7/19、世界中でWindowsマシンがブルースクリーンに

今回のWindows大規模障害の発生からの流れを時系列でまとめました。なお、時間は全て日本時間で表記しています。ブルースクリーンの意味を再確認した後、確認してみましょう。

[7月19日13時9分]

アメリカのサイバーセキュリティ企業CrowdStrike社が、同社のセキュリティ製品「Falcon」のソフトウェアアップデートをリリースした後、世界中の多くのWindowsマシンでブルースクリーンが発生した

[7月19日14時27分]

CrowdStrike社が、ブルースクリーンの原因となったソフトウェアアップデートの内容を修正した

[7月19日18時45分]

CrowdStrike社のGeorge Kurtz（ジョージ・カーツ）CEOが次のように発表した
「これはセキュリティに関する問題やサイバー攻撃ではない。すでに問題は特定・分離され、修正プログラムを配布している。」

[7月20日1時ごろ]

Microsoft社のサティア・ナデラ（Satya Nadella）CEOが次のように発表した
「我々はこの問題を認識しており、CrowdStrike社および業界全体と緊密に協力し、顧客のシステムを安全にオンラインに戻すための技術的なガイダンスとサポートを提供している。」

CrowdStrike社のソフトウェアアップデートに欠陥があった

今回のWindows大規模障害の要点を整理します。

原因

今回のWindows大規模障害の原因は、CrowdStrike社が提供する製品にありました。具体的には、セキュリティ製品「Falcon」の一機能「Falcon Sensor」のソフトウェアアップデートの内容に欠陥があり、この欠陥が原因でロジックエラーが生じ、結果として障害が発生しました。

影響を受けたマシン

影響を受けた可能性のあるマシンは、Falcon Sensorをインストールしていたマシンです。なお、Falconは主に企業・公的機関向けの製品で、個人用PCに知らないうちにインストールされていることはまずありません。また、Falcon SensorにはMac版とLinux版もありますが、影響を受けたのはWindows版のみでした。

影響の規模

Microsoft社の発表によれば、影響を受けたWindowsマシンの台数は約850万台で、これは全世界で稼働するWindowsマシンの1%未満だとされています。

復旧方法

CrowdStrike社の案内によれば、次の手順で復旧できるとのことです。

・マシンを強制終了する
・セーフモードで起動する
・所定のディレクトリにあるファイル「C-00000291*.sys」を削除する
・通常の方法で再起動する

この手順は比較的簡単ですが、対象マシンはブルースクリーン状態であるため、ネットワーク越しに一斉操作を行うなどの対応は難しく、各マシン一台一台に対して手作業で対応する必要があります。

大規模障害を受け、情シスが行うべき対策

今後、今回のWindows大規模障害と同様の事態が発生する可能性は否定できません。情シス社員として、どのような対策を行っておくべきでしょうか。

実際のところ、「影響を防ぐ」という観点では、情シス社員にできることは限られています。今回のWindows大規模障害では、Falcon Sensorを導入した時点で影響を受けることが確定していたようなもので、たとえ自社マシンの安全性評価や定期点検などを行っていたとしても防ぎようがありません。

しかし、「影響を最小化する」という観点では情シス社員にできることもあり、主に次の2つが考えられます。

説明スキルの修得

大規模な障害が発生した際、社内で混乱が生じることがあります。そのとき情シス社員は、他部門の社員から、自社の現状報告や原因・対処法の説明などを求められるでしょう。しかし、IT分野は専門性が高く、他部門の社員には理解しにくい部分も少なくありません。そのため、専門用語や技術的な事象などを分かりやすく説明できるスキルを身につけておくことが重要です。必要な情報がスムーズに伝われば、障害の影響を最小限に抑えることができるでしょう。

健康管理の徹底

繰り返しになりますが、今回のWindows大規模障害の復旧作業は、マシン一台一台に対して手作業で対応する必要がありました。復旧作業に数日を要したケースもあったようです。このように、情シス社員の障害対応は長期間にわたるケースもあります。そのため、普段から健康管理に気を使うことも重要です。長期間にわたって高いパフォーマンスを発揮できる体力があれば、障害の影響を最小限に抑えることができるでしょう。

情シスは今後のCrowdStrike社の動向に注目したい

情シス社員としては、今後のCrowdStrike社の動向に注目したいところです。
「大きなインシデントから得られる教訓をいかして業務プロセスや企業風土の改革を行い、結果として製品やサービスの品質が向上する」といった事例が珍しくないからです。

また、世界規模の障害を発生させたということは、それだけシェア率が高く、社会から評価を受けているということでもあります。なお、CrowdStrike社をご存知なかった情シス社員の方も少なくないでしょう。ここで簡単に説明いたします。

CrowdStrike社は、2011年に創業したアメリカのサイバーセキュリティ企業です。短期間で急成長を遂げ、今や世界中の企業・公的機関の業務用マシンに同社の製品が導入されています。そしてCrowdStrike社のFalconは、同社の主力製品で、EDR分野の製品です。

EDRとは、「Endpoint Detection and Response」の略称で、セキュリティ対策のひとつです。組織内のネットワークに接続されたエンドポイントデバイス（PCやサーバーなど）の状況を監視し、マルウェアに感染していると思われるような不審な挙動を検知したときに通知・対処を行います。

なお、このEDRと関連するセキュリティ対策として、EPPがあります。EPPとは、「Endpoint Protection Platform」の略称で、パターンマッチングなどによってマルウェア侵入の検知・防御を行います。一般的にウイルス対策ソフトやアンチウイルスソフトなどと呼ばれているものは、このEPP分野の製品です。

なお、近年のサイバー攻撃の手口は極めて巧妙であるため、強力なEPP製品を導入してもマルウェアの侵入を完全に防ぐことはできません。そこでEDR製品の出番です。EDR製品はいわば事後対策用の製品で、マルウェアが既に侵入していることを前提として、その被害を最小限に抑えるようにサポートします。EDRは近年期待されている分野で、CrowdStrike社はこのEDR分野をリードする企業です。

まとめ

近年、サイバー攻撃の急増によりセキュリティ製品を積極的に採用する企業が増えていますが、今回のWindows大規模障害は、そのセキュリティ製品を起因として発生しました。皮肉な出来事ではありますが、情シス社員としては気づきや学びを得る機会でもあります。

ITの世界では障害はつきもので、いつどのようなことが起こるかわかりません。情シス社員としては、そのような状況に備え、「自社社員に適切な説明ができるよう説明スキルを身につけておくこと」「長期間にわたる障害対応にあたれるよう普段から健康管理に気を使うこと」などが重要となります。

また、大きなインシデントを経験した企業は成長する、CrowdStrike社はEDR分野をリードする企業といった点を踏まえれば、CrowdStrike社の今後の動向は注目に値するといえるでしょう。

（TEXT：松下一輝、編集：藤冨）

特集｜月曜日の朝にお送りする
「情シス『目』ニュース」

月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。

本特集はこちら