CrowdStrikeは反省を生かせるか? 大変革「レジリエント・バイ・デザイン」の中身:Cybersecurity Dive
CrowdStrikeは2024年の夏に不具合のあるソフトウェアアップデートが原因で発生した史上最大規模の世界的なIT障害を受けて、セキュリティ変革フレームワーク「レジリエント・バイ・デザイン」を発表した。3本柱で構成されるその中身とは。
この記事は会員限定です。会員登録すると全てご覧いただけます。
CrowdStrikeのジョージ・カーツ氏(CEO)は2024年9月16日(現地時間、以下同)の週に「当社は新たなフレームワークを導入し、システムの脆弱(ぜいじゃく)性の軽減およびエラーの早期検出を目指している」と述べた。
この新たなフレームワークは、2024年の夏に同社の不具合のあるソフトウェアアップデートが原因で発生した史上最大規模の世界的なIT障害の後に発表された(注1)。
反省を生かして大変革 レジリエント・バイ・デザインの気になる中身
このフレームワークは「レジリエント・バイ・デザイン」と名付けられており、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の「セキュア・バイ・デザイン」の取り組みから文言や原則を借用している(注2)。この取り組みは、セキュリティの責任を顧客からベンダーに移すことを目的としている。CrowdStrikeは、2024年5月にCISAの「セキュア・バイ・デザイン」の誓約に自発的に署名した1社だった(注3)。
カーツ氏は2024年9月25日でのブログ投稿で「レジリエント・バイ・デザインは、CISAのセキュア・バイ・デザインの概念を拡張し、私たちのシステムや組織がセキュリティや業務の可用性を損なう可能性のあるあらゆる障害に備え、障害が起こった際に耐えて適応し、回復できるようにすることを目指している」と述べた(注4)。同氏は、2024年9月16日の週に開催したCrowdStrikeの年次イベントである「Fal.Con」のカンファレンスでこのフレームワークを発表した。
CrowdStrikeは2024年7月に比較的単純ながらも広範囲にわたるミスを犯し(注5)、「Windows」のコンピュータシステムが世界中でクラッシュする事態を引き起こした。このエラーは評判に影響を与え(注6)、同社は戦略的な変革を迫られることになった。これは、かつてMicrosoftが自社のセキュリティ慣行が広範な被害を引き起こした後に取った措置と類似している(注7)(注8)。
CrowdStrikeはWindowsのカーネルに強く依存していたため、この障害はMicrosoft Windowsのシステムに直接的な影響を与えた。CrowdStrikeで攻撃者に対応する作戦を担当するアダム・メイヤーズ氏(シニアバイスプレジデント)は、2024年9月24日に「サイバーセキュリティツールにとってWindowsのカーネルへのアクセスは不可欠だ」と説明した(注9)。
カーツ氏は、2024年9月16日の週のFal.Conの基調講演中にMicrosoftのサティア・ナデラ氏(会長兼CEO)をビデオ会議に招待した。
ナデラ氏は「仮に2025年も同様の話をしているならば、2つのことを達成しなければならない」と述べた。それは、安全確保に向けた具体的な進展と、Windowsにおける新しい抽象化レイヤーの構築だ。これらがセキュリティ製品における強靭な基盤を築くと同氏は説明した。
カーツ氏は、レジリエント・バイ・デザインの3つの柱をCrowdStrikeの全てのプロセスや活動に組み込む計画を立てている。
- 基盤的要素: レジリエンスをCrowdStrikeの中核要素とし、相互接続システムの強靭さを高めるための改善を実施する。この取り組みは、CrowdStrikeがすでに実施しているプロセス改善、コードおよび展開、構成、サポートを強化するための継続的なコミットメントとなる
- 適応性: 顧客やその業界が抱える多様なニーズに焦点を当て、より強靭なセキュリティソリューションをもって対応する
- 持続性: サイバーセキュリティ業界全体にわたる継続的なフィードバックループを構築し、常に学び、改善する環境を構築する
「私たちが顧客に約束したのは、CrowdStrikeがレジリエント・バイ・デザインの模範になるということだ。私たちはその実現を決意した。レジリエンスの追求は選択肢として存在するのではなく、私たち全員にとって不可欠な要素だ」(カーツ氏)
(注1)CrowdStrike software update at the root of a massive global IT outage(Cybersecurity Dive)
(注2)CISA, partner agencies unveil secure by design principles in historic shift of software security(Cybersecurity Dive)
(注3)68 tech, security vendors commit to secure-by-design practices(Cybersecurity Dive)
(注4)Recognizing the Resilience of the CrowdStrike Community(CROWDSTRIKE)
(注5)CrowdStrike blames mismatch in Falcon sensor update for global IT outage(Cybersecurity Dive)
(注6)CrowdStrike’s unforced error puts its reputation on the line(Cybersecurity Dive)
(注7)Microsoft overhauls cyber strategy to finally embrace security by default(Cybersecurity Dive)
(注8)At Microsoft, years of security debt come crashing down(Cybersecurity Dive)
(注9)CrowdStrike’s mea culpa: 5 takeaways from the Capitol Hill testimony(Cybersecurity Dive)
関連記事
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
世界中のLinuxサーバを狙うステルス型マルウェア「perfctl」が登場 検出方法は?
Aqua SecurityはLinuxサーバを標的にする新しいステルス型のマルウェア「perfctl」を発見した。perfctlはシステム内で自身を隠蔽する高度な能力を持っており、システム管理者らの検出を回避する動きを見せるという。
「なぜかファイルがごみ箱行きに……」 MicrosoftがWordのバグを報告
Microsoftは、Word for Microsoft 365で特定の条件を満たす場合、保存後にファイルが削除される問題が発生したと報告した。この現象については調査中であり、暫定対応策が提示されている。
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
ITmediaはアイティメディア株式会社の登録商標です。