Scribble at 2024-08-12 09:42:09 Last modified: 2024-08-12 09:49:19

このほど大規模障害のレポートが出たという CrowdStrike だが、はっきり言って今回の大規模障害が報道されるまでは、こういう企業やサービスをご存じなかった人が大半であろう。実際、CrowdStrike のサイトに行けば分かるように、ここのサービスは全て「価格はお問い合わせください」という体裁になっていて、個人の利用者はお断りだ。

この手の、導入する条件をヒアリングして見積もりからスタートするようなサービスは、たいてい非常に高額であるから、法人としても莫大な予算、たとえば情報セキュリティだけに費やす年間の予算を何億円のオーダーでをもっているような企業でなければ利用しない（できない）であろう。今回の大規模障害が個人の Windows には殆ど関係がなく、この事件を知ったときに僕が社内のチャットへ警告なんて投稿しなかったのは、それが理由だ。

企業勤めの経験がない人からすれば、何億円とはずいぶんと極端なことを言うように思うかもしれないが、たとえば社員が30人ていどの弊社ですら、情報セキュリティの専任である僕一人を雇用しているだけでも、予算としては年間に数百万円では足りないわけである（もちろん、僕の給料が数百万円では足りないという意味ではなく・・・保険料や設備などにもお金がかかるからだ）。また、家庭用の民生品という感覚だとわからないと思うが、ふつう企業で使っている業務用の機材は、桁が一つか二つ違う。弊社で使っている YAMAHA の RTX3500 という小規模事業者用のネットワーク・ルータでも50万円するし、家庭ではストレージ機器として NAS を使っているところもあると思うが、企業で導入するファイル・サーバというストレージ・システムは、弊社で使っていた「安物」でも300万円くらいはするし、そもそもそういうサーバに入っている Windows Storage Server という OS のライセンス料金すら15万円する。

それはそうと、今回の大規模な障害の根本的な原因は「実機でのテストをしていないか軽視していた」ことにある。要するに、自分たちの製品をインストールしたパソコンで実際にアップデートを適用してみれば誰でも分かったような話でしかなかったと言われている。それゆえ、DefCon のような情報セキュリティのエンジニアが集まるイベントでも、今回の一件は（皮肉な意味で）称賛に値するほどの間抜けな失敗だと言われている。そして、これは僕が以前からウェブサイトのデザインや構築についても言っていることなのだが、自分たちで作ったものを自分たちで最初に使ってみないなんて、サービスを提供する者としてありえない無知や怠慢だと思う。デザイナーやコーダでも、制作したウェブ・ページを自分で操作して使ってみないなんてのは、標準的なウォーターフォール・モデルの開発工程でも「総合テスト」と呼ばれるプロセスを無視した、工場や建設といった現場なら大問題になるか、端的に言って違法となる場合すらあるようなことだ。こういう事例は大企業や官公庁だけの話に留めるのではなく、やはり僕らのような規模の事業者でも参考にするべきだろう。