CrowdStrike障害は単一プラットフォームの依存への議論を巻き起こした
いつもご覧いただきありがとうございます。
この記事は、2024年9月27日のSDxCentralの以下の記事を意訳したものになります。意訳後に記事に関する考察を述べています。
CrowdStrike crash showed cybersecurity needs a solid core, open options
クラウドストライクの事故は、サイバーセキュリティに強固なコアとオープンな選択肢が必要であることを示した
CrowdStrikeのクラッシュが示したサイバーセキュリティには堅固なコアとオープンな選択肢が必要
今年2024年7月19日にCrowdStrikeが起こしたシステム障害は、企業がサイバーセキュリティシステムを単一のプラットフォームに依存し続けるべきではないという議論を引き起こしましたが、アメリカのセキュリティ運用会社である Arctic Wolf のCEOであるニック・シュナイダー氏は、プラットフォーム化からの急激な転換は本質を見失っていると考えています。
シュナイダー氏はSDxCentralとのインタビューで、この出来事が、組織全体のセキュリティニーズを一社だけに依存することのリスクを示したものの、プラットフォーム化の概念は、増え続けるサイバーセキュリティ脅威に対応する最も強力な方法であると述べました。
「私は今でも、顧客が全体的なリスクの状況を把握するためには、リスクを集中管理できる方法が最適だと考えています」とシュナイダー氏は語りました。「今回の出来事が強調したのは、すべての環境をそのベンダーだけに任せる必要はないということです」
この考え方は、組織が優先すべき事項を明確にし、その上でシステムを運用するプラットフォームが他のシステムとの統合の柔軟性を持つ必要があることを支持します。
「顧客はすべてのサイバーセキュリティを一社に任せたいわけではないと思います。この出来事は、その考え方が最善策でないかもしれないことを示したと思います」とシュナイダー氏は述べました。「ただし、顧客が特定の技術については、主要なプラットフォームを提供するベンダーを利用しつつ、別の技術については異なるベンダーを選ぶことができるという選択肢が重要です」
このアプローチにより、組織は大手プラットフォームプロバイダーに依存しつつも、新たな技術が登場した際に将来に対応できる方法を持つことが可能になります。
CrowdStrikeの出来事は、単一のCrowdStrikeアップデートが引き金となり、MicrosoftのAzureクラウドプラットフォーム上で稼働する800万台以上のデバイスがクラッシュしたことで発生しました。この出来事は、単一のプラットフォームプロバイダーに過度に依存することの是非について疑問を投げかけました。
「CrowdStrikeは、プラットフォーム化や統合に対する最強の反論を作り出しました。つまり、広範囲渡る障害です」と、Forresterの副社長で主任アナリストのジェフ・ポラード氏はSDxCentralに語り、これは組織がCrowdStrikeに集中依存していたことが原因だと指摘しました。
「このような場合に生じる課題の1つは集中リスクです。これは、セキュリティコントロールを1つのベンダーに集中させるときに起こり得るリスクです」とポラード氏は付け加えました。「ある程度、CrowdStrikeは、プラットフォーム化や統合に対する最も強力な反証を、広範な障害という形で提供したと言えるでしょう。これが、セキュリティコントロールを過度に集中させると何が起こるかの例です」
CrowdStrikeの事例が示したオープンな選択肢の必要性
このような災害から組織が身を守るための現在の課題は、外部との統合も可能なコアプラットフォームを見つけることにあります。シュナイダー氏は、この課題が一部のベンダーが「オープン」という言葉をどう解釈しているかによってさらに悪化していると説明しています。
「大手のサイバーセキュリティ企業の多くは、Arctic Wolfも含め、顧客がより統合されたプラットフォームを求めていることを理解しています」とシュナイダー氏は語ります。「また、多くのベンダーがそれを、主に自社のツールを活用して、サイバーセキュリティのさまざまな側面に対応する機会と見なしていることも事実です。彼らは皆、オープンだと言っていますが、実際にはプラットフォーム上でのツールの動作方法やその効果についてはかなり閉鎖的(クローズド)です」
これにより、組織は大部分のサイバーセキュリティニーズを収容する単一のコアプラットフォームを選定する際に慎重になる必要があります。また、サイバーセキュリティプラットフォームプロバイダーも、柔軟性が求められていることを理解し受け入れる必要があります。
「しっかりとした基盤があれば、主要な攻撃面に対する強力なネイティブツールが備わっており、同時に顧客がすでにサードパーティツールに投資している場合や、将来的に投資したいと考えている場合でも、それらを活用できるようにすることができます。さもなければ、顧客の進歩を妨げることになります」
ただし、これらはすべて、組織が必要に応じて異なるコンポーネントを監視し管理できるシンプルなインターフェースを通じて実行する必要があります。
「これが正しく行われれば、顧客はより複雑でない環境を手に入れ、コストを節約できるでしょう」とシュナイダー氏は述べました。「人材も少なくて済み、またはより戦略的な取り組みに人材を配置できるようになります。これらはすべて、経済状況がまだ安定していないマクロ経済環境において、顧客にとって特に魅力的な取り組みや方法だと思います」
以上が、SDxCentral の記事の意訳になります。
この記事に関する考察
7月19日の全世界で発生したブルースクリーン障害については、以前の記事を参照ください。
企業が、サイバーセキュリティシステムを採用する際に、単一の製品・プラットフォームを選択せざると得ないのは、致し方ないと思います。
随分昔には、大手企業は、単一メーカや製品に依存しないように、必ず2社以上の製品を選択していたことがよくありました。
例えば、サーバについては、半分はA社、残りの半分はB社にするとかです。
今でも、そういった企業は存在しますが、サイバーセキュリティシステムについては殆どの企業は、単一メーカを選択されている例が多いと思います。
そもそも CrowdStrike 自体、つまり EDR 自体が必要なのか?というのもありますが、IT人材が不足する中、昔の大手企業のように、単一メーカ・製品に依存しないように、必ず複数製品を選択するのは、殆どの企業では不可能だと思います。
本記事は、この課題解決として「外部との統合も可能なコアプラットフォームを見つけること」とあります。つまり「オープン」なプラットフォームを選択することで、そのプラットフォーム以外のサードパーティツールが活用できるというものです。
しかしながら、サーバやストレージといったものですら、オープンではなく、各メーカの仕様はバラバラです。パブリッククラウドについても同じくオープンとは言い難く、ほぼクローズド(閉鎖的)です。
各社が、競合他社製品・サービスとの差別化要素・特異性を次々と作り出していき、ベンダーロックインを目指しているため、標準化・共通化が根底となる「オープン」には程遠いのが現実です。
それが、サイバーセキュリティシステムになると、さらに機能差異だけでなく、セキュリティ面でクローズドになるのは致し方ないと言えます。
パブリッククラウドにおいては、単一プラットフォームに依存しないようにするには、マルチクラウド利用になりますが、特定プラットフォームに依存した機能を使わないことが前提になりますので、そのプラットフォームのメリットを最大限享受することができなくなります。
仮想化・抽象化を進める(例. 仮想マシンではなくコンテナ)ことで、プラットフォーム依存はなくなります。
サイバーセキュリティシステムでは、現時点での解決策は非常に難しいところですが、今回の CrowdStrike 障害が想定外であったのであれば、これを教訓として想定内障害としてリスクの洗い出しを行い、今後の対応策を検討するしかありません。
(CrowdStrike のように同じ障害を何度も起こしている企業の製品は、とっととリプレースすべきか思いますが)
特に、IT人材・セキュリティ人材が不足する中、サイバーセキュリティシステムについては、物理的なアプライアンス機器を購入するのは、今すぐ止めて、サイバーセキュリティシステムのクラウドサービスである SASE(Secure Access Service Edge、サッシー)を積極的に活用すべきです。
SASE については以下を参照ください。