日本時間、2025年11月18日(火)の夜から翌朝にかけて、Cloudflareのプラットフォームで大規模な障害が発生しました。この影響により、日本国内では主にChatGPTや、その他の大規模言語モデル(LLM)へのアクセスができなくなったとして報じられています(参考: https://www.jiji.com/jc/article?k=2025111801157、 https://news.yahoo.co.jp/pickup/6559484 )。この障害に対する見方には少し不可解な点があります。確かに、影響を受けた主要なクラウドサービスは知名度が高く、注目されやすい存在です。しかし、実際の問題の本質はそこではありません。むしろ、多くの報道の末尾に添えられた注釈こそが、最も深刻な示唆を含んでいるのです。
日本の多くのユーザーがオンラインになる頃には、障害のほとんどがすでに解消されていたことを考えると、AIやソーシャルメディアに焦点を当てた報道には、どこか「広報的な意図」が感じられます。
公平を期すなら、同社は今回の障害について率直かつ誠実に説明しており、当初は多数の仮想的な“ボット”によるDDoS攻撃(システムを一斉に狙う手法)が原因と見られていたものの、実際にはシステムのバグとアップデートが原因だったことを明らかにしました。
- Cloudflareの役割は、クラウドサービスのインフラにとどまらない
Cloudflareは、ChatGPTのようなシステムを支える目に見えないネットワークの裏方にとどまらず、インターネット全体の約20%の通信を担う重要なインフラを提供しています。つまり、数千万ものウェブサイトを悪意ある攻撃から保護し、サイト運営に欠かせないセキュリティ機能を提供しているのです。その規模は、ChatGPTやその他の有名サービスをはるかに上回り、Cloudflareの影響はインターネットに接続するほぼすべての企業に及んでいます。実際、当社でも一部のシステムセキュリティにCloudflareのサービスを活用しています。
Cloudflareが具体的にどのような役割を果たしているかについては、豊富な情報がありますが(参照:https://ja.wikipedia.org/wiki/Cloudflare)、このブログを読んでいる皆さまのビジネスも、何らかの形でCloudflareの保護に支えられている可能性が高いと言えるでしょう。
Cloudflareは、CDN(コンテンツ配信ネットワーク)としても広く利用されている
Cloudflareは、インターネットを支える主要なCDN(コンテンツ・デリバリー・ネットワーク)のひとつです。CDNとは、ウェブサイトがCSS(デザイン用スタイル)やJavaScript(機能や動作を支えるコード)などのライブラリや各種リソースを、自社でコードを保持・管理することなく利用できる仕組みです。実際には、ユーザーのブラウザがそれらのライブラリをリアルタイムでダウンロードし、企業のウェブサイトに動的に組み込むことで機能します。これらのライブラリが利用できなくなると、ウェブサイト全体が正常に動作しなくなります。影響は企業のメインのWWWページだけでなく、業務に不可欠なアプリケーションやサービスにも及ぶ可能性があります。多くのシステムは、別のCDNやローカルコピーへの自動切り替え機能(フェイルオーバー)を備えていないため、必要なCDNが復旧するまでサイトは停止したままとなります。
Cloudflareは、インターネットコミュニティにとって極めて有用なサービスを提供する優れたオンライン企業ですが、その仕組みに過度に依存することは、一定のリスクも伴います。
現在、インターネットの重要な機能がAmazon(AWS)やGoogle(GCP)、Microsoft(AzureやGitHub)など、限られた企業に依存しすぎていることについて、多くの業界関係者がその危険性を指摘しています。
Fintechや金融機関などの業界と同様に、規模と影響力の大きさは、システムの拡張性や堅牢性への多額の投資を可能にし、その結果として障害の発生頻度は低く抑えられています。しかし、「滅多に起きない」からといって、「影響がない」というわけではありません。過去1年の間にも、Amazon、CrowdStrike、Microsoft、そして今回のCloudflareにおいて大規模な障害が発生しており、それに伴う経済的混乱は決して軽視できるものではありません。
今回の障害は、私たちのシステムを見直す良い機会となりました。Cloudflareのような特定のプロバイダーに対する依存度を正しく把握し、障害発生時のリスクを受け入れる覚悟の重要性を、改めて認識させられました。
こうしたリスクは、場合によっては受け入れ可能であり、補償条項付きのSLA(サービス品質保証契約)によって支えられていることもあります。しかし、常にそのような保障があるとは限りません。特に注意すべきなのは、私たち自身が気づいていない依存関係 ― 当たり前のように存在していると思い込んでいる点にこそ脆弱性が潜んでいるのです 。
見落とされがちな依存関係を洗い出すとき
今こそ、こうした依存リスクに備え、社内のITチームと連携して、どのような対策が講じられているかを確認する良い機会かもしれません。対策には、代替プロバイダーへの自動フェイルオーバーといったシームレスな仕組みから、BCP(事業継続計画)に基づく代替サイトやプロバイダーの構築、さらには、各サービスにおける利用プロバイダーを明記したシステムドキュメントや運用手順の整備など、さまざまな形があります。これらは、長期的な障害が発生した際に、技術担当者による迅速な対応と復旧を可能にし、依存による影響を最小限に抑える上で大きな助けとなります。
著者のご紹介
ウオリック・マセウス
ウオリック・マセウス(Warwick Matthews)
最高技術責任者 兼 最高データ責任者
複雑なグローバルデータ、多言語MDM、アイデンティティ解決、「データサプライチェーン」システムの設計、構築、管理において15年以上の専門知識を有し、最高クラスの新システムの構築やサードパーティプラットフォームの統合に従事。 また、最近では大手企業の同意・プライバシー体制の構築にも携わっている。
米国、カナダ、オーストラリア、日本でデータチームを率いた経験があり、 最近では、ロブロー・カンパニーズ・リミテッド(カナダ最大の小売グループ)および米国ナショナル・フットボール・リーグ(NFL)のアイデンティティ・データチームのリーダーとして従事。
アジア言語におけるビジネスIDデータ検証、言語間のヒューリスティック翻字解析、非構造化データのキュレーション、ビジネスから地理のIDデータ検証など、いくつかの分野における特許の共同保有者でもある。