1社の綻び、バグ拡大で世界がまひ 大規模システム障害:日本経済新聞 https://www.nikkei.com/article/DGXZQOGN200KZ0Q4A720C2000000/
インターネットの大規模なシステム障害の影響が世界に広がった。航空会社などで復旧が進むものの、原因の詳細は分かっていない。社会に欠かせないネットのシステムは多数のソフトウエアを組み合わせて動く。1社の綻びが世界のインフラをまひさせており、「デジタル供給網」の落とし穴があらわになった。
「予約サイトに異常が出ている」。19日午後2時20分ごろ、日本航空の予約サイトが使えなくなり、ウェブサイトやアプリで航空券の購入ができなくなった。
日航は急きょ本社に対策本部を立ち上げ、100人以上の社員が出席する会議を断続的に開いた。技術者らがシステム会社と共同で復旧作業を続けたがすぐには回復しない。5時間かかり、ようやく正常化した。
原因は米クラウドストライクのセキュリティーソフトとみられるが「正確には分かっていない」(日航)。日航と同じ会社の予約システムを使う全日本空輸などでは障害は起きていない。
セキュリティーソフト世界大手、顧客2.9万社
クラウドストライクはサイバー攻撃などを検知するセキュリティーソフトの世界大手だ。
米調査会社のIDCによると、2021〜22年は「エンドポイントセキュリティー」と呼ぶ分野で約2割のシェアを持ち首位だった。エンドポイントはパソコンやサーバーの異常を常に監視する最新のソフトだ。外部からのウイルスの侵入を「門番」のように防ぐだけだった従来のソフトよりも攻撃に速く対応できる特徴がある。
顧客は金融や食品、自動車、半導体などあらゆる分野の2万9000社に及ぶ。日本を含む約170カ国で事業を展開する。会社の設立から8年後の19年に米ナスダック市場に株式を上場した。本来はシステムのダウンを防ぐためのソフトが逆に世界の企業や政府機関のサービスを止め、過去最大級の障害を引き起こすことになった。
ジョージ・カーツ最高経営責任者(CEO)は20日、「今回の停止について心からおわび申し上げる」との談話を同社のサイトで発表した。今後は「障害がどのように起きたのかの究明、再発を防ぐための対応について完全に透明化する」と続けて記した。
一斉更新でバグ拡大 ウィンドウズ直撃
原因の解明はこれからだ。
ネットを通じて顧客の端末にあるセキュリティーソフトを更新しようとしたところ、新たなソフトに「バグ」と呼ばれる不具合があった。
バグはソフトにつきものだ。通常はバグの有無を検証しながら顧客ごとに段階的にソフトを更新していく。今回はスピードを重視したためか顧客のソフトを一斉に更新しようとした。バグが世界中の顧客にばらまかれ、同時に障害が起きることになった。
バグの種類など原因の詳細は現在も分かっていない。障害は米マイクロソフトの基本ソフト(OS)、「ウィンドウズ」を搭載したコンピューターのみで起きている。ウィンドウズは世界シェアが7割に達する。企業向けではさらに高くなる。ウィンドウズを使うシステムに障害が集中したのも利用率の高さが原因とみられるが、具体的なことは分かっていない。
ネットのセキュリティーに詳しいメルボルン大学のトビー・マレー准教授は「クラウドストライクのソフトはパソコンのOSの中核部分で動いている。そのため、バグの影響が一部の機能にとどまらず、全体で障害が起きてシステムを制御不能にしてしまった」とみる。
クラウドストライクは障害の発生から2時間ほどで修正ソフトを配信するなどし、顧客がシステムを復旧できるようにした。ただ、うまく行かない場合は手作業でバグを取り除く必要があり、正常化に時間がかかる原因になっている。
デジタル供給網に落とし穴
今回の大規模な障害で浮き彫りになったのがデジタル産業の供給網の脆弱性だ。
ネットのシステムには多数のソフトが組み込まれている。セキュリティーなど分野ごとに強みのある企業が存在し、ソフトの供給網を形作っている。その一つが不具合を起こすだけで、大企業や政府機関など世界のインフラがまひした。
21年にも米新興企業のソフトの異常で世界のシステムで障害が起きた。日本の金融庁など日英の政府機関のサイトが閲覧できなくなり、米アマゾン・ドット・コムや楽天グループの通販サイトでも不具合が発生した。
米連邦取引委員会(FTC)のリナ・カーン委員長は「最近ではたった一つの不具合がシステム全体の停止につながり、何百万人の人々と企業が代償を払っている」と語る。
今後は人工知能(AI)が普及し、ソフトを最新版に更新するスピードはさらに速まる。障害の再発防止に向けて対策が欠かせないが、打つ手は限られているのが現状だ。
主要なソフトについてはコストがかさんでも複数の企業の製品を使い、データのバックアップなどをし続けるしかない。米コーネル大学のグレゴリー・ファルコ助教は「ソフトの自動更新で不具合が起きないように企業などはアップデートを制限することも検討すべきだ」と指摘する。
(シリコンバレー=渡辺直樹、伴正春)