CrowdStrike 事案の振り返り：たった一度のアップデートが、世界中のシステムを停止させた日

CrowdStrikeは、米国テキサス州オースティンに拠点を置くサイバーセキュリティ企業です。同社は、さまざまな業界のあらゆる規模の顧客に対し、エンドポイント保護、脅威インテリジェンス、およびインシデント対応サービスを提供しています。CrowdStrikeの中核技術である「Falcon」プラットフォームは、クラウド経由で提供される技術を活用し、マルウェアやその他の攻撃を阻止することで、セキュリティ侵害を防ぎます。

CrowdStrikeは卓越した実績を誇り、優れた企業です。顧客や競合他社からも、業界をリードするトップクラスの組織として認識されています。その印象的な顧客リストと世界的な展開は、同社の成功を裏付けています。

2024年7月19日（金）の定期的な運用アップデートの一環として、CrowdStrikeは、新たな脅威の手法に関するテレメトリデータを収集するため、Windowsセンサーの設定更新を配信しました。この更新には、変化する脅威の状況に運用速度で対応することを目的とした「Rapid Response Content」の変更が含まれていました。このRapid Response Contentの更新には検出されなかったエラーが含まれており、その結果、Windowsシステムのクラッシュが発生しました。このエラーおよび影響を受けたシステムに関する詳細情報はこちらでご確認いただけます。

このクラッシュは、過去の事象に基づいて予見または予測されたものではなく、その結果生じた損害や不便も予想または予測されていませんでした。このインシデントは、世界中で少なくとも850万台のWindowsデバイスに影響を及ぼし（ただし、Microsoftは現在、影響を受けたデバイスの数はそれ以上であったと見ている）、業界や地域を問わず大規模なサービス障害を引き起こしました。

インシデント発生当初、CrowdStrikeは直ちに事態の収拾に乗り出し、危機に対する迅速かつ透明性のある対応は称賛に値します。

世界最大規模のワークステーション停止

迅速な対応にもかかわらず、CrowdStrikeはその後続いたIT障害の雪崩を食い止めることはできませんでした。Wired誌で引用されたWithSecureの最高研究責任者ミッコ・ヒッポネン氏は次のように述べています。「これは史上最大の事例です。これほど大規模な世界的なワークステーションの停止はかつてありませんでした。」保険会社Parametrixによると、マイクロソフトを除く米国のフォーチュン500企業は、CrowdStrikeのインシデントにより推定54億ドルの経済的損失に直面しているとのことです。

企業は「未知の未知」からどのように防御し、サイバーセキュリティの脆弱性を軽減できるのでしょうか？

CrowdStrikeは、このインシデントに至った経緯を文書化し、公開した。しかし、その余波を受け、世界中の企業は（あるいはそうすべきである）、以下を含むインシデント対応戦略と計画の評価を行っている。

• 人間とAIによる監視を伴う、継続的かつ堅牢な自動テスト手順とプロトコル
• インシデント対応戦略、計画、および手順：
• 継続的な学習と適応
• 継続的なテストとトレーニング

Salesforce のセキュリティ確保：見過ごされがちな「既知の既知」への防御

このインシデントから得られた教訓の一つは、セキュリティチームがより明白なITの脆弱性、すなわち「既知の既知」に対して対策を強化し、既存のギャップを埋める必要があるということです。

例えば、フォーチュン500企業のほぼすべてが、顧客関係管理（CRM）にSalesforceを利用しています。しかし、それらの企業の多くは、Salesforceが自社製品のセキュリティ面すべてを責任を持って管理していると想定しています。確かにSalesforceは責任を負っていますが、それはある程度までです。

ほとんどのクラウドプロバイダーが採用している共同責任モデル（SRM）は、Salesforceのセキュリティ確保においても適用されています。このセキュリティおよびコンプライアンスアーキテクチャモデルは、ハードウェア、インフラストラクチャ、エンドポイント、データ、構成、設定、オペレーティングシステム、ネットワーク制御、アクセス権など、クラウド環境のセキュリティ確保におけるクラウドプロバイダーと顧客それぞれの責任範囲を明確にしています。

例えば、Salesforceは受信データをサイバー脅威に対してスキャンしません。それは顧客であるあなたの責任です。

WithSecure™ Cloud Protection for Salesforce：Salesforceと共に、Salesforce のために設計

WithSecure Cloud Protection for Salesforceは、Salesforce環境内で動作するネイティブアプリケーションです。このアプリは、ファイル、Webリンク、電子メールメッセージを介して、悪意のあるコンテンツや許可されていないコンテンツがSalesforce環境に侵入するのを防ぎます。

WithSecure Cloud Protection for Salesforceは、Salesforce上の高度なサイバー脅威を軽減するために、Salesforceのセキュリティ確保に重点を置いています。その特徴は以下の通りです：

• 環境全体に対するリアルタイムの保護と即時の可視性を提供
• カスタマイズやワークフローとシームレスに連携
• Salesforceが提供するインフラセキュリティ制御を完全に補完

WithSecure Cloud Protection for Salesforceは、多数の認証を取得したソリューションです。現代の企業や重要な公共機関が求める厳格なコンプライアンス要件を満たしています。さらに、Salesforceのセキュリティを強化するための理想的な選択肢です。WithSecure Cloud Protection for Salesforceは、Salesforceと共に、Salesforceのために設計されました。

また、Salesforceも本ソリューションの使用を推奨しています。

未知の未知の脅威に対する防御は不可能かもしれませんが、「既知の既知の脅威」に対する防御とSalesforceのセキュリティ確保は、はるかに容易です。WithSecure Cloud Protection for Salesforceについて詳しく知るか、以下のフォームから弊社チームにご連絡いただき、Salesforceのセキュリティ要件についてご相談ください。