CrowdStrikeは「異例のWindows障害」後に“信頼”を取り戻せるのか：世界的Windows障害について知っておくべきこと【後編】

CrowdStrikeは障害後、再発防止策を発表した。だが失われた信頼を取り戻すのは容易ではない。セキュリティと信頼性の両立は可能なのか。この事件から企業が学ぶべき教訓とは何か。

[Alex Scroxton，TechTarget]

　CrowdStrikeは世界有数のセキュリティベンダーであり、2024年7月に大規模な「Windows」障害を巻き起こした原因でもある。同社のエンドポイントセキュリティ製品「CrowdStrike Falcon」のセンサー（エージェントソフトウェア）に適用した更新プログラムに不具合があったためだ。この問題に対して、同社はどのような見解を示し、ユーザー企業の信頼回復にどう努めようとしているのか。

CrowdStrikeは信頼を取り戻せるのか

併せて読みたいお薦め記事

連載：世界的Windows障害について知っておくべきこと

• 前編：「Windows死のブルースクリーン」で一躍有名になったCrowdStrikeの真相
• 中編：CrowdStrike障害が「Windowsマシンの1％未満」より深刻に見えたのはなぜか

CrowdStrike事件について詳しく

• CrowdStrikeが抱える「Windows障害850万台」の次の“深刻な問題”
• 「CrowdStrike事件」の真相　Windowsに迫る“新たな脅威”とは？

　CrowdStrikeのCEOジョージ・カーツ氏は、事件に関する声明において、「影響を受けたユーザー企業やパートナー企業と密接に連携し、システムとサービスの復旧に取り組んでいる」と述べた。カーツ氏の説明によると、今回の問題で影響を受けたのはWindows搭載デバイスのみであり、「macOS」「Linux」搭載デバイスへの影響はない。この他に同氏は、問題の原因を特定できたことを報告し、修正プログラムを配布したこと、同社のWebサイトで継続的に最新情報を提供することを示した。

　2024年7月19日に米国のテレビ局NBC（National Broadcast Company）が放送したインタビュー番組で、カーツ氏は次のように述べた。「当社のユーザー企業や旅行者、当社自身を含め、今回の問題の影響を被った方々には、当社が与えた大きな影響について、心より深くおわび申し上げる」

　カーツ氏は2024年8月に公開した声明において、「当社にとって、ユーザー企業やパートナー企業が当社に寄せる信用と信頼ほど大切なものはない」と示した上で、次のように説明する。「今回の事件を解決するに当たり、問題がどのように起き、このような問題が二度と起こらないようにするために当社が取っている対策について、完全な透明性を確保することを約束する」

CrowdStrikeの対処

　問題があるアップデートを、CrowdStrikeは79分で取り消した。このようなインシデントの再発防止策として、同社は予備計画を策定した。具体的には以下の対策を実施する。

• さまざまなテストの実施による回復力の向上
  • 開発者テスト
  • アップデートとロールバックのテスト
  • ストレステスト
  • ファジングテスト（予期しない入力データに対する動作テスト）
  • フォールトインジェクションテスト（意図的にエラーを発生させて影響範囲や回復方法を判断するテスト）
  • 安定性テスト
  • コンテンツインタフェーステスト
• 検証チェック機能の追加
• エラー処理機能の改善

　今後、CrowdStrike Falconセンサーのアップデートは、アップデートを一部ユーザーのみに限定公開する「カナリアデプロイメント」方式に従って段階的に適用されることになる。CrowdStrikeがアップデート配信の日時や内容をユーザー企業に事前通知し、適用のタイミングと可否をユーザー企業が判断できるようになる。アップデート内容は、リリースノートに明確に記載される。

　CrowdStrikeは、2024年7月25日19時54分時点（協定世界時）で、影響を受けたCrowdStrike Falconセンサーの97％が復帰したと報告した。

Microsoftの対処

　MicrosoftはCrowdStrikeと協力し、修正プログラムを開発して配布する作業の自動化を進めている。今回の障害を受けて、自社サービスの復旧を急ぐユーザー企業に協力するために、Microsoftはエンジニアやソフトウェア専門家を数百人体制で作業している。この他、GoogleやAmazon Web Services（AWS）などのクラウドベンダーとも連携し、システムへの影響に対する認識を共有して、ユーザー企業やCrowdStrikeと意見を交換して、良い情報を提供できるようにしている。

　今回の問題の背景は、2009年に欧州委員会がMicrosoftに下した裁定が影響している。これは同社が欧州連合競争法に違反すると認定したもので、「Microsoftはサードパーティー製品の相互運用性を平等に確保しなければならない」という措置を命じた。この措置が、CrowdStrike製品をWindowsの中核を操作できるようにすることを余儀なくしたというのがMicrosoftの見解だ。

「第二のCrowdStrike事件」を回避するには

　CrowdStrikeなどのセキュリティベンダーは、ユーザー企業をゼロデイ攻撃（パッチ未配布の脆弱性を狙う攻撃）やランサムウェア（身代金要求型マルウェア）などから保護する努力を続けている。その中で、「製品の開発やアップデートを頻繁に実施しなければならない」という非常に大きなプレッシャーを受けている。

　こうしたプレッシャーはユーザー企業にも伝わり、ユーザー企業のセキュリティ意識強化に役立つ。ユーザー企業が、セキュリティツールの自動アップデート設定を利用したいと考えることはごく自然なことだ。ところが今回のCrowdStrike問題は、セキュリティツールの自動アップデートが大きなシステム障害を引き起こした。

　今回と同様の問題の被害者にならないようにするには、ソフトウェアのアップデートにおいて「段階的アプローチ」の採用を検討する必要がある。段階的アプローチは、アップデートを適用する前に、サンドボックスやごく一部のデバイスでアップデートをテストする手法を指す。セキュリティツールについては、特に段階的アプローチが重要だ。

　とりわけ重要なインフラを運用している場合は、システムの冗長性を確保し、障害ドメイン（障害の影響を受ける範囲）を適切に分離して管理するのが賢明だ。ITチームは、IT資産管理とソフトウェア資産管理にも注意を払い、事業継続計画（BCP）／災害復旧（DR）を優先事項として確立する必要がある。策定したBCP／DRの定期的なテストも不可欠だ。

　影響を受けなかった組織は、被害を免れて幸運だったと考えるのではなく、今回の事件を“警鐘”と捉えるべきだ。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。