全世界で発生したCrowdStrike“ブルスク”問題、原因からIT担当者が検討すべきセキュリティ対策を考察する（4/4 ページ）

[笠原一輝，ITmedia]

根本的な対策は「ゼロトラストセキュリティ」の徹底か

　今回の騒動に振り回されたエンタープライズの“情シス”にとっては、今後同じような問題が起きないようにどうするべきか、議論が進んでいくだろう。もちろん、騒動の直接の原因となったCrowdStrikeが動作検証のプロセスを見直すなどその対策をしなければいけないが、ソフトウェアのバグを防ぐ事はできないので今後別のソフトウェアで発生する可能性は否定できない。バグのないソフトウェアというのはない、見つかっていないだけというのがセキュリティ業界での考え方だ。

　ではどうすべきか。1つはセキュリティ確保の考え方をエンドポイントを強化する方向性から、ゼロトラストセキュリティというエンドポイントのセキュリティが十分ではないということを前提にしたITシステムを構築する方向に変えていくことだ。

　現在のITの仕組みは、会社のファイアウオールの外にデバイスを持ち出す場合、追加のセキュリティソフトウェア（まさにCrowdStrikeがそれだ）をノートPCなどにインストールすることで保護し、VPNで社内のネットワークに接続して利用するという形が一般的だ。それによりマルウェアやランサムウェアが社内ネットワークに接続されているデータセンターに影響を及ぼすことを防ぐという考え方だ。

　それに対してゼロトラストの考え方では、エンドポイントにあるデバイスは全て安全ではないと考えて企業のITシステムを構築する。社内のサービスにはインターネット経由で、そしてIDベースで認証して個別のクライアントデバイスに対してアクセス許可を出す（認証されたアクセス情報はクライアントにデバイスのハードウェアとひもづけて格納する）。

　仮にクライアントデバイスが、マルウェアやランサムウェアにやられても、ネットワーク側でそれをいち早く検知しそのデバイスや既に影響を受けたデバイスからのアクセス権限を無効にすることで、そのデバイスの中だけで影響が済むような処置を行うという考え方だ。

　ゼロトラストの考え方を実行しておけば、OSカーネルに影響を及ぼすソフトウェアをインストールしなければいけないエンドポイントセキュリティではなく、Windows 11標準のセキュリティ機能である「Windows セキュリティ」で代替できるようになる。

　例えば、Microsoftは大企業向けのMicrosoft 365 EnterpriseのE3／E5などで、Microsoft DefenderというSaaSベースのセキュリティツールを提供しており、クライアントのWindowsセキュリティと連携して動作することで、クライアントの状況をシステム管理者が容易には把握できる。

　そうしたエンドポイントセキュリティ重視からゼロトラストへの転換は、言うまでもなく企業のITシステム全体を変革する必要があるため非常に手間も時間もかかる。その意味では、現在のエンドポイントの考え方を継続するのであれば、今回のようにOSが起動しない状況が発生しても、リモートからの操作でBitLockerキーの入力やセーフモードでの操作を可能にするソリューションの導入を検討すべきだろう。

　Intel vPro、AMD PROと呼ばれるSoCベンダーの企業向けの製品を搭載したノートPCでは、OSが起動しなくてもインターネット経由でリモート接続し、BitLockerの回復キーをシステム管理者が入力し、OSをセーフモードで起動して今回の問題に対処することなどが可能になる。

　そうしておけば、現場の従業員がBitLockerの回復キーの意味が分からないため、対応できないというトラブルにもリモートから対処でき、回復にかかる時間を短縮できるだろう。今回痛い目にあった企業は、そうした機能に対応したノートPCの導入も今後検討していくべきだ。