こんにちは。弁護士の浅見隆行です。
2024年7月19日14時頃から、世界規模でWindowsPCの「ブルースクリーン」が発生し、再起動が繰り返される状態になってしまう障害が発生しました。
Xを見ていても、「突如ブルースクリーンになった」「再起動が延々に繰り返される」などの声が見られ、阿鼻叫喚の状態でした。
Windows PC ブルースクリーンの無限再起動
WindowsPCに障害が世界同時に発生した原因となったのは、ランサムウエアなどハッキングの脅威に対する、セキュリティーソフトを提供するクラウドストライクでした。
クラウドストライクは法人向けのセキュリティソフトのシェアは世界の約18%を占めているとも報道されており、アメリカではすべての飛行機が発着できず、日本では日本航空の国際線予約システムで予約ができなくなる、JR西日本では列車の走行位置を表示サービスが使えなくなる、自販機がブルースクリーンになるなど、今回の障害の影響にあった業種は多岐にわたっています。
クラウドストライクからは、「WindowsホストのFalconコンテンツ更新で見つかった欠陥が原因」であり、セキュリティ攻撃やサイバー攻撃ではない、との声明が発表されています(英文直訳なので、日本語としてまったくこなれていません。危機管理広報としては評価できない声明です)。
また、クラウドストライクは復旧方法を提示していますが、OSであるWindowsが正常に起動しなくなった今回のケースでは、情報システム部門が対処しなけばならないなど、復旧にも困難が伴うとも指摘されています。
事業継続に関わるリスクとして認識し、今後のリスク分散を考える必要性
企業はリスクマネジメントの観点からは、今回のトラブルを事業継続に関わるリスクとして今後認識する必要があります。
事業継続計画(BCP)の一つと言っても良いでしょう。
今回問題になったクラウドストライクのソフトウェアは近時増加しているランサムウエア攻撃やハッキングなどを防止するためのもので、従来のウイルス対策用のソフトウェアとは位置づけが異なります。
クラウドストライクが提供するソフトウエアのタイプは、旧来の限定的なセキュリティーソフトウエアとは異なる。従来のウイルス対策ソフトは、既知のマルウエアの兆候を見つけ出す能力という点で、コンピューティングやインターネットの黎明(れいめい)期には有用だったが、攻撃の手口がより巧妙になるにつれて利用されなくなった。クラウドストライクが開発する「エンドポイントでの検知と対応(EDR)」ソフトウエアとして知られる製品は、疑わしい活動の兆候がないかマシンを継続的にスキャンし、自動的に対応する。
ただこれを行うためには、コンピューターのオペレーティングシステムの中核部分にセキュリティー上の欠陥がないかを検査するためのアクセス権を、そうしたプログラムに与える必要がある。このアクセスは、そうしたプログラムが守ろうとしているシステムを混乱させる能力を与えることにもなる。19日にマイクロソフトの基本ソフト(OS)「ウィンドウズ」が機能停止に陥ったのは、まさにそれが原因だった。
ランサムウエア攻撃や不正アクセスをリスクと捉え、情報セキュリティに対する危機意識が高い企業であればあるほど、導入していたソフトウェアとも言えます。
おそらく導入する際には、ソフトウェアそのもののリスクを評価し、「問題がない」と判断したうえで導入に踏み切っていると思います。
この導入プロセスそのものは問題がないと思います。
しかし、OSへのアクセス権を付与を必要とするソフトウェアなので、ソフトウェアに不具合が生じれば、OSにも障害が一斉に発生するリスク、その結果、事業が継続できなくなるリスクは高まります。
これはソフトウェアに限らず、OSそのもに不具合が生じた時も同じです。
そうだとすれば、取締役・取締役会は内部統制システムの「情報の保存・管理体制」のあるべき姿として、障害発生による事業継続のリスクを分散させる意識を持つことが求められます。
昔から、リスク分散のために、役員など中核人材が飛行機に乗る時には同じ飛行機に乗らない、と言われています。
その発想と同様に考えると、
- OSへのアクセス権を付与するタイプのソフトを全社一斉導入するのは止める
- 半分はA社のソフトウェア、半分はB社のソフトウェアなどとソフトウェアを使い分ける
- 日頃から半分はWindows、半分はMacにするなどOSを使い分ける
などを、今後は検討していく必要があるのではないでしょうか。
ちなみに、私の場合は、以前から事務所のPCはWindows、ノートPCはMacと、OSを使い分けています。
今回の「ブルースクリーン」祭に巻きこまれた会社はもちろん、自社では発生しなかった会社も今後のリスク分散を考える良い機会にしてください。
