CrowdStrikeが問題のあるアップデートを公開したことで大規模なサイバーインシデントが発生しました。この問題の影響が落ち着いたら、多くの企業は、このインシデントが自社にどのような影響を及ぼしたか、またどのような対策を講じていれば防ぐことができたのかについて、徹底的な事後検証を行うことになるはずです。

重要なインフラサービスを提供している組織や大規模企業では、さまざまな状況を考慮してサイバーレジリエンス計画を策定して実行していることでしょう。しかし、「史上最大のIT障害」と呼ばれるこのインシデントは、サイバーセキュリティフレームワークに準拠した大規模な組織でも、対応できなかった可能性があります。主要な空港で発生した混乱が物語るように、このインシデントは「ハルマゲドンが起こった瞬間」のようでした。

企業は、自社のシステム、あるいは重要なパートナーのシステムが利用できなくなる事態を想定して準備している場合もあります。しかし、インシデントが広範囲に及び、航空管制、政府管轄の交通システム、輸送業者、さらには空港内のレストラン、乗客に問題を伝えるテレビ局にまで影響が広がる場合には、恐らく対応できるのは自社のシステムに限られるでしょう。幸い、これだけ大規模のインシデントが発生することは極めて稀です。

今回のインシデントは、一部のデバイスがオフラインになるだけで、世界規模で影響が広がることを示しています。Microsoftは、850万台のデバイスが影響を受けたことを確認しています。これは控えめに見積もっても、これは世界全体のPCデバイスの0.5～0.75%に相当します。

これらのデバイスの割合は少ないのですが、重要なサービスを運用するために使用されており、常に安全に保たれ、常に稼動している必要があります。これらのデバイスを運用している企業は、セキュリティアップデートとパッチが利用可能になったら適用しなければなりません。アップデートやパッチの適用を怠ると、深刻な結果を招く可能性があります。サイバーインシデントの専門家は、サイバーセキュリティリスクの管理に対する組織の判断力と能力を疑うことになるでしょう。

詳細かつ包括的なサイバーレジリエンス計画を策定しておくと、業務を迅速に復旧させることが可能になります。しかし、今回のような例外的な状況では、自社と関係している他の企業が、必要なリソースを準備していなかったり、迅速に展開できなかったりするために、ビジネスが中断に追い込まれる可能性があります。どのような企業であって、あらゆるシナリオを予測し、事業中断のリスクを完全に排除することはできません。

しかし、すべての企業は、サイバーレジリエンス計画を採用し、計画を想定通りに履行できることを確認するために、定期的にテストを行うことが重要です。この計画は、直接取引しているビジネスパートナーと共にテストすることも可能ですが、今回発生したCrowdStrikeのインシデントのような規模でテストすることは現実的ではないでしょう。ESETの過去のブログでは、サイバーレジリエンスの重要な要素について詳述し、いくつかの助言を行ってきました。 サイバーレジリエンス戦略を進めるときに役立つブログ「今が見直し時！サイバーセキュリティ対策におけるプロセスと運用を再チェック」と「中小企業が備えを強化するためのガイドライン（英語）」も参照してください。

今回のインシデントに関して最も重要なことは、事後検証を省略したり、このインシデントを単に例外的な状況として片付けたりしないことです。各組織がインシデントを考察し、教訓を得ることで、将来のインシデント対応能力を向上させることが可能になります。CrowdStrikeのインシデントを考察するときには、少数のベンダーに依存することの問題、モノカルチャー的なテクノロジー環境の落とし穴、リスクを軽減するために多様なテクノロジーを取り入れる利点などについても検討する必要があります。

企業がベンダー1社のみを選択する理由はいくつもあります。例えば、費用対効果の向上や、一元的な管理、つまり複数ベンダーの管理プラットフォームや似たようなソリューションを併用するときに発生する互換性や煩雑さを避けたいという目的もあるでしょう。しかし、競合他社製品をテストして併用することや多様な製品を選択することが、リスクを低減し、顧客に利益をもたらす可能性がないかどうかを検討する時期かもしれません。また、このような対策を業界の要件や標準に取り入れる必要があるかもしれません。

今回のCrowdStrikeのインシデントの影響を受けていない組織も、事後検証を行う必要があります。特異なサイバーインシデントによって引き起こされる可能性のある壊滅的な被害を、今回私たちは目の当たりにしました。今回影響を受けなかった組織も、同じような問題が発生したときに影響を受けないとは限りません。このインシデントから他社が得た教訓を活かして、自社のサイバーレジリエンスを向上させてください。

最後になりますが、このようなインシデントの影響を回避する一つの方法は、古いテクノロジーを運用しないことです。週末、ある方がサウスウエスト航空はCrowdStrikeの問題の影響を受けていないという記事を紹介してくれました。サウスウエスト航空はWindows 3.1とWindows 95を使用していたことが問題を回避した理由だと言われています。Windows 3.1は20年以上もアップデートされていません。この古いテクノロジーを今もサポートし、保護しているマルウェア対策製品があるかどうかはわかりませんが、このような古いテクノロジーを使用しているサウスウェスト航空を利用する自信は私にはありません。古いテクノロジーを使用し続けることは、このような問題を避けるための答えではありません。また、正しいサイバーレジリエンス計画でもありません。