サードパーティのリスク管理への警鐘？

ITの嵐を乗り切るために：障害と組織の回復力に関するシリーズ

今日のデジタル環境では、IT障害が発生するかどうかではなく、いつ発生するかが問題です。最近のCrowdStrikeの事件で見られたように、グローバルなプラットフォームでさえ、不測の事態の犠牲になる可能性があります。人為的ミス、破損、あるいはサイバー攻撃によるものであれ、これは今後も起こり続けるでしょう。

このブログ投稿は、私たち一人ひとりが頼りにしているさまざまなテクノロジーにおけるサードパーティのリスクを探るための重要なシリーズの第1回目です。

このシリーズを通して、クラウド侵害からサプライチェーンのランサムウェア攻撃まで、さまざまなタイプのインシデントを掘り下げていきます。私たちの目標は、このような混乱を乗り切るだけでなく、より強く、よりレジリエントになるために必要な知識とツールを身につけることです。

最初の投稿では、最近のCrowdStrikeの障害をケーススタディとして取り上げ、それをきっかけに、ヒューマンエラー、サードパーティのリスク管理、ITの混乱に備え、それに対応するために組織が取るべき重要な手順など、より広範なテーマについて議論します。

一緒にこの旅に出るにあたり、いくつか良いことを思い出してください。IT における備えとは、災害を防ぐことだけではなく、災害が必然的に発生したときに、より強く立ち直るための能力を構築することなのです。

CrowdStrike事件の説明

Windows用のFalconセンサー（バージョン7.11以上）を実行していたCrowdStrikeの顧客は、システムクラッシュを経験しました。これは、CrowdStrikeがWindowsシステム向けにセンサーの設定アップデートをリリースした後に発生し、影響を受けたシステムでシステムクラッシュとブルースクリーン オブ デス（BSOD）が発生しました。これは、大手航空会社、旅行、ホスピタリティ、病院、電子商取引など、世界中のシステムに大きな影響を与えました。これは犯罪的なサイバー攻撃ではなく、単純な人為的ミスでした。簡単に読むには、最近の障害に関する多くの人の一人であるArchitecting ITのChris Evansが、次のようにシェアしています：「解説：重要インフラと連帯責任」。

HYCUのCEO兼創設者であるサイモン・テイラーの引用の画像

マイクロソフトはまた、影響を受けた顧客向けの修復ガイドを公開しました。"Helping Our Customers Through the CrowdStrike Outage."も公開しています。

「史上最大のIT障害」の原因はヒューマンエラー

ヒューマンエラーは避けられず、すべての組織に影響を与えます。今回はたまたま、何百万台ものPCやシステムをグローバルにカバーする、重要なサードパーティのサービスで発生しました。しかし、世界中の組織に影響を与えるような障害やサードパーティのインシデントは、これが最初でも最後でもありません。ここで学んだ教訓は、サードパーティのいかなる障害にも耐性を持たなければならないということです。以下は、すべての組織が取るべき3つのステップです：

ステップ1:早急な修復

CrowdStrikeは、BSODの影響を受けたリモートユーザー向けに、修復ガイドとビデオをすでにリリースしています。マイクロソフトはまた、修復プロセスを迅速化するために、2つの修復オプションを備えた新しいリカバリ ツールをリリースしました。しかし、サイバー犯罪者がこのインシデントを利用し、CrowdStrikeの顧客を直接ターゲットにしていることがすでに確認されているため、CrowdStrikeとMicrosoftが直接提供するガイダンスと修復の指示にのみ従うようにしてください。

ステップ2：オンプレミスの本番システムの回復力を確保する

サードパーティのリスク管理に関する私たちのエネルギーのほとんどは、パブリッククラウドやSaaSアプリケーションに集中しているため、データセンターサービスを当然のものと考えてしまいがちです。サードパーティのシステムクラッシュであれ、サイバー攻撃であれ、オンプレミスで重要なアプリケーションを実行しているすべての組織は、次のことを実施する必要があります：

• ディザスタ リカバリソリューションは、別の施設またはパブリック クラウドへのフェイルオーバー機能を備えています
• 包括的なバックアップポイント イン タイムまたは一括リカバリで、アプリケーションを意識しています。つまり、ポイントインタイム復元と迅速なリカバリーが可能です。

• 不変バックアップ論理的に分離されたバックアップにより、大規模な破損やサイバー攻撃の際にもアクセス可能な安全なオフサイトコピーを確保します。 しかし、これらのサービスにも、停止、破損、データ損失のリスクがあります。これらの企業は堅牢な可用性とセキュリティを提供しますが、人為的なミスにより、ダウンタイム、データ損失、または破損につながるサードパーティのリスクが常に存在します。 年金基金がベンダーによって誤ってアカウントを削除されたなど）、あるいはサイバーセキュリティ企業とそのテナントがサプライ チェーン攻撃を受けたなど。

  それに備えるには、適切なサードパーティのリスク管理を確保する必要があります。欧州連合（EU）は、デジタル・オペレーション・レジリエンス（DORA）法を発表し、ICT（SaaSやクラウドアプリケーションなど）に対するサードパーティリスク管理の枠組みを持つことを組織に明確に求めています。この広範なフレームワークは、サードパーティのリスクからアプリケーションを保護する必要性を強調しています。要件には次のようなものがあります： entity-type="node" data-entity-uuid="b204595e-2d65-454c-b0cc-883c3dda0334" data-entity-substitution="canonical">アトラシアンクラウドを例にした DORA コンプライアンスについてのオンデマンドウェビナーをご覧ください。これは、顧客とベンダーの責任を明確にするものです。このビデオで説明されている原則は、すべてのクラウドおよび SaaS アプリケーションに当てはまります。

  結論：

  CrowdStrikeとMicrosoftのチームは、すべての組織がサービスを中断することなく復旧し、最大限のアップタイムを達成するために必要なツールを確実に入手できるよう、修復に全力を尽くしています。

  重要なのは、このような事態は必ず起こるということを理解し、いざというときにデータを保護・復旧するために必要な対策を講じておくことです。