graphical user interface
07 - 25 - 2024

クラウドストライク(CRWD)の将来性とは?システム障害の原因と対策の分析を通じて、今後の株価見通しへの影響に迫る!

コンヴェクィティ  コンヴェクィティ
  • 本稿では、クラウドストライク(CRWD)のシステム障害が与え得る、同社の今後の株価見通しへの影響と同社の将来性を詳しく解説していきます。
  • 2024年7月19日、同社のソフトウェアアップデートにより、世界中の重要なインフラが広範囲にわたってシステム障害を引き起こしました。
  • この事故は、次世代アンチウイルスとは関係のないFalcon EDRセンサーエージェントの設定更新が原因でした。
  • 今後の主要な問題は、同社がクラッシュの原因を把握しているものの、この標準的かつ定期的なプロセスがなぜ、どのようにして誤作動したのかがわかっていないことです。
  • 本稿では、同社のビジネスに及ぼす可能性のある影響について、EDR部門およびEDR以外の部門の両方を取り上げて解説していきます。
  • 本稿で議論されるベンダーは、クラウドストライク(CRWD)、パロアルトネットワークス(PANW)、マイクロソフト(MSFT)、アマゾン(AMZN)、アルファベット(GOOGL)となっております。

最近のクラウドストライク(CRWD)のシステム障害に関して

2024年7月19日、クラウドベースのセキュリティソリューションを提供するリーディングカンパニー、クラウドストライク(CRWD)は、主要メディア、サイバーセキュリティフォーラム、金融界などで広範な議論を引き起こす重大なシステム障害を発生させました。

同社のソフトウェアアップデートが広範なシステムクラッシュを引き起こし、Windowsの製品において悪名高いブルースクリーン・オブ・デス(BSOD)を世界中で発生させました。その影響は大きく、企業のPCやサーバーに影響を与え、病院、空港、駅などの重要なインフラや多くの消費者向けITシステムにダウンタイムを引き起こしました。

※ブルースクリーン・オブ・デス(BSOD):Microsoft Windowsオペレーティングシステムで発生するシステムエラースクリーンのこと。このスクリーンは、重大なシステムエラーやクラッシュが発生した際に表示される。

※ダウンタイム:システム、ネットワーク、サーバー、またはウェブサイトが利用できない、または機能しない期間のこと。

クラウドストライク(CRWD)のシステム障害の詳細

1. 原因

クラッシュはクラウドストライク(CRWD)のFalcon EDR(エンドポイント検出と応答)センサーエージェントの設定更新に起因し、次世代アンチウイルス(NGAV)や従来のアンチウイルスの更新とは関係ありません。

※Falcon EDR(Endpoint Detection and Response):クラウドベースのサイバーセキュリティ会社であるクラウドストライクが提供するエンドポイントセキュリティソリューションのこと。EDRはエンドポイント(PC、サーバー、モバイルデバイスなど)に対する脅威の検出と対応を行うためのテクノロジーを指す。

※センサーエージェント:システムやネットワーク上のエンドポイント(PC、サーバー、モバイルデバイスなど)にインストールされるソフトウェアコンポーネントで、特定のデータを収集・監視・分析するためのもの。このエージェントは、通常、エンドポイントセキュリティや監視、管理ソリューションの一部として機能する。

2. ユーザーモードクラッシュ

インシデントはカーネルレベルではなくユーザーモードで発生し、影響はそれほど深刻ではありませんでした。

※インシデント:情報セキュリティやIT運用の文脈において、通常の業務運営に影響を及ぼす予期しないイベントや問題のこと。インシデントは、システムの停止、データの漏洩、ネットワークの障害、セキュリティ侵害など、様々な形で発生する。

※カーネルレベル:コンピュータのオペレーティングシステムの中心部分であるカーネル(Kernel)が動作するレベルのこと。カーネルは、ハードウェアとソフトウェアの間のインターフェースとして機能し、システムリソースの管理、プロセスのスケジューリング、メモリ管理、デバイスドライバの制御など、基本的な機能を提供。

※ユーザーモード:コンピュータのオペレーティングシステムにおいて、アプリケーションや一般ユーザープロセスが動作するモードのこと。ユーザーモードとカーネルモードは、システムのリソースやハードウェアへのアクセスレベルに関する二つの異なる動作モードを指す。

3. 更新頻度

問題となった更新は、クラウドストライクの日常的な「チャネルファイル」更新の一環で、1日に複数回発生します。

※チャネルファイル:特定のコンテキストでの設定やデータ収集、通信のためのファイルのこと。

4. 特定の脆弱性

クラッシュは、Windowsシステム専用のチャネルファイル291のロジックエラーによって引き起こされました。

クラウドストライク(CRWD)の障害に関連したテクノロジーの詳細

設定ファイルの概要

設定ファイル、いわゆる「チャネルファイル」は、Falconセンサーの行動保護メカニズムの一部です。チャネルファイルの更新は1日に数回行われます。

技術的な詳細

Windowsシステムでは、チャネルファイルは以下のディレクトリに存在します:C:\Windows\System32\drivers\CrowdStrike\

各チャネルファイルは「C-」で始まり、.sys拡張子で終わります。今回のインシデントで影響を受けたチャネルファイルは291です。チャネルファイル291は、FalconがWindowsシステム上で名前付きパイプの実行を評価する方法を制御します。UTC(協定世界時)の4時9分に行われた更新は、新たに観察された悪意のある名前付きパイプを対象に設計されていました。LinuxやmacOSを実行しているシステムには影響がありませんでした。

※名前付きパイプ(Named Pipe):プロセス間通信(IPC: Inter-Process Communication)を実現するためのメカニズムの一つで、異なるプロセスがデータを送受信するためのパイプ(データの流れを確保する仮想のパス)に名前を付けて使用するもの。名前付きパイプは、同一マシン内だけでなく、ネットワークを介して別のマシン間でも通信を行うことができるため、特にクライアント-サーバーモデルのアプリケーションで利用されることが多い。

※名前付きパイプの評価:速度やリソース使用量をチェックし、エラー率や接続の安定性を確認すること。セキュリティとアクセス制御を確認し、データの正確な送受信を保証する。

※悪意のある名前付きパイプ:Windowsオペレーティングシステムのプロセス間通信を行うために使用される名前付きパイプの仕組みを利用して、不正な活動を行う手段のこと。名前付きパイプは、本来、異なるプロセス間でデータを交換するための安全な方法だが、攻撃者はこれを悪用して、システムやネットワーク上で悪意のあるコードを実行したり、情報を盗んだりすることができる。

詳細は、クラウドストライクのHP上の「Technical Details: Falcon Content Update for Windows Hosts」をご覧ください。

クラウドストライク(CRWD)の障害の修正方法

修正方法は、IT管理者が手動でセーフモードに入り、更新されたチャネルファイルを削除し、システムを再起動する必要があります。BitLockerが有効になっているデバイスの場合、BIOSの調整とBitLockerの回復キーの入力を伴うため、プロセスはより複雑になります。

※BitLockerとは、Microsoft Windowsオペレーティングシステムに搭載されているディスク暗号化機能のこと。

※BIOS(Basic Input/Output System、基本入出力システム):コンピュータの起動時に最初に実行されるファームウェアで、ハードウェアとオペレーティングシステムの橋渡しをする役割を担う。

クラウドストライク(CRWD)の障害の影響

市場のコンセンサスとしては、この出来事は一度限りのものであり、投資家はクラウドストライク(CRWD)の株価の下落を押し目買いのチャンスと捉えるべきだというのが一般的な見解となっているように見えます。同社は、ARR(年間経常収益)が約40億ドルに達しているにもかかわらず、30%以上の成長を遂げる高品質なサイバーセキュリティ企業と見なされています。これは、同様の収益基盤を持つ他のプレーヤーが成長率を20%以上に低下させているのと比較して、注目に値します。

同社の高成長は、その大規模な収益基盤にもかかわらず、クラウドセキュリティ、アイデンティティ保護、次世代セキュリティインシデントおよびイベント管理(NG-SIEM)などの隣接市場への拡大の性向に起因しています。

※アイデンティティ保護:個人の識別情報(PII: Personally Identifiable Information)を不正アクセスや盗難から守るための対策や技術のこと。

※次世代セキュリティインシデント:最新の技術や手法を駆使した高度なサイバー攻撃やセキュリティ侵害のこと。

※NG-SIEM(Next-Generation Security Information and Event Management):従来のSIEM(Security Information and Event Management)システムに高度な技術と機能を統合した、次世代のセキュリティ情報およびイベント管理システムのこと。NG-SIEMは、より効率的で高度なセキュリティ監視と管理を提供するために設計されている。

最近の四半期では、同社は市場の飽和に近づく中で、コアEDRエージェントビジネスを30%成長させるのがますます難しくなっています。これに応じて、同社は他の企業を買収し、新製品を開発し、既存の顧客にクロスセルをしています。コアのエンドポイントセキュリティビジネスが10%代半ばの成長しかしていない一方で、新しいビジネスラインは三桁の成長を遂げており、会社全体の成長率を一貫して30%以上に保つことができています。

マカフィーやオクタ(OKTA)など他社の以前のインシデントは、当初恐れられていたほど収益に大きな影響を与えなかったため、クラウドストライクも同様にこの嵐を乗り越え、長期的な財務への影響は大きくないと考えられています。

また、同社はWindowsホスト上での「ブルースクリーン・オブ・デス」の報告を認め、問題を特定し、Falconセンサー製品の修正を展開したと述べ、顧客にサポートポータルを参照して更新を行うよう促しました。

クラウドストライク(CRWD)の障害の緩和手順

問題の影響を受けたシステムの場合:

1. WindowsをセーフモードまたはWindowsリカバリー環境で起動します。

2. C:\Windows\System32\drivers\CrowdStrike ディレクトリに移動します。

3. 「C-00000291*.sys」という名前のファイルを見つけて削除します。

4. コンピュータまたはサーバーを通常通り再起動します。

この障害はGoogle Cloud Compute Engine(GOOG/GOOGL)にも影響を与え、クラウドストライク(CRWD)のcsagent.sysを使用しているWindows仮想マシンが予期せずクラッシュして再起動することになりました。Microsoft Azure(MSFT)およびAmazon Web Services(AMZN)も問題を報告し、問題を緩和する手順を提供しました。

クラウドストライク(CRWD)のEDR以外のビジネスへの影響

クラウドストライク(CRWD)のEDR以外のビジネスの成功は、クラウドセキュリティ、NG-SIEM、その他の新興セキュリティ製品をまだ採用していないCIOやCISOに起因しています。同社の営業担当者は、これらの製品を市場のリーダーであるベスト・オブ・ブリード(BoB)企業よりも低価格で大企業の顧客に提供しています。そして、実際に、市場評価に時間をかけることに消極的な多くの企業の意思決定者は、同社の追加製品・サービスの購入に踏み切っています。

※CIO(Chief Information Officer):企業の情報技術(IT)戦略やシステムの管理を担当する最高情報責任者。

※CISO(Chief Information Security Officer):企業の情報セキュリティ戦略やシステムの管理を担当する最高情報セキュリティ責任者。

※ベスト・オブ・ブリード(BoB)企業:特定の分野や製品カテゴリーにおいて最高の性能や品質を持つと評価される企業のこと。

クラウドストライク(CRWD)の成長の原動力

1. 素晴らしい評判

クラウドストライク(CRWD)は、企業がセキュリティ侵害を経験した際の最初の連絡先となることが多く、企業は同社のEDR製品とそのプロフェッショナルサービスチームの両方を信頼しています。

2. C-suiteレベルでの高評価

ほとんどの顧客は、同社のサービス品質とマーケティング努力を高く評価しています。

3. 既存顧客の信頼

多くのEDR以外のサービスの購入者は、詳細な分析を行わずに同社ブランドを信頼して購入しています。

ただし、今回のインシデントの深刻さを考えると、これらの顧客の多くは、追加で同社製品を採用する場合には、同社のサービスを再評価し、結果、同社製品への需要を減少させ、同社のこれらの製品のクロスセル能力を妨げる可能性があります。

クラウドストライク(CRWD)への結論

クラウドストライク(CRWD)は、今後数四半期にわたり、売上高成長と利益率の両方が低下する可能性があります。経済不況の間、多くの顧客は高額な同社のライセンスが期限切れになる前に代替ソリューションに切り替えることが難しいと感じることが予想されます。フルプラットフォームバンドルを選択した顧客は、他のベンダーから製品を購入する予算が不足しているかもしれません。この状況は、パロアルトネットワークス(PANW)が競争力のある価格でCortex XDR + Prisma Cloudバンドルを提供する場合に有利になる可能性があります。

※フルプラットフォームバンドル:企業が提供する複数の製品やサービスをまとめて一つのパッケージとして販売すること。これには、各製品やサービスが個別に購入するよりも総合的に利用することで、相互に補完し合う機能や効率性が向上するメリットがある。

※Cortex XDR + Prisma Cloudバンドル:パロアルトネットワークスが提供する統合セキュリティソリューション。このバンドルは、エンドポイント、ネットワーク、およびクラウド環境全体にわたる包括的なセキュリティを提供するために設計されている。

また、ゴールドマン・サックス(GS)の予測は短期的には正確かもしれません。次の四半期では、7月15日までにほとんどの取引を締結するため、クラウドストライクの売上高が急激に減少するとは予想していません。しかし、それ以降の取引については、ビリング額と販売チャネルのチェックが異なる結果を示す可能性があります。同社は、価格譲歩や潜在的な顧客損失により、成長ガイダンスを20%台前半または10%台半ばに下方修正する可能性もあると見ています。

ここでの私たちの同社に対する前提は、顧客の50%が同社から離れるか、他の選択肢を探すことで、約15%程度の成長への逆風が生じるというものです。クラウドストライクはさらなる価格譲歩を行う必要がある可能性があり、結果、FCF(フリーキャッシュフロー)は約20%に低下する可能性があります。市場はまだこの将来的な悪化を織り込んでいないかもしれません。次の決算報告は予想よりも良い結果を示すかもしれませんが、弱いガイダンスとその後の弱い販売チャネルというシグナルが、同社の株価を再び下降トレンドに戻す可能性があると見ています。

上述の予測はあくまで足元ので推測に過ぎないため、今後の展開を引き続き注視していきます。次回のレポートでは、クラウドストライクに関するより包括的なDCF評価を提供する予定ですので、是非、ご覧いただければと思います。

その他のテクノロジー銘柄関連レポート

1. ① Part 1:クラウドフレア / NET:サイバーセキュリティ銘柄のテクノロジー上の競争優位性(強み)分析と今後の将来性(前編)

2. ①ルーブリック / RBRK(IPO・新規上場):サイバーセキュリティ銘柄の概要&強み分析と今後の株価見通し(Rubrik)

3. パロアルトネットワークス / PANW / 強気:サイバーセキュリティ銘柄のテクノロジー競争優位性分析と将来性 - Part 1

また、私のその他のテクノロジー関連銘柄のレポートに関心がございましたら、是非、こちらのリンクより、私のプロフィールページにアクセスしていただければと思います。

さらに、その他のクラウドストライク(CRWD)はに関するレポートに関心がございましたら、是非、こちらのリンクより、クラウドストライクのページにアクセスしていただければと思います。

弊社がカバーしている企業・銘柄の一覧ページはこちら