CrowdStrike、反トラスト法、そしてデジタル・モノカルチャー ―― 1つのバグが世界規模の混乱を引き起こしたのはなぜか

Electronic Frontier Foundation

先月（訳注：2024年7月）、世界規模で生じた未曾有のITシステム障害は、我々に警鐘を鳴らしている。数十年にわたる反トラスト法の不作為により、多くの産業が同一ツールに危ういほどに依存するようになり、このような危機は必然的に避けがたい運命になってしまった。競争が抑制され、安全性が低下し、自由が奪われつつあるデジタル世界を生み出しているデジタルモノカルチャーの解体を、規制当局に求めていかなければならない。

連邦取引委員会（FTC）は昨年、クラウドコンピューティング市場の状況についてパブリックコメントを募集した。EFFは明確な見解を示し、サービスプロバイダの統合が新たな危機をもたらしていると指摘し、ユーザがクラウドサービスをより容易に乗り換えたり組み合わせたりできるよう、相互運用性の促進をFTCに求めた。一方、Microsoftは、ITセキュリティにおける中央集権型クラウドサービスの利点を強調し、介入を牽制した。

それから1年が経ち、主要なクラウドベースのサイバーセキュリティ企業がMicrosoftのシステム固有のバグをリリースした。その結果、世界中の何百万もの重要なITシステムが大混乱に陥った。

この脆弱性は一企業の問題にとどまらない。少数の巨大企業に権力が集中し過ぎた結果、引き起こされた必然的な帰結なのである。

何が起きたのか

先月発生した広範なシステム障害は、CrowdStrikeのFalconセンサーソフトウェアという特定ツールへの過度な依存が原因だった。このツールは市場を独占しているわけではないものの、エンドポイント保護プラットフォームとしては最も普及している製品である。

このニッチなサービスは、クラウドプラットフォームで制御されるデバイス用のアンチウイルスソフトと考えるとわかりやすい。「エンドポイント」と呼ばれるコンピュータは、セキュリティの問題を検出するための強力な権限を持つエージェントを実行し、CrowdStrike社が定期的にリモートでアップデートを配信する仕組みになっている。この方式により、多くのデバイスが単一のセキュリティソースに依存し、デバイス間で学習した情報を共有できる一方で、すべてのデバイスが単一の障害点を抱えることにもなる。

この問題の予兆は昨年4月に現れていた。CrowdStrikeのアップデートがDebianとRocky Linuxを使用するデバイスで混乱を招いたのだ。CrowdStrikeソフトウェアを導入したLinuxの「エンドポイント」デバイス、特にこれらの特定のディストリビューションを使用するケースは珍しい。本来なら重大な警告として受け止めるべきだった4月の事象が、かすかな異変程度にしか捉えられなかったのである。

先月、CrowdStrikeは不具合を含むアップデートを配信し、Windows 10と11の2つのシステムに混乱をもたらした。その結果、世界中の重要なコンピュータシステムがY2K問題さながらの機能不全に陥った。航空会社、病院、金融機関、学校、放送局など、CrowdStrikeプラットフォームの誤ったアップデートによってシステムがクラッシュし、多くの機関が機能停止に追い込まれた。一部の企業が不便を被っただけの前回と異なり、今回は政府機関の停止や自然災害に匹敵する深刻な事態となった。

両ケースでデバイスへの影響は似通っていたが、後者は少数の主要プレイヤーが支配するデジタル環境において壊滅的な災害となった。多くのセクターが同一オペレーティングシステムに対して少数のサービスに依存していたため、同一バグの影響を受けやすい状況にあった。皮肉にも、驚くほど古いバージョンのWindowsを使用していたシステムが、わずかながらの多様性を提供していたことで救いになったほどだ。

CrowdStrikeで何が起きたにせよ、それは火種に過ぎない。世界を混乱に陥れた障害は、その火種がデジタルモノカルチャーという火薬庫に引火したために引き起こされたのだ。

デジタルモノカルチャー

すべてのコンピュータは欠陥を抱えている。あらゆるソフトウェアとハードウェアは、予期せぬ形で故障する運命にある。ハッカーや研究者たちが問題を発見・報告して最悪の事態を回避できることもあるが、不可避の障害への対策も不可欠だ。レジリエントでセキュアなデジタルの未来は、希望的観測だけでは築けない。

だが、私たちはまさにその希望的観測にすがっている。米国は重要な市場での競争が不十分なテック業界の独占を容認してきたばかりか、むしろ奨励さえしてきた。過去数十年の反トラスト政策は、規模の拡大がテック企業の効率性を高め、ユーザによりよいサービスを提供できるという誤った前提に基づいていた。その結果、空港、病院、学校、金融システムなど、あらゆる機関が同一のソフトウェアに依存し、同じバグやハッキングに脆弱な状態に置かれている。私たちは「大きすぎて潰せない」テック業界を作り出してしまったのだ。

私たちは今、デジタルモノカルチャーの時代に生きている。単一の脆弱性がシステムを世界規模で破壊し、ランサムウェアで病院や市政府を破壊し、国家の支援を受けた攻撃が電力システムを破壊し、途方もない量の個人データを流出させる時代だ。デバイスやソフトウェアの種類を見渡せば、そのほとんどが一握りの企業に市場を支配され、しかもそれらは往々にして同じ顔ぶれだ。AndroidとiPhone、WindowsとMac、GmailとOutlook、ChromeとSafariといった具合に。エンドポイントセキュリティ製品に関しては、わずか3社が市場の半分を支配しており、最大手はMicrosoftとCrowdStrikeである。

農業におけるモノカルチャー（単一栽培）と同様に、多様性の欠如はエコシステム全体を脆弱にする。新たな病害虫が発生すれば、バックアッププランのない状態で広範な被害をもたらす。解決策は明白だ。より厳格な反トラスト法の執行を通じてテック市場の多様性を高め、組織がITシステムの多様性を優先事項とすることである。

Microsoftのような企業への過度な依存を放置すれば、いずれ今回のような深刻な障害が頻繁に招くことにしかならない。

どうしてこんなことになってしまったのか

機能不全に陥った反トラスト法

EFFが指摘し、FTCに進言してきたように、反トラスト法は21世紀のインターネットの現実に対応できていない。

1980年代以降、米国の反トラスト法は「消費者厚生」理論に支配されている。企業の独占は価格を引き上げない限り問題ないどころか、望ましいとさえ考えられてきた。独占がもたらす微妙な経済的被害や、民主主義、労働者の権利、環境への害はほとんど無視されてきた。

ここ数年、FTCは反トラスト法の本来の精神への回帰している。消費者を単なる財布として見るのではなく、独占的利益に束縛されることなく生きる権利を持つ個人として捉え直そうとしているのだ。

しかし、まだ道半ばである。私たちは今なお、プライバシーを犠牲にし、サブスクリプションや制限的なDRMを通じて所有権を制限することで消費者価格を抑えるという、選択肢の限られた不十分なテック業界の枠組みに縛られている。今日の産業帝国は、私たちの日常生活にますます大きな影響力を及ぼし、そのモノカルチャーへのロックインを強化している。これらが機能不全に陥れば、その規模と影響は政府機関の停止に匹敵する規模となるだろう。

私たちは、エラーコードが人命を脅かすことのない、より安定的でセキュアなデジタルの未来を必要としている。重要なインフラをデジタルモノカルチャーの上に構築するわけにはいかない。

そのためには、FTC、司法省（DOJ）、州司法長官を含む反トラスト法執行機関は、危機なレベルの寡占化を防ぐべく、テック業界のあらゆる分野での監視を強化しなければならない。ITベンダーによるロックイン戦略への対処が重要な第一歩となるだろう。

調達とベンダーロックイン

ほとんどの組織はITチームに依存している。そのチームが「コンピュータに詳しい」友人1人だけであっても。多くの場合、これらのチームは十分なリソースを持たず、縮小する一方の予算の中で、組織の複雑化するニーズへの対応を迫られている。

囲い込みは独占の力を増幅し、複数の市場にまたがってその支配力を固定化する。

このような圧迫が、ベンダーやコンサルタントに専門知識を集中させる既製のソリューションのニーズを生み出している。MicrosoftやGoogleといった巨大企業からITソリューションをレンタルすれば高い費用対効果が得られるのかもしれないが、同時にこれらの企業に大きな支配力を与えることにもなる。

ソフトウェアベンダーはこの力学を巧みに利用する。多くのサービスを安価な初期価格でバンドル提供し、組織を完全に依存させたうえで、代替ツールの採用を妨げながら後から価格を引き上げるのだ。これはベンダーロックインという古典的な手口である。

一度ロックインされると、企業は代替手段への乗り換えに膨大な金銭的・人的コストがかかることを知る。例えばメールプロバイダの乗り換えを考えてみよう。データや設定を簡単に移行する手段はなく、手作業での対応か高額なコンサルタントを雇わなければならなくなる。さらに、メールクライアントが同じベンダーのカレンダーシステムとはスムーズに連携するが、競合他社のサービスとの連携は意図的に不安定にされたり、機能を制限されるといった選択的な相互運用性の問題もある。

ロックインは独占の力を増幅し、複数の市場にまたがってその支配力を固定化する。だからこそEFFは相互運用性を訴え、ITチームが組織の価値観や優先順位に沿ったツールを自由に選択できるよう、ベンダーロックインの解消を求めているのだ。

競争的な市場でれば、より柔軟にカスタマイズされたシステムの購入や自社開発が合理的な選択肢となる。単一のクラウドプロバイダがすべてのサービスで最高の選択肢となることは考えにくく、相互運用性が確保されれば、社内での代替手段の開発とホスティングも実現しやすくなる。このような社内の専門知識を育てることは、大規模組織の耐障害性を高めることにつながるはずだ。

Fallout from The Cloud／クラウドから降る死の灰

経済と無数の人々の幸福を一握りのクラウドサービスに委ねるのは、あまりにも無責任だ。CrowdStrike Falconの事件は、この時代を特徴づけ、増加の一途をたどるハッキング、情報漏洩、システム崩壊の長いリストの中で、最新かつ最大規模のものに過ぎない。だがその度に、実際の被害を被っているのは一般の人々だ。

そして常に、最も弱い立場にある人々が、高額な、時には命に関わる影響を受けることになる。飛行機の欠航は、予定外のホテル代という出費ですむこともあれば、失業につながることだってある。病院の収容能力が逼迫すれば、命を救う治療を受けられない人がでてくる。こうした影響は既存の不平等をさらに広げ、しかもその頻度は増す一方だ。

私たちはこれを当たり前の状況として受け入れるわけにはいかない。CrowdStrikeの障害は、」「反トラスト法の執行を最優先にせよ」という10億ドル規模の手痛い教訓だ。それは次の崩壊を防ぐだけにとどまらない。そこに依存する人々と同じように多様で強靭なデジタル世界を構築することが求められているのである。

CrowdStrike, Antitrust, and the Digital Monoculture | Electronic Frontier Foundation