日本時間2024年7月19日、CrowdStrike社のエンドポイント保護プラットフォームのソフトウェア更新に不具合が生じ、世界中で多くの企業・組織やサービスが影響を受けました。本記事では、この一件から浮き彫りになったデジタル・レジリエンスの重要性と企業に求められる対応について解説します。
今回の障害では、約850万台のWindows搭載デバイスが影響を受け、世界中のさまざまな領域のサービスに混乱をもたらしました。CrowdStrike社は、迅速に修正プログラムを提供したものの、復旧に物理的なアクセスを必要とするシステムが多く混乱は長引きました。何千ものフライトがキャンセルになり、銀行システム、緊急サービスや医療予約システムなどが停止し、ライブ配信が中断するなど、さまざま領域で混乱が起こりました。本件は、悪意のある攻撃によるもではないと見られていますが、障害の規模は、2017年のWannaCryやNotPetyaのような大規模な破壊的サイバー攻撃を凌ぐものでした。障害発生から数時間以内にフィッシング詐欺を仕掛け、なりすましの悪質なドメインを作成するなど、この混乱に便乗したサイバー犯罪者による悪用も見られました。
デジタル・レジリエンスの重要性
今回の障害は、前例のない規模の混乱をもたらしましたが、最悪のシナリオではありませんでした。多くのデバイスに直接アクセスし、影響を受けたシステムを再起動する必要があったものの、CrowdStrike社は迅速に修正プログラムを発行しました。また、故意または悪意のある攻撃によって引き起こされた形跡がない事も重要な点です。より幅広く普及しているツールやサービス・プロバイダーが、悪意を持った攻撃を受けた場合、甚大な影響を受けるでしょう。
デジタルテクノロジーを利用したシステミックリスクが増加し続けていることが、この世界的な混乱から浮き彫りになりました。こうしたリスクに対処するには、デジタル・レジリエンスの構築が重要です。デジタル・レジリエンスの構築に必要なのは、サプライヤーの多様化、戦略的パートナーシップ、効果的な事業継続計画(BCP)です。混乱が起きた際の対応計画を立て、主要なサプライヤーに混乱が生じた場合にも、自社の重要サービスが継続できるようにすることが求められます。そして、リスク、オペレーション、調達、サプライヤー管理などの部門が、緊密に連携することが重要です。
企業・組織は、進化するリスク環境を反映し、過去の混乱から学んだ教訓を盛り込んだ、脅威主導の事業継続計画(BCP)を定期的に更新することが求められます。これには、脅威とサプライチェーンのリスク評価、混乱シナリオのシミュレーション、危機管理、コミュニケーション、復旧に向けた明確なプロトコルの確立が含まれます。
集中リスクの理解
デジタルエコシステムにおける「集中」という問題も浮き彫りになりました。クラウドサービスプロバイダーなど、少数の主要プロバイダーへの依存度が高まることで、多くの企業が共通して抱える脆弱性が増えています。この現象は、生成AIのような新興テクノロジーも当てはまります。
相互接続性のリスクを管理するには
テクノロジカル・サプライチェーンの相互接続性は、一つの障害から連鎖的な影響が広がるリスクをさらに高めます。こうした相互接続関係を理解することは、効果的なリスク管理にとって極めて重要です。サプライチェーンリスクを特定・評価・管理するために、デジタルリスクとサイバーセキュリティ業務においても、サードパーティリスクを包括的に管理することが求められます。
事業継続計画や災害復旧計画に主要なサードパーティを含めることも重要です。効果的な計画を備え、事前に完全なフェイルオーバー・シナリオを演習していた企業・組織は、今回の障害に直面しても迅速に復旧対応できました。例えば、コントロール・リスクスのお客様であるA社は、事業継続計画とインシデント対応計画を迅速に発動しました。A社は最近、ランサムウェア感染を想定した復旧シナリオの演習を実施しており、エンドポイントデバイスの大量復旧に備える必要性を認識していたため、インシデント発生から数時間以内に資産のほぼ全てを復旧できました。
変化する規制への対応
NIST(米国立標準技術研究所)が発行したCybersecurity Framework(NIST CSF 2.0) のような新たなグローバル・サイバーセキュリティ基準は、デジタル・レジリエンスとサードパーティリスク管理が重要視されていることを反映しています。EU のネットワークおよび情報セキュリティ指令( NIS2 )やデジタル・オペレーショナル・レジリエンスに関する規制(DORA)なども、レジリエンスとサードパーティリスク管理に焦点を当てています。中国のサイバーセキュリティ法(CSL)などの法律も、より多くのセクターや重要なエンティティを含めるために定期的に更新されています。侵害やインシデントの通知要件が強化されていることからも明らかなように、各国政府は、グローバルなデジタル・エコシステムの混乱が、連鎖的な影響を及ぼすことを理解し法規制に反映しています。
規制はただ遵守するものではなく、デジタル・レジリエンスを迅速に構築するための機会として捉えるべきです。デジタル・レジリエンスには、強固なサプライチェーン管理、厳格なインシデント報告、包括的な事業継続 計画が必要であり、これらの要素は各国の規制にも組み込まれています。
デジタル・レジリエンス向上に向けて
デジタル・レジリエンスの重要性はこれまで以上に増しています。企業・組織は下記のような問いを 用いて、自組織のレジリエンスを見直してみましょう。
- 主要サプライヤー(特に主要なテクノロジープロバイダー)に関するリスクを適切に評価しているか
- インシデント対応や危機管理訓練において、サードパーティに起因した問題による業務中断を想定した演習は含まれているか
- NIST 2.0やNIS2などの現行のサイバーセキュリティや規制のフレームワーク、特にそのガバナンス原則との整合性はどの程度とれているか&
- 経営戦略の中で、デジタル・レジリエンスの重要性を的確に定義しており、デジタル・エコシステムの利点を最大化するために、組織全体で連携・協力できているか
これらの課題に取り組み、デジタルレジリエンス向上に向けて積極的に取り組むことで、企業・組織は将来の混乱から自組織を守りながら、デジタル・トランスフォーメーションを推進しビジネス成長につなげることができます。コントロール・リスクスでは、サイバーセキュリティやデジタル関連リスクに精通した専門家とERM・BCPの専門家が連携し、企業・組織のデジタルレジリエンス向上に向けた支援を行っています。ご関心やご相談事項がありましたら、ぜひ下記フォームからお問合せください。