[go: up one dir, main page]
More Web Proxy on the site http://driver.im/
新潮流Device as a Serviceの世界

CrowdStrikeの障害で考える、ソフトウェアのアップデートとas a Service

松尾太輔 (横河レンタ・リース)

2024-09-10 06:00

 米国時間の2024年7月19日、世界中でPCに起きた大きな異変が注目されました。CrowdStrikeのセキュリティ対策ソフトウェアの不具合が原因で、これをインストールしている「Windows」システムやPCが停止に追い込まれたのです。不具合の原因は、本連載でも述べているas a Serviceの時代に重要なアップデートによるものでした。

 サーバーにしろ、PCにしろ、現代のITシステムは「オープンシステム」と呼ばれ、さまざまなメーカーのさまざまな製品の組み合わせで複雑に動作しています。そのため、一つの製品のアップデートにより従来とは異なる動作をして、それがシステム全体に大きな影響を与え、停止に追い込まれることは何ら不思議ではありません。

 何よりセキュリティ対策ソフトウェアによるPCの大規模障害は、初めてのことではありません。2005年には、特定のOSのバージョンでのテストを省くという信じられない人為ミス(?)により、トレンドマイクロが不具合を含むパターンファイルを配信し、CPUの使用率が100%となってPCが使えなくなってしまったり、2010年にはMcAfeeが同じくパターンファイルのバグによりWindows内の重要なシステムファイルを削除してしまうことで再起動を繰り返したりする事態を引き起こしています。

 余談ですが、2010年のMcAfeeの不具合発生時の最高技術責任者(CTO)の一人が、現CrowdStrikeの最高経営責任者(CEO)です。ちょっと笑えませんね。

 そもそも、かつてITの世界において、アップデートは慎重に行われるものでした。メーカーで厳密なテストが行われることを前提とした上で、個別の自社システムにそのアップデートを適用するに当たり、まずは検証環境に適用してテストを行い、自社固有の問題が発生しないことを確認してから、本番環境に適用するというプロセスを経て行われていました。

 しかし、アップデートを含めたシステムを維持するための運用は、ユーザーにとって重荷です。そのため、常に最新で、使える状態のものがユーザーの手元にあることが担保される、as a Serviceという概念が生まれました。ユーザーは、ソフトウェア製品を自社内設置(オンプレミス)のサーバーにインストールして所有し、維持のための運用をする必要なく、月額を払い続ける限り、最新版のソフトウェア製品を「使うだけで済む環境」が提供されるようになりました。

 ソフトウェア製品のアップデートは、クラウドの中であれば、ユーザーに負担をかけることなく自動で行われます。そうして常に最新の、使える状態を維持します。そのため、多くのソフトウェア製品で構成されたITシステムがクラウドから提供されます。オンプレミス(=ユーザーの手元)にあるITシステムをサービス事業者が運用することは難しく、システムはサービス事業者側にある方が、はるかに効率的に運用できます。それを実現したのが「クラウドコンピューティング」という技術であり、ソフトウェア製品をas a Serviceで提供するSoftware as a Service(SaaS)という概念となります。

 かつてITシステムには、セキュリティという概念がありませんでした。一般にITシステムが広く使われるようになり、それを悪用して金もうけしようというやからが現れるようになり、急速にセキュリティが課題になりました。技術の進化が加速し、より便利に生活やビジネスの深いところでITシステムが使われると、さらにサイバー攻撃が激化していきます。

 攻撃者は、既存のITシステムを分析し、脆弱(ぜいじゃく)性を見つけ、さまざまな攻撃を仕掛けてきます。それに対してソフトウェア製品は、いち早く発見された脆弱性を解消する必要があり、アップデートがますます重要に、そして素早く行われる必要があるようになります。

 その状況においてSaaSはうってつけでした。サブスクリプションというビジネスモデルの優秀さも手伝って、ソフトウェア製品ベンダーはこぞって自社製品の提供方法をSaaS、サブスクリプションへ移行させていきます。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  2. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  3. セキュリティ

    経営陣に伝わりづらい「EDR」の必要性、従来型EDRの運用課題を解決するヒントを解説

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. ビジネスアプリケーション

    中小企業のDX奮闘記--都市伝説に騙されずに業務改善を実現したAI活用成功譚

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]