米ネットアン局長、CrowdStrike更新欠陥を批判：これは深刻な誤りだ

愿为素心人

米国サイバーセキュリティ・インフラ安全保障局（CISA）のジーン・イーストリー局長は現地時間7月20日、世界的な大規模IT障害について、CrowdstrikeのFalconプラットフォームの欠陥更新によるものであり、世界の一部のバージョンの本Windowsシステムの大規模な崩壊を引き起こしたとコメントした。これは、世界の重要なインフラストラクチャの運用に深刻な影響を与える重大なイベントです。これは悪意ではありませんが、これは重大な間違いです。
イーストリー氏によると、米国の重要なインフラストラクチャは高度にデジタル化され、高度に相互依存し、高度に相互接続され、高度に脆弱であるが、これは脆弱なソフトウェア生態系のせいである。このシステムは従来、安全性を重視せず、機能と発売速度に偏ってきた。皮肉なことに、Crowdstrikeや他のネットワークセキュリティベンダーのような企業が存在する理由の1つは、穴だらけのソフトウェアに安全保障を提供することです。
しかし、イーストリー氏もマイクロソフトの問題ではないと述べた。彼女は、どの企業も、あらゆる種類のソフトウェアを設計、テスト、納品する際に、欠陥の数を大幅に減らすことを優先すべきだと述べています。これらの欠陥は悪人が意図的に利用している可能性があり、意図せずにグローバルな重要なサービスが麻痺している可能性があります。イーストリー氏によると、そのため、各級の政府やさまざまな規模の重要なインフラストラクチャ組織は、重要なサービスへの干渉を最小限に抑えるために、効果的な対応と迅速な回復の能力を確保するために、抵抗性を高めるために倍にしなければならないという。