昨年、サイバーセキュリティ企業CrowdStrikeによる不具合のあるソフトウェアアップデートが史上最大規模とも言われるIT障害を引き起こした際、マイクロソフトは多くの非難を浴びることとなりました。
CrowdStrikeのFalconエンドポイント検知・対応ソフトは、世界中の数百万台のWindowsデバイスに導入されており、他の多くのウイルス対策製品と同様に、その役割を果たすために様々なシステムへの広範なアクセス権を必要とし、Windowsカーネルへの直接アクセス権を持っていました。
CrowdStrikeのアップデートがクラッシュした際、世界中の数百万台のWindows搭載システムやデバイスも同様にクラッシュしました。マイクロソフトが木曜日に発表した一連のセキュリティ対策は、今後のサードパーティ製品による障害や、組織のITを長期間停止させるような他のセキュリティ脅威の可能性を減らすことを目的としています。
これらの変更点の中には、CrowdStrikeや他のサードパーティ製サイバーセキュリティによってインストールされるようなウイルス対策ソフトが、今後はWindowsカーネルへの直接アクセスを持たなくなることが含まれています。同社は来月、ベンダー向けに新しいエンドポイントセキュリティプラットフォームのプレビューを開始し、セキュリティアップデートが世界中のWindowsデバイスやシステムに配信される前に、複数のテストやレビュー工程を経ることを求めます。
「新しいWindowsの機能により、ベンダーはWindowsカーネルの外部で動作するソリューションの構築を開始できるようになります」と、マイクロソフトのエンタープライズおよびOSセキュリティ担当副社長のDavid Weston氏は記しています。「つまり、ウイルス対策やエンドポイント保護ソリューションなどのセキュリティ製品が、アプリと同様にユーザーモードで動作できるようになります。この変更により、セキュリティ開発者は高い信頼性と容易な復旧を提供できるようになり、予期しない問題が発生した場合のWindowsデバイスへの影響を軽減できます。」
マイクロソフトの発表に含まれた声明の中で、CrowdStrikeの最高技術イノベーション責任者であるAlex Ionescu氏は、同社が過去1年間に顧客と連携し、「Windowsエンドポイントセキュリティプラットフォーム向けに計画された機能の大幅な改善」を推進してきたと述べています。
Ionescu氏は、CrowdStrikeが「Windowsエンドポイントセキュリティプラットフォーム対応製品の開発に引き続き全面的に取り組んでおり、マイクロソフトがこれらの新機能をリリースするのを活用することを楽しみにしている」と述べました。
CrowdStrikeの幹部が議会で責任を認めた一方で、このインシデントは全世界のWindowsオペレーティングシステムのうち推定1%にしか影響せず、数時間以内に修正されましたが、一部の組織ではIT障害が数日間続きました。全体として、このインシデントはレドモンドの幹部たちに大きな恥をかかせ、マイクロソフトへの過度な依存が世界中の多くの企業や政府にとって単一障害点を生み出しているという根強い議論を再燃させました。
BugCrowdの最高情報セキュリティ責任者であるTrey Ford氏は、マイクロソフトによる今回の変更は遅すぎたくらいだと述べ、CrowdStrikeの障害は不具合のあるウイルス対策アップデートによる最初の大規模なWindows障害ではなかったことを指摘しました。2010年には不具合のあるMcAfeeのアップデートが世界中の数千台のWindows XPデバイスを使用不能にしました。
「管理者やそれを担当するチームは、権限の範囲が現在の導入環境にどのような影響を与えるかを検討する必要がありますが、その努力には十分な価値があります。これらは価値ある投資です」とFord氏はCyberScoopに語りました。
また、マイクロソフトは、コンピューターやデバイスが使用不能になり、悪名高い「ブルースクリーン・オブ・デス」を目にしたことがある人にとって、多少の安心材料となるであろう別の変更も発表しました。
以前のWindows 11アップデートでは、クラッシュ時のダンプ収集機能が修正され、クラッシュ時のダウンタイム(マイクロソフトが「予期しない再起動体験」と呼ぶもの)が2秒未満に短縮されました。
今夏後半には、Windowsのアップデートにより、クラッシュ時に画面に表示される悪名高い青いテキストの壁が「短縮された体験に合わせたシンプルなユーザーインターフェイス」に置き換えられ、「必要な時のために技術情報は画面上に保持される」としています。
この変更と、正常に再起動できないWindows PC向けの新しいクイックリカバリ機能は、「予期しない再起動時の混乱を減らすための継続的な取り組みの一環です」とWeston氏は記しています。
マイクロソフトが発表したその他のアップデートには、Windowsベースのシステムのレジリエンス構築に焦点を当てた新しい電子書籍の公開、IT全体で同時にセキュリティアップデートを行う際の帯域幅ニーズに対応するための接続キャッシュノードの活用、再起動不要でセキュリティアップデートを実行できるオプションの自動パッチ機能などが含まれます。
翻訳元: https://cyberscoop.com/microsoft-security-updates-kernel-restrictions-downtime/