2024年7月のWindowsのシステム障害では、単一のソフトウェアがもたらす影響力の大きさが浮き彫りになった。あるレポートを基に、世界のITシステムが特定のソフトウェアに依存する現実とそのリスクを解説する。
2024年7月にMicrosoftのクライアントOS「Windows」搭載PCに発生したシステム障害は、セキュリティベンダーCrowdStrikeの更新ファイルが引き起こしたエラーに起因するものだった。同様の障害は、今後も発生する可能性があるのか。ある調査は、世界のITシステムに対して15社が多大な影響を及ぼす可能性があることを指摘している。その実態とは。
2024年7月19日に発生したWindowsの障害は世界中に広がり、大々的に報じられた。原因はCrowdStrikeの更新ファイルの欠陥だった。この更新ファイルはPCにダウンロードされた後、「ブートループ」(PCが起動途中で再起動を繰り返す現象)を引き起こした。PCは起動の途中でクラッシュ(正常に動作しなくなり)し、悪名高いブルースクリーン(OSに深刻なエラーが発生した場合の青い画面)のエラーを発生させた。
Microsoftによれば、この障害の影響を受けたPCは約850万台だった。世界のWindows搭載PC全体に占める割合では1%未満に過ぎない。だが空港や駅、店舗といった公共性の高い業種のWindows搭載PCにも影響したことから、その障害の影響は瞬く間に拡散された。
セキュリティベンダーSecurityScorecardが2024年4月に公開したレポート「Redefining Resilience: Concentrated Cyber Risk in a Global Economy」によると、世界の組織の「攻撃対象領域」(アタックサーフェス)で検出されたIT製品・サービス全体の90%は、150社の企業によって提供されている。同じく攻撃対象領域の62%は、わずか15社によって提供されている。攻撃対象領域とは、企業などの組織に対する攻撃の侵入口や経路となり得る領域を指す。
同レポートによると、Security Scorecardが15社のIT製品・サービスについて独自の評価方法でリスクレーティング(セキュリティの強度を示す指標)を評価したところ、その平均スコアは、前述の150社の平均スコアよりも低かった。ランサムウェア(身代金要求型マルウェア)攻撃などの攻撃者は、大規模に導入されているIT製品・サービスの脆弱(ぜいじゃく)性を狙う傾向にあるため、この状況は組織のITチームにとっての重大な懸念事項となりそうだ。
「停止してはいけない重要なサービスがわずかな大手ITベンダーに依存していることで、企業は重大な単一障害点を作ってしまっている」。SecurityScorecardのCEOアレクサンドル・ヤンポルスキー氏はそう語り、世界のITシステムの大部分が「崖っぷちに建つ危なっかしい家」だと例える。
ヤンポルスキー氏は、重要なサービスを提供する企業が少数のITベンダーに依存している関係が2024年7月19日の障害によって浮き彫りになったことを例にして、改めて複数のベンダーからツールを調達することの重要性を指摘する。
CrowdStrikeに起因した今回の障害の教訓として、ヤンポルスキー氏は以下が重要だと説明する。
システム障害に堅実に対処するためには、「全ての卵を1つのかごに入れない」ことが重要だとヤンポルスキー氏は説明する。その上で重要になるのは以下の取り組みだ。
これに加えて、「カオスエンジニアリング」の考え方も検討に値するという。これはシステムに意図的に障害を発生させ、コンピュータの反応を調べ、障害対応や復旧計画の検証、改善につなげるものだ。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
エンタープライズ向け技術は、Linuxを中核に据え、オープンソースで動作しているものが多い。しかし近年、一部のベンダーが契約による囲い込みを強めており、ベンダーロックインのリスクが高まっている。安定したLinux運用を実現するには?
ITサービスへの要求は年々増大しており、その対応を手作業でカバーするには限界がある。そこで導入されるのがITSMツールだが、特に自動化機能には注意が必要だ。自社に適した運用自動化や作業効率化を実現できるのか、しっかり吟味したい。
業務効率を高めて生産性を向上させるために、多くの企業がITシステムの導入を進めている。しかし、自社の業務に合わないITシステムを導入してしまっては、逆に生産性が低下する可能性も高い。この問題をどう解決すればよいのだろうか。
世界中で広く利用されているChromeブラウザは、業務における重要なエンドポイントとなっているため、強固なセキュリティが必要となる。そこでChromeブラウザを起点に、企業が安全にWebへのアクセスポイントを確立する方法を紹介する。
Google Chromeの拡張機能は生産性の向上に不可欠な機能であり、ユーザーが独自にインストールできる一方、IT管理者を悩ませている。ユーザーデータを保護するためにも、効率的な運用・監視が求められるが、どのように実現すればよいのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。