セキュリティソフトウェアに対する信頼をどう考えるべきか

　CrowdStrikeのセキュリティソフトウェアの不具合により7月19日に発生した「Windows」の障害は、世界中に大きな影響を与える事態になった。この出来事は、一般向けのメディアも大きく取り上げ、その中には「謎のセキュリティ企業が起した不祥事」と厳しく糾弾する論調もある。しかしIT業界の関係者は、一様に「ITの安全を守るセキュリティ製品への信頼が揺らぐべきではない」と話す。セキュリティソフトの信頼をどう考えていくべきだろうか。

　まず今回の出来事で明確なのは、サイバー攻撃などが原因ではなく、CrowdStrikeが製品のアップデートを提供する過程で不具合を発見できなかった点だ。このことは、CrowdStrike自身が認めており、同24日に公開したブログで、「事後調査の予備的な報告」としつつ、不具合を発見できなかった経緯を報告している。

　米ZDNETの記事でEd Bott氏が言及しているように、セキュリティ製品に起因する問題が大きな影響を与えたケースは、今回が初めてではない。セキュリティソフトウェアは、その役割の重要性からOSと密に連携して高度な権限のもとで動作する必要があり、開発元のベンダーは、極めて入念かつ慎重に、幾多のテストと検証を重ねて製品の品質の確保に努めている。

　サイバー攻撃などの脅威は高度化、巧妙化が進む一方で、それに対峙（たいじ）するセキュリティ製品の技術や機能も常に進化しなければならない状況にある。近年のサイバー攻撃は「環境寄生型」と言われ、攻撃者は正規のソフトウェアの動作に便乗して攻撃活動を展開するようになり、現代のセキュリティソフトウェアは、一見するとOSの正しい実行処理に映る状況を高度に監視、分析して、攻撃者の巧妙な手口を検知、遮断して、システムを防御する。

　ただ、このような現在のセキュリティソフトウェアの位置付けや状況は、セキュリティ対策に携わる立場でなければ、なかなか理解されない面もあるだろう。Microsoftによれば、今回のCrowdStrike製品の不具合で障害が発生したWindowsは全体の1％未満としているが、世界で10億台以上とされるWindowsの普及規模からは、それでも多くのシステムに影響する事態となった。さらに、CrowdStrikeのセキュリティソフトウェアは法人を対象にしているため、一般の個人はもとより法人内でもITやセキュリティ部門以外の人々には、その存在があまり知られていないという事情もあった。

　今回の出来事は、こうしたさまざまな背景や状況が重なり合ったことで、結果的に大きく注目され、セキュリティソフトウェアの存在意義を問う議論をも招いてしまっただろう。もちろん、「ブルースクリーン」というWindowsのトラブルの中でもとりわけ対応が困難な事態に陥ったことは残念で、そのために多くの組織でITやセキュリティの担当者が休日を返上して復旧に当たらなければならない状況となったことに対する責任は極めて大きい。

　それでもIT業界の関係者が一様に、セキュリティ製品の信頼が揺らぐべきではないとするのは、セキュリティ製品がインターネットの普及とともに拡大したサイバー攻撃などの脅威からユーザーを保護するという意義と実績があるからになる。

　今回の当事者のCrowdStrikeは、最高経営責任者（CEO）のGeorge Kurtz氏が同社の非を認めて謝罪を表明。迅速に原因調査を開始し、復旧手段を提供した。また、影響を被る側となってしまったMicrosoftも早期に修復方法を提供しており、両社は、世界中のユーザーを脅威から守るというサイバーセキュリティの原理原則に従い、今回の事態にできる限りの対応を進めていると言えるだろう。

　アイデンティティーセキュリティを手掛ける米Saviynt 戦略担当シニアバイスプレジデントのHenrique Teixeria氏は、「われわれベンダーには、サポートを果たす責任があり、CrowdStrikeでは残念なことが起きてしまった。しかし、同業を含め失敗について当事者を攻撃することは何も良い結果を生まず、するべきではない。この出来事における最大の教訓は、セキュリティ業界として適切な対応とは何かを理解することだろう」と話す。

　同じセキュリティベンダーとして、「ミスを100％防ぐことはできないが、適切に対応することはできる。業界や顧客、サービスに期待を寄せる人々が迅速に問題を把握し、責任を持って対応することが重要になる。私は、CrowdStrikeのCEOが全ての責任を引き受け、迅速に対応したことは非常に良かったと思う。われわれが主とするアイデンティティーの保護でも同じであり、ミスは起こり得るとして、ミスを検知し、迅速かつ確実に対応できる態勢を整えておく必要がある。重要なのことは、スピードと透明性、そして、問題を避けて通らないことだ」と述べている。

　また、米Gartnerでインフラセキュリティ分野を担当するシニアバイスプレジデント アナリストのChris Silva氏は、「ソフトウェアのアップデートについて慎重に考える機会になっただろう」と指摘する。Silva氏は、ソフトウェアのアップデートが良質な製品を迅速に提供する目的で設計されているとしつつ、この仕組みを悪用するサイバー攻撃などの脅威も存在すると説く。

　「セキュリティを含め、われわれはソフトウェアベンダーの仕組みに関連する問題を何度も目にしてきている。その中には、ベンダーの仕組みが侵害され、ユーザーに甚大な被害が生じたケースもあった。現代は多くの組織がソフトウェアベンダーの製品を利用しており、ソフトウェアのアップデートがもたらす問題は、どのようなベンダーであっても今後も起きるだろう。われわれは、どの程度のスピードが最新のソフトウェアを展開する上で適切なのか、ベンダーをどのくらい信頼するのかをもう少し慎重に考えてみても良いだろう」

　さらに、「（ITの安全を維持することを人任せにせず）ソフトウェアやツールに任せるべきだという考え方もあるが、それが正しいことなのかを含め、人々が事の本質を再考しなければならない機会となった」とも述べる。

　ITの安全を守るセキュリティソフトウェアの意義を疑うべきではないだろう。ただし、サイバーセキュリティにおいて「100％安全」ということは絶対にあり得ない。また、セキュリティに限らずソフトウェア自体が人の手で開発されるものである以上、問題が絶対に起きないソフトウェアも存在しない。

　これらは当然の本質だが、時に見落としてしないがちなのかもしれない。セキュリティソフトウェアの意義を真剣に実現していく姿勢がベンダーに求められるのはもちろんのこと、ユーザーもソフトウェアの意義とリスクを正しく捉えて、適切に対応していくことが必要だろう。