2016年、オーストラリアのオンライン国勢調査は、正当な調査完了の試みがDDoS攻撃と誤解され、トラフィックを集中させるルーターが故障し、災害復旧計画も同様に機能不全に陥ったため、機能不全に陥った。
この失敗に関する調査で、計画の不備、テストの不足、そして多くの関係者の顔が赤面したことが明らかになりました。この混乱により、IBMは最終的にオーストラリア政府に対し、国勢調査の公開に要した費用の補償として3,000万豪ドルを支払うことになりました。オーストラリア政府機関がIBMのセキュリティ計画を承認したことで、IBMの責任はある程度果たされました。#Censusfail(国勢調査失敗)として知られるようになったこの事件は、オーストラリア政府の技術力不足を示す代名詞となりました。
したがって、オーストラリア統計局(ABS)が2021年の国勢調査の準備状況について独立監査を委託することを決定したのも不思議ではない。
この監査に基づく報告書 [PDF] の最初の結論は、これまでの計画は「部分的に効果的」であったというものです。
報告書はさらに、準備を控えめに評価し、「計画とガバナンス体制は概ね適切」である一方で、「保証体制の弱さによってリスク枠組みが損なわれている」と結論付けている。
IT面では、同局の準備は再び「部分的に効果的」と評価された。
国勢調査のITシステムとデータ処理、そしてITサプライヤーの調達については、概ね適切な枠組みが確立されている。オーストラリア統計局(ABS)は、2021年国勢調査に先立ち、アーキテクチャフレームワーク、変更管理プロセス、サイバーセキュリティ対策の改善を確実に実施するための体制を整備していない。
オーストラリアのIBM支援による国勢調査の失敗で3000万豪ドルが損失
続きを読む
報告書はまた、セキュリティ管理が「部分的に適切」であり、FBIの高度なセキュリティ対策と管理は「健全」であると指摘した。しかし、FBIのセキュリティ戦略は完全には実施されていない。
国勢調査局は新たなITフレームワークを完全に導入していないため、国勢調査の技術は規格に準拠しておらず、いずれにせよ国勢調査局のアーキテクチャ基準から外れて構築されています。また、不適合を管理するための管理体制も欠如しています。「ABSは、国勢調査を支えるシステム全体に不正な変更が実施されるリスクを軽減するためのプロセスを確立していません。」
データ処理も万全とは言えません。このレビューでは、現在の慣行は「部分的に適切」と評価され、ABSは「2021年国勢調査データの品質と保護を管理するための管理体制を完全には整備しておらず、管理体制の実施状況を監視するための適切な体制も整備されていない」と警告されました。
そのため、報告書は、コンプライアンス違反によって生じるリスクの評価に加え、不正かつ不適切なシステム変更を軽減するための管理策の構築を推奨しました。これらの管理策は、国勢調査関連システムに独自の変更を移行する権限を持つ開発者に焦点を当てます。また、セキュリティ対策の進捗状況を定期的にレビューすること、そしてレビュープロセスが機能していることを確認するためのレビュープロセスの構築も推奨されました。
ABSはすべての勧告に同意しました。今後9か月以内に勧告を策定する必要があります。国勢調査日は2021年8月21日です。®
