CrowdStrikeは反省を生かせるか？ 大変革「レジリエント・バイ・デザイン」の中身：Cybersecurity Dive

CrowdStrikeは2024年の夏に不具合のあるソフトウェアアップデートが原因で発生した史上最大規模の世界的なIT障害を受けて、セキュリティ変革フレームワーク「レジリエント・バイ・デザイン」を発表した。3本柱で構成されるその中身とは。

[Matt Kapko，Cybersecurity Dive]

　CrowdStrikeのジョージ・カーツ氏（CEO）は2024年9月16日（現地時間、以下同）の週に「当社は新たなフレームワークを導入し、システムの脆弱（ぜいじゃく）性の軽減およびエラーの早期検出を目指している」と述べた。

　この新たなフレームワークは、2024年の夏に同社の不具合のあるソフトウェアアップデートが原因で発生した史上最大規模の世界的なIT障害の後に発表された（注1）。

反省を生かして大変革　レジリエント・バイ・デザインの気になる中身

　このフレームワークは「レジリエント・バイ・デザイン」と名付けられており、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の「セキュア・バイ・デザイン」の取り組みから文言や原則を借用している（注2）。この取り組みは、セキュリティの責任を顧客からベンダーに移すことを目的としている。CrowdStrikeは、2024年5月にCISAの「セキュア・バイ・デザイン」の誓約に自発的に署名した1社だった（注3）。

　カーツ氏は2024年9月25日でのブログ投稿で「レジリエント・バイ・デザインは、CISAのセキュア・バイ・デザインの概念を拡張し、私たちのシステムや組織がセキュリティや業務の可用性を損なう可能性のあるあらゆる障害に備え、障害が起こった際に耐えて適応し、回復できるようにすることを目指している」と述べた（注4）。同氏は、2024年9月16日の週に開催したCrowdStrikeの年次イベントである「Fal.Con」のカンファレンスでこのフレームワークを発表した。

　CrowdStrikeは2024年7月に比較的単純ながらも広範囲にわたるミスを犯し（注5）、「Windows」のコンピュータシステムが世界中でクラッシュする事態を引き起こした。このエラーは評判に影響を与え（注6）、同社は戦略的な変革を迫られることになった。これは、かつてMicrosoftが自社のセキュリティ慣行が広範な被害を引き起こした後に取った措置と類似している（注7）（注8）。

　CrowdStrikeはWindowsのカーネルに強く依存していたため、この障害はMicrosoft Windowsのシステムに直接的な影響を与えた。CrowdStrikeで攻撃者に対応する作戦を担当するアダム・メイヤーズ氏（シニアバイスプレジデント）は、2024年9月24日に「サイバーセキュリティツールにとってWindowsのカーネルへのアクセスは不可欠だ」と説明した（注9）。

　カーツ氏は、2024年9月16日の週のFal.Conの基調講演中にMicrosoftのサティア・ナデラ氏（会長兼CEO）をビデオ会議に招待した。

　ナデラ氏は「仮に2025年も同様の話をしているならば、2つのことを達成しなければならない」と述べた。それは、安全確保に向けた具体的な進展と、Windowsにおける新しい抽象化レイヤーの構築だ。これらがセキュリティ製品における強靭な基盤を築くと同氏は説明した。

　カーツ氏は、レジリエント・バイ・デザインの3つの柱をCrowdStrikeの全てのプロセスや活動に組み込む計画を立てている。

• 基盤的要素：　レジリエンスをCrowdStrikeの中核要素とし、相互接続システムの強靭さを高めるための改善を実施する。この取り組みは、CrowdStrikeがすでに実施しているプロセス改善、コードおよび展開、構成、サポートを強化するための継続的なコミットメントとなる
• 適応性：　顧客やその業界が抱える多様なニーズに焦点を当て、より強靭なセキュリティソリューションをもって対応する
• 持続性:　サイバーセキュリティ業界全体にわたる継続的なフィードバックループを構築し、常に学び、改善する環境を構築する

　「私たちが顧客に約束したのは、CrowdStrikeがレジリエント・バイ・デザインの模範になるということだ。私たちはその実現を決意した。レジリエンスの追求は選択肢として存在するのではなく、私たち全員にとって不可欠な要素だ」（カーツ氏）

（注1）CrowdStrike software update at the root of a massive global IT outage（Cybersecurity Dive）
（注2）CISA, partner agencies unveil secure by design principles in historic shift of software security（Cybersecurity Dive）
（注3）68 tech, security vendors commit to secure-by-design practices（Cybersecurity Dive）
（注4）Recognizing the Resilience of the CrowdStrike Community（CROWDSTRIKE）
（注5）CrowdStrike blames mismatch in Falcon sensor update for global IT outage（Cybersecurity Dive）
（注6）CrowdStrike’s unforced error puts its reputation on the line（Cybersecurity Dive）
（注7）Microsoft overhauls cyber strategy to finally embrace security by default（Cybersecurity Dive）
（注8）At Microsoft, years of security debt come crashing down（Cybersecurity Dive）
（注9）CrowdStrike’s mea culpa: 5 takeaways from the Capitol Hill testimony（Cybersecurity Dive）