【特集】クラウドストライクの世界的な障害発生における解決策とは
クラウドストライクの大規模障害について - 5分でわかる影響と原因
2024年7月19日、セキュリティ企業クラウドストライクは大規模な障害に見舞われ、多くの企業が影響を受けました。この障害はクラウドストライクの主要なセキュリティサービスに影響を及ぼし、多くの顧客が一時的にサービスを利用できなくなりました。
障害の概要
今回の障害は、日本時間の午前9時頃に発生し、数時間にわたり続きました。クラウドストライクのエンドポイントセキュリティ、脅威インテリジェンス、ログ管理などのサービスが影響を受けました。具体的な原因は現在調査中ですが、初期の報告ではシステムのアップデートに関連する問題が原因とされています。
発生要因と内容
このバグにより、2024年7月18日にFalconを利用している世界中のWindows搭載PCがブルースクリーンとなる事象が発生しました。同7月20日には、米Microsoft(マイクロソフト)が世界で850万台のWindows端末が影響を受けたと発表しました。
Windowsのシステム障害の原因となったのは、チャネルファイル名「C-00000291-」から始まるもので、拡張子は「.sys」がロジックエラーとなり、クラッシュする、という
- データベースの不整合
アップデートによりデータベースの一部が壊れ、一部のサービスが正常に動作しなくなりました。
- 通信エラー
新しいモジュールが既存のネットワークプロトコルと互換性がないため、エンドポイント間の通信が阻害されました。
- セキュリティポリシーの不適合
一部の新しいセキュリティポリシーが誤って適用され、誤検知やサービス停止を引き起こしました。
影響範囲
今回の障害により、多くの企業が一時的にセキュリティサービスを利用できず、脅威に対する防御が弱体化しました。特に、金融機関や医療機関などの重要インフラが影響を受けたことが報告されています。
ビジネス的損失額は1600億円
5000便以上の民間航空便の欠航や医療機関など、世界的な混乱とビジネスの停止による機会損失は、米CDKグローバルがサイバー攻撃による被害にあった際の経済損失が約10億ドルであったことから、今回のその規模を超えるものとして、予測されています。
クラウドストライクの対応
クラウドストライクは迅速に障害対応を開始し、数時間内にサービスの復旧を完了しました。同社は公式ウェブサイトおよびSNSを通じて、影響を受けた顧客に対し定期的に状況を報告しました。また、顧客のセキュリティリスクを最小限に抑えるための対策を講じることを約束しました。
手動での修復作業方法についてはこちら。 マイクロソフト公式HP
今後、我々が取るべき行動は?
今回のような「史上最大のIT(情報技術)障害」を受けて、イーロン・マスクCEO(最高経営責任者)が同日、「全てのシステムからクラウドストライクを削除した」とX(旧ツイッター)に投稿していたことも話題になりました。現在セキュリティ関連のメーカーを検討している人や現在導入している企業にとっては、かなり衝撃的なニュース。
システムの見直し、選定をし直すことも視野に入れ、より強固なソフトへ乗り換えることを検討すべきでしょう。
EDR THREE SELECTIONS
これを選んでおけば間違いない
「検知率100%」のEDR御三家(※1)
様々なEDRがある中でも、MITRE ATT&CK評価にて、検知率100%を獲得している3製品をご紹介。これら3つの製品は、既存のウイルス対策ソフトをベースに開発されたものではなく、当初から「EDR」として開発されたものばかり。
この中から選べば間違いない、というEDRをそれぞれの特徴からおすすめの業界、企業を抽出しています。EDR導入の参考にしてください。
ISMAP認証を取得しているので
自治体・官公庁などにおすすめ
サイバーリーズン
※引用元:アクト サイバーリーズンページ(https://ip.act1.co.jp/cr-soc)
サイバーリーズンはこんなEDR
複雑なサイバー攻撃を全体把握し、時系列で状況把握がしやすいEDR
- 日本政府が運営する情報システムのセキュリティ管理および評価プログラムの認証を獲得
- ビッグデータ解析によるサイバー攻撃の把握
- ほかの端末への感染状況を即座に特定
- 時系列表示に整理された管理画面
自律型AI搭載・ロールバック機能搭載で
医療や製造業などにおすすめ
センチネルワン
※引用元:アクト センチネルワンページ(https://act1.co.jp/lp/sentinelone/)
センチネルワンはこんなEDR
AIによる脅威の隔離、修復、排除を自動でできるので社内リソースを最小限に抑えた運用が実現できるEDR
- 既知のマルウェアの事前排除
- クラウド展開で迅速に実装可能
- AIでインシデントになりえる部分だけをスキャンし、低負荷の実現
- ワンクリックで自動復旧
- 1ライセンスから購入可能
複数のデバイスを一元管理できるので、
小売チェーンなどにおすすめ
クラウドストライク
※引用元:MACNICAのクラウドストライクページ(https://www.macnica.co.jp/business/security/manufacturers/crowdstrike/)
クラウドストライクはこんなEDR
複数拠点、多くのデバイスを一元管理し、遠隔隔離などが実施できるEDR
- 端末の遠隔隔離機能
- 様々な機能を一つのプラットフォームで管理
- 脅威のランク付けにより優先して対応すべき事象の可視化
御三家EDRを導入できる
おすすめベンダーをチェック
クラウドストライクの株価
2024年7月23日16時時点の株価は、263.91 USD −41.05 (13.46%)となっています。
【SOCの対応範囲別】
EDR+SOCを提供しているおすすめベンダー2選
「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供するパートナーの中でも、SOCサービスに強みのあるベンダーを紹介します。
株式会社アクト
※引用元:アクト公式HP(https://act1.co.jp/cybersecurity/)
提供するのはこんなSOCサービス
24時間体制での監視・対応はもちろん、ホワイト/ブラックリスト登録や、感染影響の排除までを能動的にすべて対応。情シス側は作業報告を受けるだけで良いため、自社にリソースがない企業におすすめ。
対応サービス一例
24時間365日の監視
危険度が高い場合の自動隔離 |
〇 |
| アラート内容の精査 |
〇 |
⼀次調査+⼆次調査
(レポート含む) |
〇 |
| ホワイトリスト/ブラックリスト登録 |
〇
(能動的) |
感染影響の排除
(マルウェア・不正ファイルの削除など) |
〇
(能動的) |
クロスポイントソリューション
株式会社
※引用元:公式HP(https://cp-sol.co.jp/)
提供するのはこんなSOCサービス
日々のアラートをアナリストが精査・分析したうえで、通知。情シス側はその通知の指示やアドバイスに沿って対応するだけ。
自社のリソースをある程度活用しながら運用していきたい企業におすすめ。
対応サービス一例
24時間365日の監視
危険度が高い場合の自動隔離 |
〇 |
| アラート内容の精査 |
〇 |
⼀次調査+⼆次調査
(レポート含む) |
〇 |
| ホワイトリスト/ブラックリスト登録 |
△
(受動的) |
感染影響の排除
(マルウェア・不正ファイルの削除など) |
△
(推奨対応を提示) |
【選定理由】Google検索「EDR 導入」でヒットしたベンダー40社の内、「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供している企業を調査。それぞれ以下の理由で選定しました(2023年2月15日調査時点)。
株式会社アクト:国内で唯一センチネルワンの公認IRパートナー(2023年2月時点)かつSOC運用を全般的に任せられる企業(※1)。
クロスポイントソリューション株式会社:セキュリティ運用・監視サービスを提供できるパートナーとしてのメーカー認定を持っており、なおかつ「24時間365日の監視」「アラート内容の精査」「⼀次調査+⼆次調査」の能動的な対応が唯一可能な企業。
※1参照元:センチネルワン公式HP(https://jp.sentinelone.com/press/act-co-ltd-signs-an-incident-response-partner-agreement-with-sentinelone-the-first-company-based-in-japan/)
