CrowdStrikeの障害で考える、ソフトウェアのアップデートとas a Service

　米国時間の2024年7月19日、世界中でPCに起きた大きな異変が注目されました。CrowdStrikeのセキュリティ対策ソフトウェアの不具合が原因で、これをインストールしている「Windows」システムやPCが停止に追い込まれたのです。不具合の原因は、本連載でも述べているas a Serviceの時代に重要なアップデートによるものでした。

　サーバーにしろ、PCにしろ、現代のITシステムは「オープンシステム」と呼ばれ、さまざまなメーカーのさまざまな製品の組み合わせで複雑に動作しています。そのため、一つの製品のアップデートにより従来とは異なる動作をして、それがシステム全体に大きな影響を与え、停止に追い込まれることは何ら不思議ではありません。

　何よりセキュリティ対策ソフトウェアによるPCの大規模障害は、初めてのことではありません。2005年には、特定のOSのバージョンでのテストを省くという信じられない人為ミス（？）により、トレンドマイクロが不具合を含むパターンファイルを配信し、CPUの使用率が100%となってPCが使えなくなってしまったり、2010年にはMcAfeeが同じくパターンファイルのバグによりWindows内の重要なシステムファイルを削除してしまうことで再起動を繰り返したりする事態を引き起こしています。

　余談ですが、2010年のMcAfeeの不具合発生時の最高技術責任者（CTO）の一人が、現CrowdStrikeの最高経営責任者（CEO）です。ちょっと笑えませんね。

　そもそも、かつてITの世界において、アップデートは慎重に行われるものでした。メーカーで厳密なテストが行われることを前提とした上で、個別の自社システムにそのアップデートを適用するに当たり、まずは検証環境に適用してテストを行い、自社固有の問題が発生しないことを確認してから、本番環境に適用するというプロセスを経て行われていました。

　しかし、アップデートを含めたシステムを維持するための運用は、ユーザーにとって重荷です。そのため、常に最新で、使える状態のものがユーザーの手元にあることが担保される、as a Serviceという概念が生まれました。ユーザーは、ソフトウェア製品を自社内設置（オンプレミス）のサーバーにインストールして所有し、維持のための運用をする必要なく、月額を払い続ける限り、最新版のソフトウェア製品を「使うだけで済む環境」が提供されるようになりました。

　ソフトウェア製品のアップデートは、クラウドの中であれば、ユーザーに負担をかけることなく自動で行われます。そうして常に最新の、使える状態を維持します。そのため、多くのソフトウェア製品で構成されたITシステムがクラウドから提供されます。オンプレミス（＝ユーザーの手元）にあるITシステムをサービス事業者が運用することは難しく、システムはサービス事業者側にある方が、はるかに効率的に運用できます。それを実現したのが「クラウドコンピューティング」という技術であり、ソフトウェア製品をas a Serviceで提供するSoftware as a Service（SaaS）という概念となります。

　かつてITシステムには、セキュリティという概念がありませんでした。一般にITシステムが広く使われるようになり、それを悪用して金もうけしようというやからが現れるようになり、急速にセキュリティが課題になりました。技術の進化が加速し、より便利に生活やビジネスの深いところでITシステムが使われると、さらにサイバー攻撃が激化していきます。

　攻撃者は、既存のITシステムを分析し、脆弱（ぜいじゃく）性を見つけ、さまざまな攻撃を仕掛けてきます。それに対してソフトウェア製品は、いち早く発見された脆弱性を解消する必要があり、アップデートがますます重要に、そして素早く行われる必要があるようになります。

　その状況においてSaaSはうってつけでした。サブスクリプションというビジネスモデルの優秀さも手伝って、ソフトウェア製品ベンダーはこぞって自社製品の提供方法をSaaS、サブスクリプションへ移行させていきます。