Windows障害を引き起こす「第二のCrowdStrike事件」に備えた対策はこれだ:「CrowdStrikeパニック」の教訓【後編】
2024年7月、世界中の「Windows」搭載デバイスが、CrowdStrikeの更新プログラムの不具合によるトラブルに見舞われた。サードパーティー製品の更新によるリスクが顕著になった今、企業が講じるべき対策は。
セキュリティベンダーCrowdStrikeが不具合のある更新プログラムを配布したことで、世界中の「Windows」搭載デバイスに影響が生じた。この事態は、サードパーティー製品の更新が引き起こす潜在的なリスクを浮き彫りにするとともに、企業にシステムのセキュリティ設定の見直しを意識させるものとなった。企業はこの教訓をどのように生かし、将来起こり得る“新たなCrowdStrike事件”にどのように備えるべきなのか。専門家の見解を交えながら解説する。
「第二のCrowdStrike事件」を回避するための対策は?
併せて読みたいお薦め記事
連載:「CrowdStrikeパニック」の教訓
CrowdStrike事件の真相
「今回のCrowdStrikeの更新プログラムによる影響を受けなかった企業は、この状況を『幸運な回避』ではなく警鐘だと捉えるべきだ」。ソフトウェアライセンスに関するアドバイザリーSynyegaで、IT資産管理市場開発およびエンゲージメント責任者を務めるリッチ・ギボンズ氏は、そう語る。
ギボンズ氏は「今回の問題を回避できた企業はCrowdStrikeの顧客ではないから回避できただけだ」と語る。全ての企業は、社外関係者の重大なミスによってビジネスが悪影響を受けるリスクにさらされている。「重要なのは、そのリスクを受け入れ、強力なBCP(ビジネス継続計画)とDR(災害復旧)を持つことであり、これは全ての企業にとって優先事項でなければならない」と同氏は助言する。
堅牢(けんろう)なIT資産管理(ITAM)およびソフトウェア資産管理(SAM)システムを導入することも不可欠だとギボンズ氏は説明する。そうしたツールを導入することで、企業は自社がどのようなソフトウェアやハードウェアを所有しているのか、それらの所在地、サポートと寿命の状況、最後の更新時期、適用した更新プログラムといった情報を把握しやすくなる。これらは効果的なBCP/DRの策定のために重要だ。「この取り組みは、システムがオンプレミスサーバにあっても、ハイブリッドクラウド(オンプレミスサーバとクラウドサービスの併用)にあっても同様だ」と同氏は述べる。
GartnerのIT分野向けアドバイザリーサービスGartner for Technical Professionalsで、ディレクターアナリストを務めるエリック・グレニエ氏は、BCP/DRの策定だけではなく、それらの定期的なテストの重要性を説く。
今後も「不具合のある更新プログラム」をベンダーが公開してしまう可能性は否定できない。「企業はBCP/DR戦略を見直し、実際に復旧テストをして、復旧時間が基準を満たすかどうかを確認する必要がある」とグレニエ氏は推奨する。
グレニエ氏は、自社システムで「自動更新」になっているアプリケーションを特定し、その自動更新が「不具合のある更新」を適用することで生じる影響を評価すべきだともアドバイスする。
ただしグレニエ氏は、不具合のある更新プログラムのリスクを軽減するために、「世界中の企業で自動更新機能をオフにすべきだ」と主張しているわけではない。オフにするかどうかは、企業のリスク受容レベルと、自社で更新プログラムを適用できる能力の有無によって決まるべきだという。自動更新に関して、同氏が推奨するのは以下の作業だ。
- 自動更新が有効になっているアプリケーションの一覧を作成、保管すること
- 自動更新をオフにできるかどうかを把握すること
- 自動更新が有効なアプリケーションに不具合のある更新プログラムが配信された場合の影響を知っておくこと
アプリケーションを手動で更新することを選択した場合は何をすべきなのか。「アプリケーションの更新をテストするためのプロセスとワークフローを構築する必要がある」とグレニエ氏は説明する。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.