セキュリティ企業は問題を起こしたとき、なぜ“すぐ謝れないのか”？：Cybersecurity Dive

世界中のWindows環境で発生したインシデントの責任を取って、CrowdStrikeは迅速に謝罪した。この対応は謝罪の言葉を述べたり、過ちを認めたりする習慣がないサイバーセキュリティ業界では珍しいケースだ。

[Matt Kapko，Cybersecurity Dive]

　CrowdStrikeのジョージ・カーツ氏（CEO）は、2024年7月19日（現地時間、以下同）に世界中のITシステムとネットワークをオフラインにしたソフトウェアアップデートについて（注1）、即座に謝罪した。これは、サイバーセキュリティ業界では珍しいエピソードだ。

CrowdStrikeの迅速な謝罪対応はセキュリティ業界では珍しい

　サイバーセキュリティ業界の幹部には、謝罪の言葉を述べたり、過ちを認めたりする習慣がない。

　CrowdStrikeのソフトウェアアップデートが世界経済の大部分をクラッシュさせた数時間後、カーツ氏は朝のニュース番組『Today』に出演し（注2）、その影響がまだ解明されていない中でミスを謝罪した。

　NBCの番組の中で、カーツ氏は「顧客や旅行者、当社を含め、本件で影響を受けた全ての人に、深く謝罪することから始めたいと考えている」と語った。

　CrowdStrikeの評判が危ぶまれる中（注3）、同社の他の幹部も率直に謝罪し、被害の責任を認めた。

　CrowdStrikeのCSO（最高戦略責任者）であるショーン・ヘンリー氏は、2024年7月22日の「LinkedIn」の投稿で「同年7月19日に、私たちは多くの人を失望させた」と述べた（注4）。

　「私たちが何年もかけて少しずつ築いてきた信頼が、数時間のうちに一気に失われた。私たちは、守ると約束した人々を失望させた。これは『失望』という言葉では言い表せないほどの衝撃だ」（ヘンリー氏）

　CrowdStrikeのような対応に前例がないわけではない。しかし、不運なソフトウェアアップデートが引き起こした損害は過去の例と比較できないほどに大きい（注5）。

　危機管理コミュニケーションの専門家であり、コンサルティング企業であるInfinite Globalのバイスプレジデントでもあるケルシー・アイドボ氏は、電子メールで「この規模のインシデントは、直近では起こっていないし、これまでに一度も起こったことがないかもしれない」と述べた。

　「通常、サイバーセキュリティ企業は裏方として活動しているため、話題にならないものだ。しかし、CrowdStrikeの件は警鐘を鳴らすものだった。サイバー企業やITベンダー、事業を営むためにCrowdStrikeに依存している私たち全員に警告を与える事例として記憶されるだろう」（アイドボ氏）

早期に率直に謝罪することがプラスに働く

　サイバーセキュリティ業界において、罪の意識は希薄だ。CrowdStrikeは、自らの意思で、通常の水準の説明責任を無条件に受け入れた。

　調査企業であるDell'Oro Groupにおいて、エンタープライズセキュリティおよびネットワーキングリサーチを担当するマウリシオ・サンチェス氏（シニアディレクター）は、電子メールで次のように述べた。

　「不具合のあるソフトウェアアップデートに対するカーツ氏の迅速な謝罪は、サイバーセキュリティ業界ではまれなものだ。他のケースを思い浮かべられないが、企業の説明責任が増大していることを反映しているのだろう」

　CrowdStrikeの迅速かつ真摯（しんし）な対応は、ダメージコントロールと自己防衛のための行動でもある。

　「危機管理の観点からは、いかなるうわさにも先んじて、CrowdStrikeが本件は侵害ではなく障害である旨を迅速に確認することが重要だった」（アイドボ氏）

　「早期かつ公に積極的に責任を認める企業は、自社が直面している問題の権威であり、第一人者としての地位を確立する。ベンダーの場合は評判の観点から、顧客の負担をいくらか軽減できる」（アイドボ氏）

　2011年の創業以来、CrowdStrikeにとって最悪の一日を経営陣は管理し、出来事をコントロールし、対応に対する信頼を醸成しようと努めた。

　Gartnerのカテル・ティーレマン氏（バイスプレジデント・アナリスト）は、電子メールで「CrowdStrikeがオープンかつ率直に総力を挙げて対応したことは、確かに助けになった」と述べた。

　「企業がセキュリティの欠陥を認めず、責任を回避したり、事実を隠してコミュニケーションを遅らせたりする方向に進む例も見てきた。そうした場合にこそ、ブランドにダメージが生じる」（ティーレマン氏）

復旧の過程で信頼関係を再構築

　本質的に、サイバーセキュリティベンダーはソフトウェアエコシステムの中で非常に困難な役割を果たしている。それは、悪質な活動を検出して顧客に警告し、リスクを軽減し、攻撃を止めることだ。それらの企業の仕事はシステムを安全に保つことである。

　Forresterのアリー・メレン氏（プリンシパルアナリスト）によると、透明性や正確性、対応力をもって重大なインシデントに対処するセキュリティベンダーは、顧客との関係をより良いものにし、評判を落とすことなく迅速に復旧できるという。

　「セキュリティベンダーとその顧客およびパートナーとの関係において、信頼は最も重要だ。これは全てのベンダーに当てはまるが、特にセキュリティの領域では信頼性と能力が基本になる」（メレン氏）

　「CrowdStrikeは長年にわたって多くの顧客と信頼関係を築いてきたが、今回のインシデントにどう対処するかによって、顧客との今後の関係が決まるだろう」（メレン氏）

　CrowdStrikeの経営陣の反省の気持ちに満ちた迅速な対応は、同社と緊密に協力して復旧と運営再開を目指していた連邦当局の目にもとまった。

　米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（以下、CISA）のジェン・イースタリー氏（ディレクター）は、2024年7月20日のLinkedInの投稿で「悪意はなかったにしろ、重大なミスであり、カーツ氏は全責任を負い、謝罪し、協力して解決することを約束した」と述べた（注6）。

（注1）CrowdStrike software update at the root of a massive global IT outage（Cybersecurity Dive）
（注2）CrowdStrike CEO: ‘We know what the issue is’ and are resolving it（TODAY）
（注3）CrowdStrike’s unforced error puts its reputation on the line（Cybersecurity Dive）
（注4）Shawn Henry（linkedin）
（注5）CrowdStrike says flawed update was live for 78 minutes（Cybersecurity Dive）
（注6）Jen Easterly（linkedin）

原文へのリンク