オーストラリア会計検査院 (ANAO) 国防省によるマイクリアランス・システムの調達と導入 (2024.07.11)
こんにちは、丸山満彦です。
日本でもクリアランス制度の導入がされることになりましたが、システム導入間に合いますかね。。。当面は手作業(エクセル方眼紙)?になりますかね...
オーストラリアの会計検査院が、クリアランス制度で使っているシステムについての監査をし、結果を報告しています。これからの日本の制度上も参考になるような気がします!
なお、報告書をみると、
- 基本能力(2022年第4四半期)と「継続的評価」モジュール(2023年第4四半期)の提供のために、総額1億3860万ドル(約140億円)の取得予算が2020年12月に政府によって承認された。
- そのうち60%がシステム導入コスト
- myClealanceシステムで2022/11/28-2024/5/9まで(529日間)に処理されたトランザクションは約11万(107,249)。
1トランザクションあたり、約13万円となりますね...(取得コストと運用コストのバランスがあるので、あくまで参考ですが...)
そして、年間処理量は、7.4万トランザクション...
ちなみに、2024年のオーストラリアの人口は2,660万人ということで、日本の人口が1億2,400万人の約5分の1となっています。トランザクション量が人口比の通りとなれば、年間のトランザクションは34.5万トランザクションとなりそうです...
そして、監査の対象となった調達については、
- プロジェクト承認・支援サービスプロバイダー(デロイト)、
- プライムシステムインテグレーター(アクセンチュア)、
- 組織変更管理パートナー(KPMG)、
- プロジェクト提供パートナー(VOAKグループ)
となりますね...
● Australian National Audit Office; ANAO
・2024.07.11 Defence’s Procurement and Implementation of the myClearance System
・[PDF]
Why did we do this audit? | なぜこの監査を行ったのか? |
• The new whole-of-government vetting system, myClearance, went live on 28 November 2022. By February 2023, the extent of the user issues encountered after the system’s introduction was the subject of parliamentary interest. | ・新しい政府全体の審査システム、マイ・クリアランスは2022年11月28日に稼動した。2023年2月までに、システム序文後に発生したユーザー問題の程度は、国会の関心の的となった。 |
• This audit was identified as a 2023–24 audit priority by the Joint Committee of Public Accounts and Audit. | ・この監査は、公会計監査合同委員会によって2023-24年の監査優先事項として特定された。 |
• The audit provides assurance to the Parliament on the effectiveness of the Department of Defence’s (Defence) procurement and implementation of the myClearance system. | ・この監査は、国防省によるマイクリアランス・システムの調達と導入の有効性について、国会に保証 (assurance) を与えるものである。 |
Key facts | 主な事実 |
• A total acquisition budget of $138.6 million for the delivery of a base capability (in Quarter 4 2022) and a ‘continuous assessment’ module (in Quarter 4 2023) was approved by government in December 2020. | ・基本能力(2022年第4四半期)と「継続的アセスメント」モジュール(2023年第4四半期)の提供のために、総額1億3860万ドルの取得予算が2020年12月に政府によって承認された。 |
• By July 2023, 87 per cent of the total acquisition budget had been expended and delivery of the continuous assessment module remained ongoing. | ・2023年7月までに、取得予算総額の87%が費やされ、継続的アセスメント・モジュールの提供は継続中であった。 |
• In November 2023, Defence recommended, and government agreed to de-scope the: continuous assessment; automated risk sharing; use of artificial intelligence; and enhanced interface functionalities of the myClearance system. | ・2023年11月、ガバナンスは、継続的アセスメント、自動化されたリスク共有、人工知能の利用、マイクリアランス・システムのインターフェイス機能強化について、スコープを外すよう勧告し、政府はこれに同意した。 |
$138.6m | $138.6m |
the approved acquisition budget for the myClearance system. | マイクリアランス・システムの承認された取得予算である。 |
60% | 60% |
of the acquisition budget was for systems integration services. | はシステム・インテグレーション・サービスであった。 |
107,249 | 107,249 |
security clearances processed in the myClearance system to 9 May 2024. | 2024 年 5 月 9 日までにマイクリアランス・システムで処理されたセキュリ ティ・クリアランス。 |
What did we find? | 我々は何を発見したか? |
• Defence’s procurement and implementation of the myClearance system was partly effective. | ・国防省によるマイクリアランス・システムの調達と導入は部分的に効果的であった。 |
• Defence’s planning activities were largely effective. Defence’s governance, oversight and reporting arrangements were not implemented effectively and did not support informed, risk-based decision-making. | ・国防省の計画活動は概ね効果的であった。国防省のガバナンス、監督、報告体制は効果的に実施されておらず、情報に基づいたリスクベースの意思決定をサポートしていなかった。 |
• The procurement processes for the systems integrator and project delivery partner were not conducted in a manner consistent with Defence’s procurement policy or the intent of the Commonwealth Procurement Rules (CPRs). | ・システム・インテグレーターとプロジェクト提供パートナーの調達プロセスは、国防省の調達方針または英連邦調達規則(CPRs)の意図に合致した方法で実施されなかった。 |
• Initial implementation of the system was not effective. Defence’s remediation efforts, since the system went live, have achieved progressive improvements. In November 2023, Defence advised government that the system will not deliver the full functionality as approved by government in December 2020. | ・システムの初期導入は効果的ではなかった。システム稼動後の国防省の改善努力は、漸進的な改善を達成した。2023年11月、国防省は政府に対し、システムが2020年12月に政府によって承認されたような完全な機能を提供しないことを通知した。 |
What did we recommend? | 我々は何を勧告したのか? |
• There were two recommendations made to improve Defence’s management of risk and the security of the myClearance system. | ・国防省のリスクマネジメントとマイクリアランス・システムのセキュリティを改善するために、2つの勧告がなされた。 |
• The Department of Defence has agreed to the two recommendations. | ・国防省は2つの勧告に同意した。 |
要約と勧告...
Summary and recommendations | 要約と勧告 |
Background | 背景 |
1. Security vetting involves the assessment of an individual’s suitability to hold a security clearance at a particular level. Australian Government employees and contractors require a security clearance to access classified resources, which can relate to Australia’s national security, economic and other interests.1 The security vetting and clearance process is an important risk mitigation activity intended to protect the national interest, which can also affect an individual’s employment and the business operations of entities if not managed effectively or in a timely manner. | 1. セキュリティ審査とは、特定のレベルのセキュリティ・クリアランスを保持する個人の適性をアセスメントすることである。オーストラリア政府の職員や請負業者は、オーストラリアの国家安全保障、経済、その他の利益に関 連する機密資源にアクセスするために、セキュリティ・クリアランスを必要とする1 。セキュリティ審査とク リアランスのプロセスは、国益の保護を目的とした重要なリスク軽減活動であるが、効果的かつ適時 に管理されなければ、個人の雇用や事業体の事業運営にも影響を及ぼす可能性がある。 |
2. The Australian Government Security Vetting Agency (AGSVA) is part of the Department of Defence (Defence) and provides security clearance assessments as a whole-of-government service. In February 2014, Defence identified the need for long-term and potentially significant investment in ICT solutions because the existing system used by AGSVA to process security clearances, the Personnel Security Assessment Management System (PSAMS), did not have the ‘functionality needed for the future’. The February 2016 Defence Integrated Investment Program (IIP) subsequently outlined a need for ‘expanded security vetting’ as one of the ‘principal areas of focus’ for Defence.2 | 2. オーストラリア政府セキュリティ審査機関(AGSVA)は国防省(Defence)の一部で、政府全体のサービスとしてセキュリティクリアランス審査を提供している。2014年2月、国防省は、AGSVAがセキュリティ・クリアランスのプロセスに使用している既存システム、 職員セキュリティ・アセスメント管理システム(PSAMS)が「将来に必要な機能」を備えていないため、 ICTソリューションに長期的かつ潜在的に多額の投資を行う必要性を認識した。その後、2016年2月の国防統合投資計画(IIP)では、国防省の「主要な重点分野」の1つとして、「セキュリティ審査の拡大」の必要性が概説された2。 |
3. In October 2016, the Australian Government agreed to a suite of reforms to improve government entities’ management of the threat posed by malicious insiders, which included upgrading AGSVA’s ICT system.3 | 3. 2016年10月、オーストラリア政府は、AGSVAのICTシステムのアップグレードを含む、悪意のある内部関係者による脅威に対する政府事業体の管理を改善するための一連の改革に合意した3。 |
Vetting Transformation Project | 審査変革プロジェクト |
4. The ‘Defence and Security Vetting Services 20/20 Reform Program’ was established in December 2016 and consisted of four workstreams: vetting; security policy, services and advice; security governance, assurance and reporting; and cultural change. The objectives for the vetting workstream included delivering: a new vetting security business model; a supporting ICT system; and relevant training, communications and change management activities. | 4. 国防・安全保障審査サービス20/20改革プログラム」は2016年12月に設立され、審査、セキュリティポリシー、サービス、アドバイス、セキュリティガバナンス、保証、報告、文化変革の4つのワークストリームで構成された。審査業務の目的は、新しい審査セキュリティ・ビジネスモデル、サポートするICTシステム、関連するトレーニング、コミュニケーション、チェンジマネジメント活動を提供することであった。 |
5. The Vetting Transformation Project was established to deliver the vetting workstream objectives, including the design and implementation of a new system that: | 5. 審査変革プロジェクトは、審査ワークストリームの目標を達成するために設立された: |
• provides sponsoring entities with information on identified risk factors associated with individual clearance holders; | ・スポンサー事業体に対し、個々のクリアランス保有者に関連する識別されたリスク要因に関する情報を提供する; |
• increases automation of clearance decision-making and data collection (including across other government holdings, and online social-media information); and | ・クリアランスの意思決定とデータ収集の自動化(他の政府所蔵品やオンライン・ソーシャルメディア情報を含む)。 |
• supports continuous assessment of security risk.4 | ・セキュリティ・リスクの継続的アセスメントをサポートする4。 |
Previous ANAO reports | 過去のANAO報告書 |
6. The ANAO previously reviewed Defence’s performance in providing security vetting services through AGSVA in the following performance audits. | 6. ANAOは以前、AGSVAを通じて安全保障審査サービスを提供する国防省の実績を、以下の実績監査で検証している。 |
• Auditor-General Report No. 45 2014–15 Central Administration of Security Vetting, which was presented for tabling in Parliament in June 2015. The audit conclusion was that the performance of centralised vetting had been mixed and government expectations of improved efficiency and cost savings had not been realised.5 | ・監査総監報告書No.45 2014-15安全保障審査中央管理部門、これは2015年6月に国会に提出された。監査の結論は、一元化された審査のパフォーマンスはまちまちであり、効率改善とコスト削減という政府の期待は実現されていないというものであった5。 |
• Auditor-General Report No. 38 2017–18 Mitigating Insider Threats through Personnel Security, which was presented for tabling in May 2018. The audit conclusion was that the effectiveness of personnel security arrangements for managing insider threats had been reduced by AGSVA not implementing the government’s policy direction to share information with client entities on identified personnel security risks. The report also observed that AGSVA planned to realise the necessary process improvements through the procurement of a new ICT system, expected to be fully operational in 2023.6 | ・監査総監報告書No.38 2017-18「職員のセキュリティによるインサイダーの脅威の低減」は、2018年5月に上程された。監査の結論は、AGSVAが、特定された職員のセキュリティリスクに関する情報を顧客事業体と共有するという政府の方針指示を実施していないことにより、内部脅威を管理するための職員セキュリティの取り決めの有効性が低下しているというものであった。報告書はまた、AGSVAが新しいICTシステムの調達を通じて必要なプロセス改善を実現する予定であり、2023年に完全稼動する予定であることを確認した6。 |
Rationale for undertaking the audit | 監査実施の理由 |
7. The ANAO undertook this audit, and previous (2015 and 2018) audits of Defence’s provision of security vetting services through AGSVA, as effective personnel security arrangements underpin the protection of the Australian Government’s people, information and assets. Previous audits identified deficiencies in AGSVA’s information systems. In the context of the Joint Committee of Public Accounts and Audit’s (JCPAA) inquiry into the ANAO’s 2018 audit, Defence advised the JCPAA that a project to build a new ICT system had received first-pass approval in April 2018, with delivery of the ‘initial operating capability’ (the base capability) expected in late 2020.7 | 7. ANAO は、AGSVA を通じた国防省の身元審査サービス提供について、効果的な職員のセキュリテ ィ態勢がオーストラリア政府の人員、情報、資産の保護を支えるとして、今回の監査と前回 (2015 年と 2018 年)の監査を実施した。以前の監査では、AGSVA の情報システムの欠陥が指摘された。ANAO の 2018 年監査に関する合同会計監査委員会(JCPAA)の調査との関連で、国防省は JCPAA に対し、新しい ICT システムを構築するプロジェクトが 2018 年 4 月に一次承認を受け、「初期運用能力」(基本能力)の提供は 2020 年後半になる見込みであると助言した7。 |
8. The base capability of the new system was introduced on 28 November 2022. By February 2023, the extent of user issues experienced after the system ‘went live’ were the subject of parliamentary interest. This audit provides independent assurance to the Parliament on the effectiveness of Defence’s procurement and implementation of the new ICT system, now known as myClearance, and Defence’s remediation progress to date. | 8. 新システムの基本機能は2022年11月28日に導入された。2023年2月までに、システム「稼動」後に発生したユーザーの問題の程度が、国会の関心の的となった。本監査は、国防省による新 ICT システム(現在はマイ・クリアランスとして知られる)の調達と導入の 有効性、および国防省の現在までの改善進捗状況について、国会に独立した保証を提供するものである。 |
Audit objective and criteria | 監査の目的と基準 |
9. The objective of the audit was to assess the effectiveness of Defence’s procurement and implementation of the myClearance system to date. | 9. 監査の目的は、国防省によるマイクリアランス・システムの調達と導入の有効性を評価することである。 |
10. To form a conclusion against the audit objective the following high-level criteria were adopted. | 10. 監査目的に照らして結論を出すために、以下のハイレベル基準が採用された。 |
• Did Defence plan effectively and establish fit for purpose governance, oversight and reporting arrangements? | ・政府は効果的な計画を立て、目的に合ったガバナンス、監督、報告体制を確立したか。 |
• Was Defence’s implementation of the system effective and supported by procurement processes conducted in accordance with the Commonwealth Procurement Rules (CPRs)? | ・国防省によるシステムの導入は効果的であり、英連邦調達規則(CPR)に従って行われた調達プロ セスに支えられていたか。 |
11. The audit focused on the procurement of the project approval and support services provider (Deloitte), the prime systems integrator (Accenture), the organisational change management partner (KPMG) and the project delivery partner (VOAK Group). The audit also considered the arrangements used to procure the hardware and software components of the myClearance system, and other services to manage the delivery of the Vetting Transformation Project. The audit did not examine Defence’s administration or management of its contracts with the service providers. | 11. 監査は、プロジェクト承認・支援サービスプロバイダー(デロイト)、プライムシステムインテグレーター(アクセンチュア)、組織変更管理パートナー(KPMG)、プロジェクト提供パートナー(VOAKグループ)の調達に焦点を当てた。監査はまた、マイクリアランス・システムのハードウェアとソフトウェア・コンポーネントの調達に使用された取り決め、および審査変革プロジェクトの実施を管理するためのその他のサービスについても検討した。この監査では、国防省によるサービス・プロバイダとの契約の管理・運用については調査していない。 |
Conclusion | 結論 |
12. Defence’s procurement and implementation of the myClearance system to date has been partly effective. The full functionality of the system will not be delivered as key elements, including the continuous assessment, automated risk-sharing and enhanced interface functionalities, were de-scoped from the project in November 2023. | 12. 国防省によるマイクリアランス・システムの調達と導入は、部分的には効果があった。継続的なアセスメント、自動化されたリスク共有、強化されたインターフェイス機能など、主要な要素が 2023 年 11 月にプロジェクトから除外されたため、システムの全機能は提供されない。 |
13. Defence’s planning activities were largely effective. Early planning work in 2016 and 2017 focused on industry engagement and assessing the market’s ability to deliver and integrate the new IT system into Defence’s ICT environment. Work to refine the user and system requirements in mid-2018 was not informed by other government entities or stakeholders. Defence designed governance, oversight and reporting arrangements in line with the requirements of its Capability Life Cycle framework. The project governance arrangements were not implemented effectively and there was a lack of clarity on the purpose of and relationship between the various decision-making forums. Project reporting did not support informed, risk-based decision-making as project risks and issues were not clearly communicated to Defence leadership. | 13. 国防省の計画策定活動は概ね効果的であった。2016年と2017年の初期の計画策定作業は、産業界の関与と、新しいITシステムを国防省のICT環境に提供し統合する市場の能力のアセスメントに重点を置いた。2018年半ばのユーザー要件とシステム要件を洗練させる作業は、他の事業体やステークホルダーから情報を得ていなかった。政府は、ガバナンス、監督、報告の取り決めを、能力ライフサイクルフレームワークの要件に沿って設計した。プロジェクトガバナンスの取り決めは効果的に実施されず、様々な意思決定フォーラムの目的と関係が明確でなかった。プロジェクトのリスクと問題が国防指導部に明確に伝えら れていなかったため、プロジェクト報告は情報に基づくリスクベースの意思決定を支えなかった。 |
14. Defence’s procurement processes were partly effective. The processes to engage project approval and support services and the organisational change management partner were conducted in line with the Commonwealth Procurement Rules (CPRs). The process to engage the prime systems integrator was not consistent with the CPRs. The tender documentation included a list of mandatory products referring to trade names and producers — an approach that did not comply with Defence’s procurement policy framework. Defence’s conduct of the ‘Analysis of Alternatives’ in early 2020 resulted in material changes to the technical solution, schedule and delivery approach and provided opportunities to the preferred supplier that were not provided to other prospective suppliers. Defence’s approach to engaging the Project Delivery Partner in 2022 did not comply with Defence’s Accountable Authority Instructions or the intent of the CPRs. | 14. 国防省の調達プロセスは部分的に有効であった。プロジェクト承認・支援サービスと組織変更管理パートナーを関与させるプロセスは、英連邦調達規則(CPR)に沿って実施された。プライムシステムインテグレーターとの契約プロセスはCPRsと整合していなかった。入札文書には、商号や生産者に言及した必須製品のリストが含まれていたが、これは国防省の調達方針の枠組みに準拠しないアプローチであった。国防省が2020年初頭に実施した「代替案の分析」は、技術的ソリューション、スケジュール、納期アプローチに重大な変更をもたらし、他のサプライヤー候補には提供されなかった機会を優先サプライヤーに提供した。2022 年にプロジェクト・デリバリー・パートナーを関与させる国防省のアプローチは、国防省の認可、指示または CPR の意図に準拠していなかった。 |
15. Defence’s implementation of the myClearance system has been partly effective. Identified risks and issues were not resolved in a timely manner. Data cleansing and migration activities were not effective. Testing processes were truncated and were not conducted in line with agreed testing plans or Defence guidance. To address the issues encountered after the core vetting system went live in November 2022, Defence established the myClearance taskforce in February 2023. Defence’s remediation activities have progressively improved the performance of the system since it went live. In July 2023, Defence advised government that it had delivered a system that largely met the initial operating capability requirements. In November 2023 Defence advised government that the myClearance system would not deliver the full functionality as approved in December 2020. | 15. 国防省によるマイクリアランス・システムの導入は部分的に有効であった。識別されたリスクと問題は適時に解決されなかった。データのクレンジングと移行活動は効果的でなかった。テスト工程は切り捨てられ、合意されたテスト計画や国防省の指針に沿って実施されなかった。2022年11月にコア審査システムが稼動した後に発生した問題に対処するため、国防省は2023年2月にマイクリアランス・タスクフォースを設立した。国防省の改善活動により、システム稼動以来、システムの性能は徐々に改善されてきた。2023年7月、国防省は政府に対し、初期運用能力要件をほぼ満たすシステムを納入したと通知した。2023年11月、国防省は政府に対し、マイクリアランス・システムは2020年12月に承認されたような完全な機能を提供できないと通知した。 |
Supporting findings | 補足所見 |
Effectiveness of planning activities | 計画活動の効果 |
16. Defence conducted early planning activities between late 2016 and early 2018. Industry engagement and market research was undertaken to assess the market’s ability to design, build and integrate a new IT system into Defence’s ICT environment. Workshops and forums held to refine the user requirements and technical components in June 2018 did not include external stakeholders such as other government entities with ICT systems that AGSVA’s new vetting system would need to integrate or interface with. (See paragraphs 2.7 to 2.29) | 16. 国防省は2016年後半から2018年前半にかけて初期計画活動を実施した。国防省の ICT 環境に新しい IT システムを設計、構築、統合する市場の能力を評価するため、産業界 の関与と市場調査が行われた。2018年6月に開催されたユーザー要件と技術コンポーネントを洗練するためのワークショップとフォーラムには、AGSVAの新しい審査システムが統合またはインターフェースする必要があるICTシステムを持つ他の事業体などの外部の利害関係者は含まれていなかった。(段落 2.7 から 2.29 を参照のこと)。 |
17. The financial and technical risks associated with the planned procurement were assessed. To mitigate some of the identified risks, a list of mandatory products referring to trade names and producers was included in Defence’s tender documentation for the IT solution to be delivered by the systems integrator. As a result, the design of the procurement: | 17. 計画された調達に関連する財務的及び技術的リスクがアセスメントされた。識別されたリスクのいくつかを軽減するために、システムインテグレーターが提供するITソリューションのための国防省の入札文書に、商品名と生産者に言及した必須製品のリストが含まれた。その結果、調達の設計が変更された: |
• did not comply with Defence’s procurement policy framework and was inconsistent with the Commonwealth Procurement Rules (CPRs); | ・国防省の調達方針の枠組みに準拠しておらず、連邦調達規則(CPR)と矛盾していた; |
• reduced the opportunity for suppliers to propose alternative solutions based on ‘functional and performance requirements’ that may have met Defence’s requirements; and | ・国防省の要求を満たす可能性のある「機能・性能要件」に基づく代替ソリューションをサプライヤーが提案する機会を減少させた。 |
• introduced critical dependencies that increased the integration and schedule risks of the project. These risks were not effectively managed or communicated to senior Defence leadership or government. (See paragraphs 2.30 to 2.52) | ・プロジェクトの統合リスクとスケジュールリスクを増大させる重要な依存関係を導入した。これらのリスクは効果的に管理されず、国防省の上級幹部や政府にも伝えられなかった。(段落2.30から2.52参照)。 |
Governance, oversight and reporting arrangements | ガバナンス、監督、報告の取り決め |
18. Defence established governance, oversight and reporting arrangements for the Vetting Transformation Project in accordance with its Capability Life Cycle Manual — a framework that was designed to govern Defence’s acquisition of complex military equipment and materiel. These arrangements were not implemented effectively. (See paragraphs 2.63 to 2.79) | 18. 国防省は、能力ライフサイクル・マニュアル(国防省の複雑な軍事装備と資材の取得を管理するために設計された枠組み)に従い、審査変革プロジェクトのガバナンス、監督、報告の取り決めを確立した。これらの取り決めは効果的に実施されなかった。(段落 2.63 から 2.79 参照)。 |
19. Reporting to decision-making forums accurately assessed the risks and issues that contributed to the problems experienced after the system ‘went live’. The impacts of those risks and issues on the expected functionality and capability of the system were not clearly communicated to Defence leadership. (See paragraphs 2.86 to 2.96) | 19. 意思決定フォーラムへの報告は、システム「稼動」後に発生した問題の原因となったリスクと問題を正確に評価していた。これらのリスクや問題がシステムの期待される機能や能力に与える影響は、国防省のリー ダーシップに明確に伝えられていなかった。(パラグラフ2.86から2.96参照)。 |
20. Successive reviews, including independent assurance reviews found that project governance arrangements were not ‘formally defined and maintained’ and there was a lack of clarity on the purpose of and relationship between each forum within the governance model. At March 2024, Defence had commenced a program of work to address the identified governance issues, including the implementation of a new governance model for the project. (See paragraphs 2.82 to 2.84 and 2.103 to 2.112) | 20. 独立保証レビューを含む一連のレビューで、プロジェクトガバナンスの取り決めが「正式に定義され維持」されておらず、ガバナンスモデル内の各フォーラムの目的と関係が明確でないことが判明した。2024年3月、政府は、プロジェクトの新しいガバナンス・モデルの導入を含め、特定されたガバナンスの問題に対処するための作業プログラムを開始した。(パラグラフ2.82~2.84、2.103~2.112参照)。 |
Procurement processes | 調達プロセス |
21. The processes to engage project approval and support services and the organisational change management partner were conducted in accordance with the CPRs. For the prime systems integrator (PSI) procurement, processes such as initial screening, evaluation, value for money assessment, and additional clarification activities were compliant with CPR requirements. Key shortcomings in the design of the PSI procurement resulted in the conduct of activities that were not consistent with the CPRs. These activities involved material changes to the technical solution, schedule and delivery approach and provided opportunities to the preferred supplier that were not provided to other prospective suppliers. These opportunities enabled the preferred supplier to develop a ‘solution to a budget’ and submit costings for work it did not originally tender for. (See paragraphs 3.15 to 3.44) | 21. プロジェクト承認・支援サービスおよび組織変更管理パートナーとの契約プロセスは CPR に従って実施された。プライムシステムインテグレーター(PSI)調達については、初期審査、評価、バリューフォー マネーアセスメント、追加明確化活動などのプロセスは CPR 要件に適合していた。PSI 調達の設計における主な欠点は、CPR と整合しない活動を実施する結果となった。これらの活動は、技術的ソリューション、スケジュール、納品手法の重要な変更に関与し、 他のサプライヤー候補には提供されなかった機会を優先サプライヤーに提供した。このような機会により、優先サプライヤーは「予算に対するソリューション」を開発し、本来は 入札しなかった業務の原価を提出することができた。(パラグラフ3.15から3.44を参照のこと)。 |
22. Defence did not comply with its Accountable Authority Instructions for the procurement of the Project Delivery Partner in June 2022. Up to 85 per cent of the project management and other specialist support services were engaged through approaches to single suppliers, selected from a panel on each occasion. This approach was technically compliant with the CPRs but was not consistent with their intent — to drive value for money through competition. (See paragraphs 3.48 to 3.56) | 22. 国防省は2022年6月のプロジェクト・デリバリー・パートナーの調達に関する認可当局の指示に従わなかった。プロジェクト管理およびその他の専門家支援サービスの最大85%は、その都度パネルから選ばれた単一のサプライヤーへのアプローチを通じて従事した。このアプローチは技術的にはCPRに準拠していたが、CPRの意図(競争を通じてバリュー・フォー・マネーを推進する)には合致していなかった。(段落3.48~3.56参照)。 |
Implementation of the system | システムの実施 |
23. Identified risks and issues were not resolved in a timely manner and cumulative delays in providing Government Furnished Materials to the Prime Systems Integrator gave rise to risks impacting the critical path of the project. These risks were realised, reducing the time available to test the system as required prior to the core vetting system (the base capability) going live on 28 November 2022. (See paragraphs 3.63 to 3.66, 3.70 to 3.72, and 3.84 to 3.90) | 23. 識別されたリスクと問題は適時に解決されず、プライムシステムインテグレータへの政府支給資材の提供における累積的な遅延は、プロジェクトのクリティカルパスに影響を与えるリスクを生じさせた。これらのリスクは現実のものとなり、2022年11月28日にコア審査システム(基本機能)が稼動する前に必要なシステムのテストに使える時間が短縮された。(パラグラフ3.63~3.66、3.70~3.72、3.84~3.90を参照)。 |
• Data cleansing and migration activities were not conducted effectively or completed in a timely manner. Representative data (production data) was not used for testing as planned. The impacts arising from these issues on the functionality and capability of the system were not clearly communicated to decision-makers. (See paragraphs 3.103 to 3.110) | ・データクレンジングと移行作業は効果的に実施されず、また適時に完了しなかった。代表者データ(本番データ)が計画通りにテストに使用されなかった。これらの問題から生じるシステムの機能と能力への影響が意思決定者に明確にコミュニケーションされなかった。(パラグラフ3.103から3.110を参照)。 |
• Testing activities were truncated and were not conducted in line with agreed testing plans or in a manner consistent with Defence guidance. Testing activities that were to be conducted sequentially were conducted in parallel. (See paragraphs 3.111 to 3.123) | ・テスト活動が切り捨てられ、合意されたテスト計画や国防省のガイダンスに沿った方法で実施されなかった。順次実施されるはずのテスト活動が並行して実施された。(段落 3.111 から 3.123 参照)。 |
• Defence does not have a program in place to monitor and review privileged user activity and does not have a process to periodically revalidate user accounts for the myClearance system. (See paragraphs 3.91 to 3.100) | ・国防省は、特権ユーザの活動を監視しレビューするプログラムを実施しておらず、マイクリアランス・ システムのユーザ・アカウントを定期的に再検証するプロセスを有していない。(パラグラフ 3.91 から 3.100 参照) |
24. Throughout 2023, Defence’s myClearance taskforce achieved progressive improvements to the core vetting system. In November 2023, Defence recommended that the government agree to de-scoping the: continuous assessment; automated risk sharing; use of artificial intelligence; and enhanced interfaces from the myClearance system. As a consequence, the myClearance system will not deliver the desired capability uplift or provide the full functionality advised to government in December 2020. (See paragraphs 3.135 to 3.139) | 24. 2023 年を通して、国防省の マイクリアランス・タスクフォースは、中核的な審査システムの漸進的な改善を達成した。2023 年 11 月、国防省は政府に対し、マイクリアランス・システムから、継続的アセスメント、自動化されたリス ク共有、人工知能の使用、および強化されたインタフェースを削除することに同意するよう勧告した。その結果、マイクリアランス・システムは、2020年12月に政府に勧告されたような能力向上や全機能を提供することはできない。(段落3.135から3.139参照)。 |
Recommendations | 勧告事項 |
25. The ANAO has made two recommendations to improve risk management for complex high value ICT projects and manage and maintain the security of the system. | 25. ANAO は、複雑で高価値な ICT プロジェクトのリスクマネジメントを改善し、システムのセキュリティを 管理・維持するために、2 つの勧告を行った。 |
Recommendation no. 1 | 勧告 No. |
Paragraph 2.53 | パラグラフ2.53 |
The Department of Defence ensure that risk management plans, comprising a risk appetite statement and risk tolerances, are developed, implemented and maintained for its complex, high value ICT projects. | 国防省は、複雑で高価値な ICT プロジェクトについて、リスク選好度声明とリスク許容度 からなるリスクマネジメント計画を策定し、実施し、維持することを確実にすること。 |
Department of Defence response: Agreed. | 国防省の回答 同意する。 |
Recommendation no. 2 | 勧告 No. |
Paragraph 3.101 | パラグラフ 3.101 |
The Department of Defence develop and implement a program of work to periodically revalidate user access and monitor privileged user accounts to ensure that management of the myClearance system complies with the requirements of the Information Security Manual. | 国防省は、マイクリアランス・システムの管理が情報セキュリティ・マニュアルの要件に準拠 していることを確認するため、定期的にユーザー・アクセスの再検証を行い、特権ユーザー・ アカウントを監視する作業プログラムを策定し、実施すること。 |
Department of Defence response: Agreed. | 国防省の回答 同意する。 |
Summary of the Department of Defence’s response | 国防省の回答の要約 |
26. The proposed audit report was provided to the Department of Defence. Defence’s summary response is provided below, and its full response is included at Appendix 1. Improvements observed by the ANAO during the course of this audit are listed in Appendix 2. | 26. 提案された監査報告書は国防省にプロバイダされた。国防省の回答概要は以下に、回答全文は附属書 1 に記載されている。本監査の過程で ANAO が観察した改善点は附属書 2 に記載されている。 |
Defence acknowledges the Auditor-General’s findings that the implementation of the myClearance system was partly effective. Defence is committed to strengthening procurement and governance arrangements, ensuring important projects are delivered in the best interests of Australia’s national security. | 国防省は、マイクリアランス・システムの導入が部分的に有効であったという監 査役の調査結果を認める。国防省は、重要なプロジェクトが豪州の国家安全保障に最善の利益をもたらすよう、調達とガ バナンス体制の強化に取り組んでいる。 |
Defence has achieved substantial improvements in security clearance processing since the system launched. Following the introduction of myClearance in November 2022, over 110,000 clearances have been processed, with over 75,000 clearances completed in the myClearance system during 2023–24. Vetting timeframes for all clearance levels are also being consistently met. | 国防省は、マイクリアランス・システム導入以来、セキュリティ・クリアランス処理の大幅な 改善を達成してきた。2022年11月のマイクリアランス導入後、11万件を超えるクリアランスが処理され、2023-24年には7万5、000件を超えるクリアランスがマイクリアランス・システムで完了した。すべてのクリアランス・レベルの審査時間枠も一貫して遵守されている。 |
Defence is committed to increasing ICT project risk oversight and management through three robust lines of assurance to ensure decision makers are well informed of emerging risks and potential impacts. The methodology includes: | 国防省は、意思決定者が新たなリスクと潜在的な影響について十分な情報を得られるよう、3つの強固な保証ラインを通じてICTプロジェクトのリスク監視・マネジメントの強化に取り組んでいる。その方法論には以下が含まれる: |
• Establishing robust first-line assurance for ICT projects prior to progressing through gate decisions, ensuring all mandatory project artefacts are complete and performance milestones are achieved; | ・ゲート決定を経て進行する前に、ICTプロジェクトに対する強固な第一線保証を確立し、すべての必須プロジェクト要素が完了し、パフォーマンスのマイルストーンが達成されていることを確認する; |
• Increasing second-line assurance, assessing ICT project governance implementation and the end-to-end business solution; and | ・セカンドラインの保証を強化し、ICTプロジェクトガバナンスの実施とエンドツーエンドのビジネスソリューションを評価する。 |
• Continuing third-line enterprise level objective assessment of adequacy, effectiveness and efficiency of governance, performance and risk management. | ・ガバナンス、パフォーマンス、リスクマネジメントの適切性、有効性、効率性についてのエンタープライズレベルの客観的アセスメントを第3ラインとして継続する。 |
Defence is confident this holistic approach to oversight and assurance will enable active identification, robust management and reporting of risks and opportunities. | 国防省は、監督と保証に対するこの総合的なアプローチによって、リスクと機会の積極的な特定、堅固なマネジメント、報告が可能になると確信している。 |
Key messages from this audit for all Australian Government entities | オーストラリア政府全事業体に対する本監査の主なメッセージ |
27. Below is a summary of key messages, including instances of good practice, which have been identified in this audit and may be relevant for the operations of other Australian Government entities. | 27. 以下は、本監査で確認された、他のオーストラリア政府機関の業務に関連すると思われる、グッドプラクティスの事例を含むキーメッセージの要約である。 |
Governance and risk management | ガバナンスとリスクマネジメント |
• Reporting on technical issues and risks should be clearly communicated to senior leaders and decision makers in plain English and in terms of the anticipated impact on the functionality or capability of the system. | ・技術的な問題やリスクに関する報告は、システムの機能や能力への予想される影響という観点で、 シニアリーダーや意思決定者にわかりやすく明確に伝えるべきである。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.05.11 日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...
・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)
その他、こちらも...
● まるちゃんの情報セキュリティ気まぐれ日記
日本...
・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定
・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)
・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)
・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)
・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)
・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~
・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理
・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言
・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議
・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...
・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)
米国...
・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動
・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)
・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察
・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証
・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)
・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要
・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要
« 中国 公安部 国家サイバースペース管理局「国家ネットワーク ID 認証公共サービス管理弁法(意見募集案)」意見募集 (2024.07.26) | Main | 世界貿易機構 (WTO) 電子商取引交渉に関する共同議長国声明 (2024.07.26) »
Comments