CrowdStrikeは障害後、再発防止策を発表した。だが失われた信頼を取り戻すのは容易ではない。セキュリティと信頼性の両立は可能なのか。この事件から企業が学ぶべき教訓とは何か。
CrowdStrikeは世界有数のセキュリティベンダーであり、2024年7月に大規模な「Windows」障害を巻き起こした原因でもある。同社のエンドポイントセキュリティ製品「CrowdStrike Falcon」のセンサー(エージェントソフトウェア)に適用した更新プログラムに不具合があったためだ。この問題に対して、同社はどのような見解を示し、ユーザー企業の信頼回復にどう努めようとしているのか。
CrowdStrikeのCEOジョージ・カーツ氏は、事件に関する声明において、「影響を受けたユーザー企業やパートナー企業と密接に連携し、システムとサービスの復旧に取り組んでいる」と述べた。カーツ氏の説明によると、今回の問題で影響を受けたのはWindows搭載デバイスのみであり、「macOS」「Linux」搭載デバイスへの影響はない。この他に同氏は、問題の原因を特定できたことを報告し、修正プログラムを配布したこと、同社のWebサイトで継続的に最新情報を提供することを示した。
2024年7月19日に米国のテレビ局NBC(National Broadcast Company)が放送したインタビュー番組で、カーツ氏は次のように述べた。「当社のユーザー企業や旅行者、当社自身を含め、今回の問題の影響を被った方々には、当社が与えた大きな影響について、心より深くおわび申し上げる」
カーツ氏は2024年8月に公開した声明において、「当社にとって、ユーザー企業やパートナー企業が当社に寄せる信用と信頼ほど大切なものはない」と示した上で、次のように説明する。「今回の事件を解決するに当たり、問題がどのように起き、このような問題が二度と起こらないようにするために当社が取っている対策について、完全な透明性を確保することを約束する」
問題があるアップデートを、CrowdStrikeは79分で取り消した。このようなインシデントの再発防止策として、同社は予備計画を策定した。具体的には以下の対策を実施する。
今後、CrowdStrike Falconセンサーのアップデートは、アップデートを一部ユーザーのみに限定公開する「カナリアデプロイメント」方式に従って段階的に適用されることになる。CrowdStrikeがアップデート配信の日時や内容をユーザー企業に事前通知し、適用のタイミングと可否をユーザー企業が判断できるようになる。アップデート内容は、リリースノートに明確に記載される。
CrowdStrikeは、2024年7月25日19時54分時点(協定世界時)で、影響を受けたCrowdStrike Falconセンサーの97%が復帰したと報告した。
MicrosoftはCrowdStrikeと協力し、修正プログラムを開発して配布する作業の自動化を進めている。今回の障害を受けて、自社サービスの復旧を急ぐユーザー企業に協力するために、Microsoftはエンジニアやソフトウェア専門家を数百人体制で作業している。この他、GoogleやAmazon Web Services(AWS)などのクラウドベンダーとも連携し、システムへの影響に対する認識を共有して、ユーザー企業やCrowdStrikeと意見を交換して、良い情報を提供できるようにしている。
今回の問題の背景は、2009年に欧州委員会がMicrosoftに下した裁定が影響している。これは同社が欧州連合競争法に違反すると認定したもので、「Microsoftはサードパーティー製品の相互運用性を平等に確保しなければならない」という措置を命じた。この措置が、CrowdStrike製品をWindowsの中核を操作できるようにすることを余儀なくしたというのがMicrosoftの見解だ。
CrowdStrikeなどのセキュリティベンダーは、ユーザー企業をゼロデイ攻撃(パッチ未配布の脆弱性を狙う攻撃)やランサムウェア(身代金要求型マルウェア)などから保護する努力を続けている。その中で、「製品の開発やアップデートを頻繁に実施しなければならない」という非常に大きなプレッシャーを受けている。
こうしたプレッシャーはユーザー企業にも伝わり、ユーザー企業のセキュリティ意識強化に役立つ。ユーザー企業が、セキュリティツールの自動アップデート設定を利用したいと考えることはごく自然なことだ。ところが今回のCrowdStrike問題は、セキュリティツールの自動アップデートが大きなシステム障害を引き起こした。
今回と同様の問題の被害者にならないようにするには、ソフトウェアのアップデートにおいて「段階的アプローチ」の採用を検討する必要がある。段階的アプローチは、アップデートを適用する前に、サンドボックスやごく一部のデバイスでアップデートをテストする手法を指す。セキュリティツールについては、特に段階的アプローチが重要だ。
とりわけ重要なインフラを運用している場合は、システムの冗長性を確保し、障害ドメイン(障害の影響を受ける範囲)を適切に分離して管理するのが賢明だ。ITチームは、IT資産管理とソフトウェア資産管理にも注意を払い、事業継続計画(BCP)/災害復旧(DR)を優先事項として確立する必要がある。策定したBCP/DRの定期的なテストも不可欠だ。
影響を受けなかった組織は、被害を免れて幸運だったと考えるのではなく、今回の事件を“警鐘”と捉えるべきだ。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
