Windowsのクラッシュで影響を受けた業界と教訓 - 合計損失額は54億ドル

先週末に世界中を襲ったCrowdStrikeのセキュリティソリューションのアップデートに伴うMicrosoft Windowsの世界的な障害。同社を採用していたFortune 500企業の損失額の累計が54億ドルにのぼるという試算が出ているほか、今後への教訓もあるようだ。なお、Microsoftは今回の損失の計算の対象外となっている。

サーバ保険でカバーできる割合は？

CrowdStrikeは自社Webサイトで、Fortune 500企業のうち298社を顧客としている。今回の障害による影響を受けたのは合計で125社だという。

この中には、Fortune 500にランクインしているすべての航空会社(6社)が含まれているほか、医療機関と金融機関では約75%、小売業は43%が含まれてい。クラウドモニタリングや保険サービスを提供するParametrixが7月24日、レポートを公開した。

• 

  Fortune 500における業種別のインパクト率

レポートでは、Fortune 500企業のうち、今回の障害による直接的な財務上の打撃が最も大きかったのはヘルスケア分野で、合計で約19億3800万ドルの損害を被ったとしている。次いで、金融機関の役損害額は11億4900万ドルとなり、航空会社は約8億6000万ドルと試算されている。対照的にソフトウェアやIT関連サービスの業界は影響が最も少ない業種の1つとなった。

1社あたり推定損失額は4364万ドル。最も低い業界は製造の約600万ドル、最も高いのは航空の約1億4300万ドルとのこと。このような損失に対して、サイバー保険がカバーされるのは10%～20%にとどまるだろうと推測。

IT業界はクラウドのVMにLinux OSを導入しているため影響が少なかった

レポートでは、ソフトウェアやIT関連サービスの業界は最も影響が少なかった業種の1つに挙げられており、これはクラウドの仮想マシンにLinux OSを導入している企業が多いからだという。このような環境の多様化により同様の事象が発生した場合、広範囲に影響を及ぼすリスクを低減できるだろうとの認識だ。

さらに、CrowdStrikeの障害による影響はAWS(Amazon Web Services)、Microsoft Azure、Google Cloudなどのサービスプロバイダの障害とは明らかに異なるという。とうのも、CrowdStrikeのシステムをオンプレミスとクラウドインフラストラクチャの両方に導入しているユーザーの組み合わせによるものとことだ。

例えば、ヘルスケアプロバイダーはCrowdStrikeの重要なユーザーであり、今回の障害で大きな影響を受けたが、ParametrixがAWS、Azure、GCPの障害がフォーチュン500社に与える影響を分析したところ、同じヘルスケアプロバイダーは低いエクスポージャーを示した。

そのため、クラウドベースのサービスプロバイダーが関与する将来のシステム障害をモデル化するための主要なデータポイントとして、CrowdStrikeのイベントだけに頼るべきではないと指摘。予防に重点を置くことは重要ではあるものの、障害の発生やサービスプロバイダーの展開方法に影響を及ぼすことは限られているという。

サービスプロバイダーのアグリゲーション(集約)リスクのマッピング・管理・評価など、自らがコントロールできる分野に集中すべきであり、集約ポイントを明確に把握することで、集約された主要サービスの露出度を評価するツールを活用することができ、悪意のある脅威と悪意のない脅威の両方に対して、露出度を軽減することができるとのことだ。