ClowdStrikeのアップデート起因のシステム障害で思った事
佐藤@IT雑貨屋です。
先週(2024/7/19)に世界規模で発生した大規模システム障害ですが、この事で思った事について少し記事を書いてみます。
先週の金曜日。私はテレワークで相変わらず自宅に籠って仕事をしていました。
昼食を食べようとリビングに降りて、テレビを点けると何やらシステム障害が発生しているという報道で、航空会社や金融機関、また病院に至るまで結構な騒ぎになってるではありませんか。
そこでスマホでググるとClowdStrike社のEDRソフトのアップデートを起因として、Windows端末が再起動し、ブルースクリーンになる障害(BSoD)が各所で発生しているという報道が目につきました。これがこのテレビで報道されている障害と結びつくのかどうか。この段階では判りませんでしたが、恐らく結びついているんだろうと思ったのです。
その夜、仕事から帰宅した家内も「昼休みで休憩しようとしたけど、駅前のマクドナルドがシステム障害で閉まっていた」という話をしていたので、改めて結構な規模のシステム障害だと実感したのです。
EDRとは、前の記事でも少し紹介しましたが「Endpoint Detection and Response:エンドポイント検出と対応」というもので、簡単に言うとネットワークのクライアントに検知する仕組みを組み込んで、マルウェアやランサムウェアの検知をして対応する為のソフトウェアです。
今回問題となったのは、Clowd Strike社の提供するEDRソリューションで、これは大手企業で多く採用されていた事から、今回の様な大規模システム障害を引き起こしたのかと思います。要はそれだけ信頼性を持ったソリューションだったのでしょう。残念な事です。
ちなみに私の職場では、テレワークの端末や日常業務で利用する端末で、恐らくClowd Strikeを採用していなかった様で、今回の大規模システム障害の直接的影響は無かったようです。
また知人を見回しても、今回の事で「直ダマ」受けた様な話も聞いていません。まあこれには中小企業では、そもそもEDRを採用しているところは極めて少ないですし、それほど情報セキュリティにリソースを割いていない状況だったからでしょう。
今回の発生事象について、ClowdStrikeは以下のNRを出しています。
Windowsホスト向けFalconコンテンツ更新に関する技術情報
内容を見ると、今回のシステムトラブルは「Windowsシステムのセンサー設定の問題」と述べていて、ネットワーククライアントであるWindows端末で事象が発生したようです。
こういった事象が発生すると、被害を受けた企業や組織のCSRIT(Computer Security Incident Response Team)内部では様々な議論が噴出していると思われます。例えば事前にこういったリスクは想定出来ていなかったのか、何故想定できなかったのか、今後の対応策はどの様な事を検討すればよいのか、等々。おそらく喧々諤々の議論をしている組織もあると思われます。
昨今のITシステムは巨大かつ複雑になっていますので、事前にこういったリスクを想定する事は難しい事だと思います。またリスクを想定して、その対策を作るにも当然、そこには大きなコストがかかりますので、何かとコストカットして利益追従するという企業組織では、中々難しい事があると思います。
今回私が思ったのは、そもそもネットワーククライアントとして、今の世界では広範囲にマイクロソフトのWindowsに依存をしていますので、今回の様なWindowsシステムに関連するソリューションで問題が発生すれば、それはそれで大きな規模のシステム障害になってしまうでしょう。しかし、だからと言ってWindowsシステム以外のクライアントを採用できるかと言えば、やはりサードパーティーの対応を考えると、それも難しい事ではないでしょうか。
そもそも今の世界というのは、マイクロソフトに大きく依存していますからね。しかしこれは考えようによっては、人類社会の抱える大きな脆弱性なのかもしれません。
ただBCP(事業継続計画)的な観点で見れば、企業組織の基幹ITシステムがダウンした時に備えて、代替え体制は検討しておく必要がありますよね。システムダウンしたとしても、如何にそこで受ける損害を最小化する事が出来るのか。という観点で。
しかしそこには当然、様々なリスクを受容しながらも、事業継続の為に、割り切りという事が必要になると思いますが。
今回の大規模システム障害で被害を受けた企業組織のCSRITに携わる人達の心労を想いながら、そんな事を考えていました。
ここまで読んで頂き、ありがとうございました。