CrowdStrikeの“歴史的なインシデント”から何を学ぶべきか？

Preliminary Post Incident Reviewのエグゼクティブサマリー（出典：CrowdStrikeのWebサイト）

　日本時間の2024年7月19日お昼頃、セキュリティソフト「CrowdStrike Falcon」プラットフォームのエージェントアプリ「Falcon Sensor」の不具合に起因する大規模なインシデントが発生しました。この影響によって、空港でのデジタルサイネージや自動販売機などで使われている「Windows」のPCでブルースクリーンが表示され、SNSで大きな話題になりました。

　それから約1週間が経過し、ひとまずの回避策が発表されるとともに、その原因も明らかになりつつあります。

　これは個人的には歴史に残るレベルの大変な事故だと感じていますが、これが何らかの“攻撃”ではなかったことには安心しています。

　この事象については、マクニカが詳細かつタイムリーな情報を提供しています。改訂履歴の時間を見ると、顧客対応に真摯（しんし）な姿が見て取れるはずです。日本のシステムインテグレーターは本当に優秀ですね。

　この他、Microsoftからもこの問題の支援が発表されています。

●インシデントから1週間たった今、この事件をどう受けとめるべきか？

　今回の事件は、世界規模で大きな影響が出ました。印象としては2017年5月に発生したランサムウェア「WannaCry」の流行を思い出します。個人的には、CrowdStrikeのシェアがここまで大きいのかと驚きました。この他、いわゆるIoT領域でもブルースクリーンが出ていたことで、そこまでしっかりとセキュリティ対策が進んでいるという意味では、EDR（Endpoint Detection and Response）製品が各業界や幅広い企業規模に受け入れられているのだと実感しました。

　筆者は、上記を踏まえてこの事件を機に、セキュリティ担当者以外の人々の間でもEDRの認知が進むかもしれないと思いました。また、EDR（およびEPP）は、悪意ある挙動を把握し、検知するためにOSの根幹に近い部分で動作するため、もしこれが不具合を起こせば今回のようなブルースクリーンが発生する原因になることにも注目が集まったと思います。

　上記の挙動上、「セキュリティのためのソフトウェアがシステムを停止する」という皮肉な事態が起きるのはある意味仕方がないのかもしれませんが、システムを運用する上では避けては通れない課題であることも確かです。

　今回はCrowdStrikeのソリューションが原因になりましたが、他のセキュリティベンダーの製品では絶対に発生しないとは言い切れないでしょう。恐らく多くのベンダーが、この事態を“ジブンゴト”として捉えているのではないかと思います。