の配信ルーターは BGP を通じて大量のルーティング情報を学習し、一方 OSPF はコア内部でトポロジーと到達可能性を配布していた。そのフィルターは境界を越えられるものを制限していた。それを削除することで、完全な BGP テーブルが OSPF に再配布された。コアルーターは処理能力とメモリリソースが扱える以上のリンク状態情報を受信し、クラッシュした。

これは単に設定ファイル内の不運な一行ではなかった。その変更は、国内の無線および有線トラフィックを扱うルーティングドメイン間の境界に対する権限を持っていた。多段階プロジェクトの中でのラベル付けではなく、その最大限の潜在的影響が精査のレベルを決定すべきだった。経路制御の障壁を取り除き得るクリーンアップ作業は、依然として高影響度の本番変更なのだ。

独立評価では、ネットワーク実務で認識されている 4 つの保護策が特定されている:コアルーターの過負荷保護、配信ルーターが再配布する経路数の制限、手動および自動のポリシー監査、自動ロールバックである。Rogers はこの事象を阻止できる効果的な組み合わせを持っていなかった。監査プロセスは誤った変更を指摘しなかった。コアには該当する過負荷制限がなかった。ラボテストは危険な状態を再現し拒否しなかった。保守時間内の複数の変更により、当初のロールバック選択は不明瞭になった。

長年の運用ガイダンスは、責任を決定するものではないが原則を支持している。Internet Engineering Task Force のRFC 7454 の BGP 運用とセキュリティガイダンスは、プレフィックスフィルタリング、最大プレフィックス制御、監視、規律ある構成を、有害な経路伝搬に対する保護として論じている。RFC は Rogers を規制する法律ではなく、この障害は単純な外部経路リークではなく OSPF への内部再配布を伴っていた。しかし、経路ボリュームの制限とルーティング情報のフィルタリングが確立された運用上の関心事であり、2022 年 7 月以降に発明された教訓ではないことを示している。

したがって、最も有用な説明責任の問いは、誰がフィルターを削除したかではない。公開評価では Rogers のスタッフが変更を行ったとしているが、個々の従業員の意図、訓練、指示遵守を判断する根拠は提供していない。より良い問いは、なぜ組織が、独立したキャパシティ制限やフェイルクローズド検証なしに、コアルーティング境界を一つの削除可能なフィルターに依存させたのかである。オペレーターの行動は、それを承認し、実行し、封じ込めに失敗したシステムの道義的責任のすべてを負うべきではない。

優れた制御設計は、正当に権限を与えられた人でも誤り得ることを前提とする。高影響度のルーティング変更は、現在の本番トポロジーとの意味的比較、対象デバイスによる経路数制限、実装から独立した者によるピアレビュー、本番を代表するラボでの再現、限定されたセグメントへの段階的展開、ライブ中断基準、通常の管理アクセスが損なわれた場合に機能することが証明されたロールバック経路に直面すべきである。複数の制御が失敗し得るが、それらが変更内容について同じ前提を共有すべきではない。

リスクスコアは成功から誤った教訓を学んだ

最も明らかになった知見の一つは、技術的というより管理的なものである。Rogers は当初、7 段階のアップグレードを高リスクに分類していた。先行フェーズは成功裏に完了した。そのアルゴリズムは、それらの成功を利用して、障害を引き起こしたルーティングポリシー変更を含む第 6 フェーズのリスクを低に引き下げた。この評価により、追加の精査、上級承認、ラボテストの必要性が低減された。

過去の成功は、繰り返される実質的に同一の行動についての証拠となり得る。しかし、異なる制御を異なる影響範囲で変更する後のフェーズにとっては弱い証拠である。プログラムはコアに近づくにつれて、先行するアクセスや準備段階が成功していても、より危険になる可能性がある。順序の完了を制御緩和の理由として扱うことは、プロジェクトの勢いと技術的リスクを混同している。

この誤りは、リスクアルゴリズムにガバナンスが必要な理由も示している。スコアは変更の客観的特性ではない。それは要因と重み付けを通じて表現されるポリシー決定である。以前の成功が、BGP から IGP への再配布、全国的なコア範囲、フィルター削除、複数の同時変更、限られたロールバック独立性の存在を上書きできるなら、そのモデルは安全でない選好をエンコードしていることになる。組織は、ルーターソフトウェアをテストするのと同様に、既知の破局的ケースでモデルをテストしなければならない。

取締役や上級管理職にとって、関連する指標は低リスクとラベル付けされた変更やインシデントなく完了した変更の割合ではない。成熟した報告書は、無線と有線の両方のコアに影響を与え得る変更の数、どのポリシー機能が高リスク分類を強制するか、技術者が自動スコアを上書きする頻度、拒否された変更が追跡されているか、リスクエンジンが既知の危険な設定のライブラリに対してどのように機能するかを示すべきである。また、成功した初期フェーズが、新たな障害境界に触れる後のフェーズの制御要件を減少させることがあるかどうかも示すべきである。

Rogers は独立レビューアーに対し、新しいリスク評価アルゴリズム、自動化および制限付き変更の新カテゴリ、エンジニアリングと運用の早期協業、コアエンジニアリングのピアレビューチーム、より厳格なラボテスト、保守時間帯の変更量制限を導入したと述べた。これらの措置は観察された弱点を対象としている。それらの持続的価値は、不安全な変更の試行や訓練からの証拠に依存し、改訂されたプロセス文書の存在に依存するものではない。

冗長ハードウェアが一つの論理的運命を共有した

Xona の評価は、Rogers が Tier 1 プロバイダーに期待される物理アーキテクチャを欠いているとは結論付けなかった。ネットワークは冗長なトランスポート、複数の地域、主要ベンダーの機器を備えていた。しかし、無線と有線の両サービスは共通の IP コアを使用しており、破壊的な設定状態がその冗長性の実際的な利点を無効にするほど広範にコアに到達した。

これはコンポーネント冗長性と運命分離の違いである。二つのルーターは、一方が故障したときにもう一方がトラフィックを運べるなら冗長である。しかし一つのポリシー更新が両方を過負荷にできるなら、それらは独立していない。コントロールプレーンが同じ有害な状態をすべての地域に伝搬できない場合にのみ、地域は通常の障害を隔離する。異なるベンダーは一部の欠陥リスクを低減するが、共通の設定プロセスが依然として相互運用可能な障害を生じさせ得る。物理的多様性は現実的で有用だが、論理的な共通モード事象には対応しない。

無線と有線のトラフィックを共通の IP コアに収束させることは、効率、パフォーマンス、管理性を向上させ得る。報告書はこれを一般的な業界の設計選択であり、欠陥ではないとしている。説明責任はその選択が要求する保護策にある。収束が一つの変更の最大影響を増大させるなら、経路制限、分割、管理の独立性、緊急経路、テストの厳格さもそれに応じて増加させなければならない。

Rogers は、無線と有線の IP コアを物理的に分離すると発表した。CEO の Tony Staffieri は、7 月 25 日の下院産業委員会での冒頭陳述で、追加層に少なくとも 2 億 5000 万ドルを見積もり、より広範な 3 年間のネットワーク投資について説明した。後の Xona 報告書は分離に 2 億 6100 万ドルという数字を使用し、既存のコアが有線トラフィックを引き続き提供する間に新しい無線コアを構築すると説明した。

分離は、運用がそれを維持する場合にのみ価値がある。二つのコアは、同期された変更、共有されたオーケストレーション、共有されたアイデンティティ、共通の経路ポリシー、共通のトランスポートボトルネック、または一つの管理ネットワークを通じて共通の運命を再び獲得し得る。独立報告書自体が、同時障害を回避することは、同じ有害なアップグレードが両方に同時に適用されないことを前提としていると指摘している。したがって、取締役会は単なるプロジェクト完了率ではなく、依存関係マップと同時障害テストを求めるべきである。

復旧ネットワークが修理中のネットワークと共に機能しなかった

障害の継続時間は、ルーティングエラーだけでは理解できない。Rogers の管理ネットワークは本番 IP コアに依存していた。そのコアが故障すると、リモートの技術者はネットワーク機器やエラーログへのアクセスを失った。ネットワークオペレーションセンターを含む重要な拠点は、代替プロバイダーからの十分なセキュア接続を持っていなかった。スタッフは機器のある場所へ移動する必要があり、同社はすべての重要対応要員が Rogers サービスから独立して通信するためのサードパーティ SIM を十分に持っていなかった。

これらは事象の影響範囲内にある復旧依存性であった。それらは高速な設定障害を長期の診断問題に変えた。評価では、Rogers は根本原因を約 14 時間特定できなかったとされている。保守時間帯に複数の設定変更が行われていたため、チームは通常使用する情報なしにどの変更チケットを元に戻すかを決定しなければならなかった。これは特に危険な組み合わせである:可視性の低下、制御の低下、通信の障害、複数のもっともらしい原因。

アウトオブバンド管理ネットワークは、単に異なる名前やアドレス範囲、インターフェースセットを持っているからといって独立しているわけではない。それは本番コア、企業 DNS、通常のアイデンティティサービス、主要通信事業者、中央オペレーションサイトを生き残らなければならない。緊急時にもアクセスは安全に保たれ、制限されたコマンド、強力な認証、適切な場合の二重制御、改ざん検知可能なログ、オフライン手順、訓練での定期的使用が求められる。独立性のないセキュリティはバックドアを作り、独立性のないセキュリティは到達できない復旧計画を作る。

報告書によると、Rogers はその後、物理的および論理的に分離された管理 IP ネットワークを実装し、重要施設に代替プロバイダー接続を追加し、インシデントおよび危機チームへのサードパーティ SIM 配布を拡大し、アラーム優先順位付けを改善し、監視を拡大し、自動ロールバックを強化した。サードパーティ接続を適切な改善と評価し、特に戦略的な場所には衛星接続を提案した。これらの措置は、単により多くのアップタイムを約束するのではなく、復旧を遅らせたメカニズムに対処するものである。

これらはまとめてテストされるべきである。現実的な訓練では、本番ルーティングと企業通信を削除し、一つのオペレーションサイトへのアクセスを拒否し、最近の変更チケットを誤解を招くものとし、対応者が独立した経路を通じて適切な機器を特定することを要求するだろう。指揮系統の確立、信頼できるログの取得、被害範囲の特定、公的機関への連絡、顧客ガイダンスの発行、制限付きロールバックの開始までの時間を測定するだろう。バックアップ SIM が存在するという机上の主張は、それらが充電され、割り当てられ、到達可能で、午前 5 時に対応者に知られていることを証明することと同じではない。

緊急通報が無線とサービスの間のギャップを露呈した

最も深刻な影響は、緊急アクセスの喪失だった。Rogers の無線アクセスネットワークは、コアがダウンしている間も国内の一部で動作し続けた。これにより直感に反する状態が生まれた:電話機はホーム無線ネットワークをまだ認識し接続できたため自動的に別の通信事業者を探さなかった一方で、Rogers を通じて 9-1-1 通話を完了するための経路は利用不能だった。一部の通話は、コアの一部が断続的に到達可能だったときに旧式の 2G または 3G インフラを介して成功し、一部の新しいデバイスは他のネットワークを見つけたが、大部分は接続できなかった。

公開評価では正確な通話成功率は開示されていないため、責任ある説明がそれを創作すべきではない。それは、9-1-1 ネットワークプロバイダーおよび公安応答拠点への接続が切断され、多くの顧客が緊急サービスに接続できなかったことを立証している。この障害条件下で緊急トラフィックを保護するための追加のエッジ・コア経路も存在しなかったとしている。

通知がアクセスの問題を悪化させた。Rogers はトリガーから約 4 時間後の 8:39 まで 9-1-1 ネットワークプロバイダーに通知せず、彼らが応答拠点に警告を伝達することに依存した。CRTC の最初の書簡は、9-1-1 に到達する代替手段についての実用的な公的ガイダンスの欠如を批判した。無線緊急速報も影響を受けた:Rogers は後に国家緊急情報集約機関に対し、障害中に自社ネットワークに接続している無線ユーザーには緊急メッセージが配信されないことを確認した。

下院産業委員会のフォローアップ書簡は、緊急サービスを移管するメカニズム、適切な顧客通知、および影響を受ける人口を減らすための十分な冗長性を求めた。優先度と生存性の区別が重要である。動作中のネットワークで 9-1-1 パケットを優先しても、コアがそれをルーティングできない場合は何の役にも立たない。緊急時の継続性には、到達可能であり続ける経路、ローミングやハンドオフのための信頼できるトリガー、受信側ネットワークの容量、モバイルデータが使えなくても人々が従える指示が必要である。

業界の対応は、電気通信信頼性に関する了解覚書であり、緊急ローミング、相互支援、政府および公衆との通信を対象としている。技術的に可能な場合の緊急ローミングを認識し、9-1-1 アクセスを含んでいる。その条件付けは重要である。コアが利用不能な間に無線ネットワークが利用可能に見えるシナリオこそ、通常のローミング動作を妨げる可能性があるものだ。したがって Xona は、単に合意の存在を確認するのではなく、2022 年 7 月の状態に対して MOU をテストすることを推奨した。

緊急サービスは共有された連鎖である。Rogers は自社のネットワークを安全に故障させ、迅速に通知しなければならない。他の通信事業者は、自社のネットワークを不安定にすることなく、実行可能な緊急トラフィックを受け入れることができなければならない。デバイスと標準の動作は、別の経路の選択をサポートしなければならない。公的機関と応答拠点は、直接の認証された通知を必要とする。公衆は、ラジオ、テレビ、独立してホストされるウェブチャネル、地域機関を通じて配布される、シンプルでアクセスしやすいガイダンスを必要とする。各参加者が次のリンクを指さすならば、説明責任は機能しない。

トロントが公共部門の依存関係の実際を示す

全国的な表現では影響が抽象的になりがちだ。トロント市のその後の運用影響レビューは、一つの自治体の依存関係を具体的に示している。モバイル業務用端末を持つ市職員の 55%以上が Rogers に依存していた。この障害は、技術インシデント管理と緊急オペレーションセンター間の初期調整を混乱させ、消防および生命安全機能に影響を与え、長期介護、シェルター、予防接種クリニック、公共 Wi-Fi、市施設での支払い、遠隔交通制御にも及んだ。

詳細は、通信の集中が部門の境界を越える様子を示している。市直営の 10 の長期介護ホームのチームは、2600 人以上の入居者の電子記録にアクセスできなくなった。病気や隔離中のスタッフは、中央のスケジュール調整部署に電話できなかった。一部の予防接種クリニックは代替通信事業者のホットスポットを使用し、他は後でアップロードするために手動で情報を記録した。600 以上の交差点はローカル信号タイミングを継続したが、Rogers の携帯回線を介した中央監視と遠隔調整は接続が回復するまで利用不能だった。市は、信頼できる緊急通話が不確かなためレクリエーション活動の中止を検討したが、代替通信事業者の電話が提供された後に継続した。

これは自治体政府の完全な失敗ではなかった。トロントは緊急オペレーションセンターを起動し、可能な限り業務を移行し、75 台以上のバックアップデバイスを展開し、二次ネットワークを使用し、中核的な責任を維持した。これらの成功した適応は、失敗と同様に重要である。それらは、継続性が限定的な代替手段の集合であり、通常のデジタルサービスが変わらずに維持されるという約束ではないことを示している。

7 月 25 日の議会公聴会向けに作成された ISED のブリーフィングは、Service Canada や市町村サービスへの影響を記録し、連邦政府の調整役割を説明している。ISED は緊急通信チームと業界ワーキンググループのプレイブックを発動し、Bell と TELUS が一部支援を提供したが、Rogers は連邦支援を要請しなかった。同省は情報を調整し、周波数やリソースの移動といったニーズを支援できたが、障害を起こしたネットワークを所有しておらず、修理する能力もなかった。

公共部門の説明責任は調達以前から始まる。可用性とクレジットを規定する契約は、運用上の多様性を保証しない。機関は、再販業者の背後にある通信事業者、プライベートリンク、モバイルプラン、クラウドアクセス、ビル警報、決済端末、バックアップホットスポットのキャリア所有関係をマッピングする必要がある。二つの請求書は二つのネットワークを意味しない。保健、シェルター、交通、公的情報機能のための最低限の手動手順、代替デバイスの目録、テスト済みの優先復旧連絡先、障害を起こした通信事業者のデータサービスに依存しない通信計画が必要である。

正しい継続性の目標は、全てのサービスをどんなコストを払ってでも複製することではない。生命の安全と時間的に重要な機能を特定し、それらに真の経路多様性を与えることである。交通信号は中央リンクなしでもローカルタイミングを維持できる。診療所は後で照合するために紙にワクチン接種を記録できる。介護ホームでは、遅延がより大きな結果をもたらすため、記録、スタッフ通信、緊急通話を別々のメカニズムで必要とするかもしれない。継続性設計は、組織図ではなく、結果に従うべきである。

Interac が通信事業者の障害を決済障害に変えた

この障害は Interac Debit と Interac e-Transfer も利用不能にした。これは、自らが Rogers 加入者でない人々や商店にも影響が及んだことを意味する。店舗は他社のインターネット回線を持っていても、顧客が期待する支払方法を受け付けられなかった。家庭は機能している Wi-Fi があっても、e-Transfer を送信できなかった。プロバイダー依存性は、ユーザーの目に見える末端ではなく、全国的な決済サービスの内部に存在していた。

Interac 自身の障害声明と是正更新は異例なほど率直である。自社のプラットフォームは冗長ネットワークと回線多様性を持ち、サプライヤーの可用性コミットメントがあると述べたが、7 月 8 日はそれらの取り決めが依然として Rogers のコアメンテナンスに対して脆弱すぎることを示した。また、7 月 8 日のような日には約 2500 万件の取引を促進しているとも述べた。これは取引量の文脈であり、失敗した支払いの件数や測定された損失ではない。

Interac は「通信事業者が故障した」ことを説明責任を停止する言い訳とは扱わなかった。同社は二次通信事業者と、ネットワーク量に対して十分なバックアップ容量を持つ第三のリンクを追加し、e-Transfer 参加者のための安全なプライベートバックアップモードを有効にし、事業継続性と危機対応の実践を改訂した。同社の更新では、キャリア多様化プロジェクトは 2023 年 6 月に完了し、プライベート e-Transfer 代替手段は 2023 年 1 月に完了したとされている。これは、既存のリンクが冗長だったという一般的な声明よりも強力な是正記録である。

この事象は、多様性が端から端まで追跡されなければならない理由を示している。回線は異なるローカル経路を取ることができても、依然として一つのプロバイダーのコアに依存し得る。サービスは複数のサプライヤーと契約していても、参加銀行やエンドポイントが共通のキャリアを保持している可能性がある。バックアップ容量は存在していても、全国的なフェイルオーバーには小さすぎる可能性がある。通常の状態で一つのリンクを切り替える継続性テストは、システム全体のキャリア喪失時の運用上およびトラフィック上の急増を見逃す可能性がある。

したがって、決済事業者と金融機関は、キャリア全体の障害下における完全なフェイルオーバー経路を証明すべきである。これには、参加者接続、本人確認・不正制御、決済メッセージング、顧客コミュニケーション、容量が含まれる。完全な利用不能よりも安全な、どの機能低下があるかを把握すべきである。オフライン承認やより高い非接触限度額は一部の商取引を維持できるが、不正や与信エクスポージャーも変化させる。回復力とは、すべての取引を盲目的に受け入れる要求ではなく、継続性と金融管理の間の事前に合意されたバランスである。

中小企業はサービスクレジットでは修復できない損失を負った

多くの中小企業にとって、この障害は複数のチャネルを一度に奪った:固定インターネット、モバイルサービス、音声、オンライン注文、フードデリバリー用タブレット、クラウド POS アクセス、デビット決済、スタッフの調整、顧客連絡である。これらのツールの見かけ上の多様性は、共通の通信依存性を隠していた。月額料金の 5 日間の返金は、広範な顧客ポリシーに従って利用不能な Rogers サービスを補償したが、1 日の売上、逃した予約、在庫の損失、給与時間、評判の損害を代替するものではなかった。

同時期の中小企業への影響に関するカナダ通信社の報道は、カナダ独立企業連盟や、数百ドルから数千ドルの損失を述べた経営者を引用した。企業はオンライン注文やカード取引を処理できず、あるカフェではデビットが利用不能なときに常連客に支払いを猶予した。これらは損失メカニズムの信頼できる例であり、統計的に代表的な全国総額ではない。

Rogers の2022 年年次報告書は、障害に関連する顧客返金が約 1 億 5000 万ドルであり、事象に関連する訴訟に言及している。この会計数値は Rogers にとって具体的であるが、総経済コストとして提示すべきではない。非顧客、公的機関、Interac 参加者、従業員、中断された商取引に比してサービス料金が小さかった企業が負った損失を除外している。訴訟における主張は責任の認定ではなく、本稿はそれらの存在から法的帰結を推論するものではない。

中小企業は、完全に多様な管理ネットワークを購入するための銀行や市ほどのリソースを持たないが、それでも自らのエクスポージャーに応じた継続性の選択を行うことができる。商店は、真に異なる通信事業者でテスト済みのホットスポットを保持し、プライマリリンクなしで POS 端末がどのように動作するかを把握し、少額の現金手順を維持し、オフラインの顧客・サプライヤーリストを保持し、別にホストされたチャネルを通じて更新を投稿できる。専門サービス企業は、翌日の予定のローカルコピーと、企業メッセージング外の連絡網を保持できる。デリバリーに依存するレストランは、どの注文プラットフォームと支払経路が自社の固定接続を共有しているかを把握できる。

目標はすべての個人事業主にとって高価な複製ではない。障害の最中に、すべての収益経路に一つの隠れた親がいることを発見するのを避けることである。事業主はベンダーに単純な質問をすべきである:この通信事業者の国内コアが利用不能な場合、私のサービスのどの部分がまだ機能し、その主張をどのようにテストしたのか?稼働率のパーセンテージだけで答えるサプライヤーは、継続性の質問に答えていない。

コミュニケーションは広報ではなく運用管理だった

Rogers の顧客コミュニケーションは、説明する必要があるのと同じ障害によって制約された。エンタープライズチームは、一部の代替接続を持つ従業員がクラウド顧客管理ツールを使えたものの、顧客に直接確実に連絡できなかった。同社は信頼できる復旧見積もりを持たず、誤りとなる可能性のあるものを公開したくなかった。その慎重さは理解できる。有用な見積もりがないことは、実用的な安全ガイダンス、明確な範囲、予定された更新間隔がないことを正当化しない。

CRTC の 7 月 12 日付書簡は率直だった:最初の数時間、Rogers は顧客を安心させることができず、あるいは効果的でなく、自社サイトやソーシャルアカウントでほとんど詳細を提供しなかった。規制当局は、代替の 9-1-1 アクセス方法を人々に伝えなかったことを特に指摘した。良い障害メッセージは、判明している根本原因を必要としない。影響を受けるサービス、事象の開始時刻、関与する地域、緊急通報が障害されているか、どのような検証済みの代替手段があるか、次の更新がいつ到着するか、どの情報がまだ不明か、を述べることができる。

障害後の業界 MOU は、公衆および政府当局向けの通信プロトコルを含んでいる。2022 年 9 月、連邦政府の信頼性アジェンダ声明は、この合意を第一歩と位置づけ、強固なネットワーク、調整された準備態勢、説明責任をアジェンダの柱とした。MOU は共通の枠組みを創り出したが、効果的なコミュニケーションは依然としてプロバイダー固有のツール、最新の連絡先リスト、アクセス可能なフォーマット、障害ネットワーク外の公開経路に依存する。

国内通信事業者事業者のステータス機能は、本番コアからアーキテクチャ的に分離されるべきである。DNS、ホスティング、認証、スタッフアクセス、外向き通知がすべて、報告対象のネットワークに依存すべきではない。権限のある対応者は、通常の企業シングルサインオンなしに代替通信事業者から公開する手段を必要とする。メッセージは、公的なソーシャルメディアによる発見を待つことなく、緊急機関に直接届くべきである。テンプレートは 9-1-1、警報、アクセシビリティサービス、支払依存性、卸売顧客をカバーし、事象中に事実が記入されるべきである。

コミュニケーションはまた、証跡を生み出す。最初の正確な範囲声明までの時間、安全ガイダンスまでの時間、各機関への通知時間、修正履歴、更新頻度、アクセシビリティカバレッジは測定可能である。これらは取締役会レベルの回復力指標である。なぜなら、主要な技術システムが利用不能な間も組織が責任を果たせるかどうかを示すからである。

是正は資本支出から分離されなければならない

Rogers の対応には、具体的な制御と非常に大きな投資額の両方が含まれていた。議会公聴会で同社は、強化された信頼性計画、ネットワークの物理的分離、より多くの監視とテスト、技術パートナーシップ、数十億ドル規模のネットワークプログラムを説明した。大きな数字は行動能力を示すが、通常の拡張と障害固有のリスク低減との違いを曖昧にする可能性がある。

Xona 評価はその区別を行っている。アクセスネットワークのカバレッジと技術への支出は、7 月 8 日の障害を必ずしも軽減しない。コア分離は無線と有線の同時喪失を減らし得るが、より広範なパフォーマンスと戦略的目的にも役立つ。最も直接的な是正策はより限定的であった:BGP 再配布と OSPF データベースエントリの制限、独立した管理アクセス、代替通信事業者接続、より強力な変更レビュー、本番を代表するラボ、変更量の削減、自動ロールバック、アラーム優先順位付け、対応者のためのバックアップ通信。

この区別は説明責任にとって重要である。なぜなら、資金は投入だからである。取締役会は数十億ドルを承認しても、失敗した制御を変更しないままにできる。完了の証拠は次のことを示すべきである:全テーブル再配布の試みが複数の層で拒否されること;リスクモデルが先行フェーズの成功を理由にコア経路ポリシー削除を格下げできないこと;変更が全国伝搬前に限られた地域で停止されること;コアが存在しなくてもログが到達可能であること;対応者が Rogers サービスなしで通信し復旧できること。

独立評価は、障害後の一連の措置が根本原因に満足に対処し、信頼性を向上させたと結論付けた。CRTC の 2024 年の書簡は、措置が原因に対処したとし、継続的な報告を要求した。これは重要な外部保証であり、軽視すべきではない。残る説明責任の問いは耐久性である:トポロジー、ベンダー、自動化、スタッフ、ビジネス優先順位が変化しても制御が機能し続けるかどうか。

管理責任者は、完了したプロジェクトだけでなく、例外や失敗したテストを報告すべきである。ルーター制限は引き上げられる可能性がある。ラボモデルは本番から逸脱する可能性がある。ピアレビューは形式的な承認になる可能性がある。代替回線は調達時に統合される可能性がある。分離されたコアが新しいオーケストレーターを共有する可能性がある。バックアップ SIM は期限切れになる可能性がある。是正策は、設定コンプライアンス、敵対的なテストケース、訓練、独立したサンプリング、追跡される是正措置を通じて持続される。

規制はアドホックな調査から恒常的な義務へ移行した

CRTC の即時対応は、Rogers への詳細な質問と公開記録に依存した。2023 年 2 月、委員会は電気通信協議通知 2023-39を開始し、通信事業者に対し、大規模障害を 2 時間以内に報告し、14 日以内に事後報告書を提出するという暫定的期待を課した。この手続では、9-1-1、公共警報、アクセシビリティ、消費者コミュニケーション、補償、技術的措置、罰則への影響について尋ねた。

2025 年 9 月、CRTC 電気通信決定 2025-225は、大規模電気通信障害に関する最終的な義務的通知・報告要件を確立した。事業者は、定義された条件の下で CRTC、ISED、および関連当局に通知し、更新を提供し、復旧を確認し、事後情報を提出しなければならない。この枠組みは、Rogers によって露呈したいくつかの期待を恒久的なセクター義務に変えるものである。

報告は予防ではないが、三つの方法で説明責任を変える。通知のための共通の時計を作り出す。安全と継続性を調整するために公的機関が必要とする情報を提供する。再発する原因、弱い是正策、セクター全体の依存関係を特定できる記録を生み出す。通信事業者は、この規模の危機の際に、政府とのコミュニケーションを即席の礼儀として扱うことはもはやできない。

限界も同様に明確である。期限内に提出された報告書は 9-1-1 を保護しない。機密の技術提出は、顧客が広範な回復力の主張をテストできないままにする可能性がある。閾値の定義は、事象が危険かどうかではなく報告可能かどうかに注意を向けさせる可能性がある。規制当局は、根本原因カテゴリーに異議を唱え、直接的な修正と一般的投資を区別し、通信事業者間で是正策を比較し、共通モード露出が残る場合に再テストを要求するのに十分な技術能力を必要とする。

Rogers の事例はまた、競争を完全な説明として使うことに対しても警告する。集中した国内市場は、一つの通信事業者の障害の社会的影響範囲を拡大し、一部のユーザーにとって実用的な代替手段を減少させる可能性がある。プロバイダーが増えるだけでは、Rogers 内部での承認されたフィルター削除を止められなかっただろうし、名目上二つのサービスを購入する顧客が依然として同じ基盤コアを選択する可能性がある。市場構造とエンジニアリング制御は関連するリスク問題だが、一方が他方の代わりにはならない。

説明責任のあるリーダーシップが示せるべきこと

Tony Staffieri は議会で、CEO として障害の責任を負うと述べた。その声明は、変更に最も近い技術者よりも上に責任を適切に位置付けた。幹部の説明責任は、事象を全国的にし長期化させた条件を組織が変えたという証拠を生み出すときに意味を持つ。

取締役会レベルの保証パッケージは、具体的な反事実に答えるべきである:

  1. 変更権限:現在のコマンド、テンプレート、自動化ジョブのうち、複数の地域または両方のコアに影響を与え得るものはどれか?それらの最大経路およびサービス影響を制限する不変の制限は何か?
  2. リスク分類:プロジェクト履歴に関係なく高リスク評価を強制する技術的特徴は何か?スコアリングモデルは、2022 年 7 月の設定や他の既知の破局的ケースに対してどのようにテストされているか?
  3. 検証の独立性:ラボ、ポリシーチェッカー、ピアレビュー、デバイス制限、段階的展開、ロールバックは、異なるデータと故障仮定に依存しているか、それとも一つの誤解がすべてを無効にし得るか?
  4. 運命の分離:無線、有線、9-1-1、公共警報、管理アクセス、企業コミュニケーション、ステータス公開は独立して故障し得るか?どの共有コントロールプレーンが残っているか?
  5. 復旧の独立性:指定された対応者は、本番コアと通常のアイデンティティサービスが利用不能なときに、ログ、デバイス、資格情報、施設、ベンダー、公共コミュニケーションにアクセスできるか?
  6. 緊急時の継続性:無線ネットワークが稼働しホームコアがダウンした状態で、緊急ローミングはテストされたか?意図通りに動作したデバイスと通話経路の数、および他のガイダンスを必要とする残りの人口はどの程度か?
  7. 外部依存性:全国的な二次影響を生み出し得る機関および卸売顧客はどれか?Interac のような依存関係はマッピングされ、共同で訓練されたか?
  8. 持続的な完了:ルーター制限、リスク決定、ラボの忠実度、代替回線、SIM 在庫、訓練活動、分離境界を独立してサンプリングするのは誰か?期限を過ぎた例外は何か?

これらの質問は、取締役にルーティングの設定を求めているのではない。経営陣に対し、技術的回復力を意思決定の証拠に翻訳するよう求めているのだ。平均可用性を示すダッシュボードは、一つの未テストの変更が全国的な被害範囲を保持したまま、グリーンのままであり得る。取締役会はテールリスク指標を必要とする:変更あたりの最大範囲、共通制御依存の数、独立した管理アクセスまでの時間、緊急通知までの時間、ネットワーク外で到達可能な重要対応者の割合、最低限の安全なサービスを復旧するまでの時間。

説明責任はまた、過失と非難を区別すべきである。証拠は、Rogers のプロセス、アーキテクチャ選択、管理制御に関する所見を支持している。特定の従業員が無謀に行動したことや、特定のベンダーが事象を引き起こしたことは立証されていない。公的記録にない理由で個人を解任することが適切であり得るが、それは組織の権限を修正することの代わりにはならない。逆に、学習文化は、実証された重大な弱点が未解決のままなら、上級リーダーを結果から保護すべきではない。

継続性の義務は通信事業者の境界で終わらない

Rogers は、自社ネットワークを安全に運用し復旧する第一義的義務を負っていた。それでもこの障害は、公共的または経済的機能を持つ顧客が、継続性を完全にアウトソースできない理由を示している。自治体、病院、決済事業者、商店は、調達オプションや予算が制約されている場合でも、自らの業務のどれだけを一つのプロバイダーと共有するかを選択する。

公的機関にとって、最低限の管理セットは実用的である。基盤となる通信事業者に至るまでの重要な通信依存関係の信頼できる目録を保持する。生命の安全とインシデント指揮の役割に多様なサービスを割り当てる。重要な連絡先と手順情報をオフラインで保存する。定義された期間の手動サービスをテストする。独立したホスティングと放送チャネルを通じて公衆向けメッセージングを維持する。スタッフのモバイルサービス、オフィスインターネット、クラウドアクセス、支払い受付が同時に消失する正確な状況を訓練する。

中小企業にとって、リストはより短く、収益に結びつけるべきである。喪失すると取引が停止する 2、3 の機能を特定する。必要になる前にセカンドキャリアのホットスポットをテストする。支払プロバイダーが回線冗長性だけでなくキャリア多様性を持っているか把握する。翌営業日の記録をローカルで利用可能に保つ。現金、支払い猶予、または無支払いをいつ受け入れるかを決定し、事前に限度を設定する。主要なオフィス接続なしで顧客に状況を伝える方法を保持する。

銀行、マネージドサービスプロバイダー、卸売業者、クラウド通信ベンダーなどの仲介者にとって、義務は意味のある依存関係を開示することである。「冗長」は、経路が異なるアクセス設備、キャリアコア、管理プレーン、電源ドメインを使用しているかどうか、および完全なフェイルオーバー下で容量がテストされているかどうかを示すべきである。多様性が単なるマーケティング用語に過ぎないなら、顧客は比例した決定を下せない。

クレジットと契約は依然として重要である。それらは直接的なサービスリスクの一部を配分し、プロバイダーに復旧のインセンティブを与える。しかし、顧客の最大の損失が結果的損害であり除外され得るため、弱い継続性管理に過ぎない。機関は、真の多様性の価格を、最も重要な機能が利用不能になる結果と比較すべきであり、月々の通信費だけと比較すべきではない。

永続的な信号

2022 年 7 月の Rogers の障害は、しばしばコーディングや保守のミスがカナダをオフラインにした日として記憶されている。その説明はあまりに小さい。事象は設定ミスから始まったが、破局的になったのは、保護ルーティング境界が独立した過負荷制限なしに除去可能だったこと、リスクモデルが無関係な成功の後で危険性を過小評価したこと、無線と有線のトラフィックが影響を受けたコアを共有していたこと、管理およびスタッフ通信が被災ネットワークに依存していたこと、そして重要な顧客が隠れた共通依存関係を持っていたからである。

この事象はまた、改善の証拠も生み出した。Rogers は経営責任を受け入れ、クレジットに資金を提供し、経路保護策を導入し、管理アクセスを分離し、代替接続と応答通信を拡大し、管理プロセスを変更し、コア分離を進めた。Interac はキャリア多様性とプライベートバックアップ接続を追加した。トロントは実際のフォールバックを訓練した後に冗長性を強化した。通信事業者は緊急ローミングと相互支援の取り決めに署名した。CRTC は全国的な障害通知と報告の義務化に向けて動いた。

これらの措置のいずれも、全国的な通信ネットワークが決して故障しないことを約束するものではない。それは現実的な基準ではない。説明責任のある基準とは、予見可能な人的またはソフトウェアのエラーが、独立した障壁を越えることなく、一つの保守作業から国規模の損失に至ることができないこと、緊急および復旧経路が主要ネットワークの停止後も存続すること、当局と顧客がタイムリーで有用な情報を受け取ること、そしてシステムが変化し続ける限り是正策がテストされることである。

最も深い教訓は、継続性の所有権についてである。Rogers は自社コアの責任をフィルターを変更した人物に転嫁できなかった。Interac は支払の責任を Rogers に転嫁できなかった。自治体は公共サービス継続性をキャリア契約に転嫁できなかった。中小企業は、5 日間のサービス料金クレジットで失われた取引を回復できなかった。各主体は、同じ依存関係の連鎖の異なる部分を所有していた。

今後持ち越すべき問いは、別のルーターが故障し得るかどうかではない。そうなった時に、システムの残りの部分が人々に助けを呼ぶ手段を、公的機関に業務を遂行する手段を、企業に取引する手段を、技術者に復旧する手段を残しているかどうかである。