Windows障害で明白になった「“わずか15社”がもたらす深刻なリスク」とは：ブルースクリーンとCrowdStrike事故の教訓

2024年7月のWindowsのシステム障害では、単一のソフトウェアがもたらす影響力の大きさが浮き彫りになった。あるレポートを基に、世界のITシステムが特定のソフトウェアに依存する現実とそのリスクを解説する。

≫ 2024年09月09日 07時00分公開

Windows障害の教訓　「わずか15社がもたらす深刻なリスク」とは

併せて読みたいお薦め記事

Windows障害への備えとは

　2024年7月19日に発生したWindowsの障害は世界中に広がり、大々的に報じられた。原因はCrowdStrikeの更新ファイルの欠陥だった。この更新ファイルはPCにダウンロードされた後、「ブートループ」（PCが起動途中で再起動を繰り返す現象）を引き起こした。PCは起動の途中でクラッシュ（正常に動作しなくなり）し、悪名高いブルースクリーン（OSに深刻なエラーが発生した場合の青い画面）のエラーを発生させた。

　Microsoftによれば、この障害の影響を受けたPCは約850万台だった。世界のWindows搭載PC全体に占める割合では1％未満に過ぎない。だが空港や駅、店舗といった公共性の高い業種のWindows搭載PCにも影響したことから、その障害の影響は瞬く間に拡散された。

　セキュリティベンダーSecurityScorecardが2024年4月に公開したレポート「Redefining Resilience: Concentrated Cyber Risk in a Global Economy」によると、世界の組織の「攻撃対象領域」（アタックサーフェス）で検出されたIT製品・サービス全体の90％は、150社の企業によって提供されている。同じく攻撃対象領域の62％は、わずか15社によって提供されている。攻撃対象領域とは、企業などの組織に対する攻撃の侵入口や経路となり得る領域を指す。

　同レポートによると、Security Scorecardが15社のIT製品・サービスについて独自の評価方法でリスクレーティング（セキュリティの強度を示す指標）を評価したところ、その平均スコアは、前述の150社の平均スコアよりも低かった。ランサムウェア（身代金要求型マルウェア）攻撃などの攻撃者は、大規模に導入されているIT製品・サービスの脆弱（ぜいじゃく）性を狙う傾向にあるため、この状況は組織のITチームにとっての重大な懸念事項となりそうだ。

　「停止してはいけない重要なサービスがわずかな大手ITベンダーに依存していることで、企業は重大な単一障害点を作ってしまっている」。SecurityScorecardのCEOアレクサンドル・ヤンポルスキー氏はそう語り、世界のITシステムの大部分が「崖っぷちに建つ危なっかしい家」だと例える。

　ヤンポルスキー氏は、重要なサービスを提供する企業が少数のITベンダーに依存している関係が2024年7月19日の障害によって浮き彫りになったことを例にして、改めて複数のベンダーからツールを調達することの重要性を指摘する。

　CrowdStrikeに起因した今回の障害の教訓として、ヤンポルスキー氏は以下が重要だと説明する。

サプライチェーンを知る
- サプライチェーンは「オペレーショナルレジリエンス」（ビジネス活動の回復力）を確保する上でますます重要な要素となっている。サプライチェーンを理解し、適切に管理することで、サイバー攻撃や人的ミス、その他の何らかの原因によるシステム障害などのリスク低減につながる。
ITベンダーとの依存関係をより深く理解する
- 自社のビジネスとITベンダーとの依存関係と、そこに潜む脆弱性を特定することで、破壊的なインシデントに対する自社のレジリエンスを強化できる。

　システム障害に堅実に対処するためには、「全ての卵を1つのかごに入れない」ことが重要だとヤンポルスキー氏は説明する。その上で重要になるのは以下の取り組みだ。

システムにおける多様性を確保する
単一障害点を把握する
障害の机上演習やシミュレーションによるストレステストを予防的に実施する

　これに加えて、「カオスエンジニアリング」の考え方も検討に値するという。これはシステムに意図的に障害を発生させ、コンピュータの反応を調べ、障害対応や復旧計画の検証、改善につなげるものだ。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップシステム運用管理