CrowdStrike障害を受けたMicrosoftの対策とは?Windows Resiliency Initiativeの概要

Windows
CrowdStrike障害を受けたMicrosoftの対策とは?Windows Resiliency Initiativeの概要

近年、サイバー攻撃の高度化やリモートワークの普及により、Windows環境のセキュリティと信頼性の確保がこれまで以上に重要視されています。2024年7月には、CrowdStrikeのセキュリティソフトの不具合により、世界中の企業や組織で大規模なシステム障害が発生しました。

この事態を受け、Microsoftは新たなセキュリティ強化策として「Windows Resiliency Initiative」を発表しました。

本記事では「Windows Resiliency Initiative」の概要についてご紹介します。

Windows Resiliency Initiativeとは

「Windows Resiliency Initiative」は、Microsoftが2024年7月のCrowdStrike障害を受けて発表した、Windowsの安定性とセキュリティを強化するための新しい取り組みです。

今後同様の大規模障害が発生した際に、より迅速な復旧を可能にし、システムの安全性を高めることを目的としています。

Windows security and resiliency: Protecting your business | Windows Experience Blog

CrowdStrike障害

CrowdStrike障害

2024年7月19日、サイバーセキュリティ企業のCrowdStrikeが、Windows向けセキュリティソフト「Falcon Sensor」の設定ファイル「Channel File 291」をアップデートを行いました。このアップデートには欠陥があり、Windowsシステムがクラッシュし、再起動を繰り返すブルースクリーン状態に陥りました。

この障害は全世界で約850万台のWindowsデバイスに影響を及ぼし、航空会社、銀行、医療機関、放送局など、多くの業界で業務停止やサービス中断を引き起こしました。

CrowdStrikeは数時間以内に問題を特定し、修正版をリリースしましたが、多くのシステムは手動での修復が必要で、完全な復旧には時間を要しました。

2024年7月19日発生した障害に関する技術情報 | CrowdStrike
CrowdStrike の障害の影響を受けたお客様への支援について – News Center Japan

Windows Resiliency Initiativeの概要

「Windows Resiliency Initiative」は以下の4つの主要分野に焦点を当てています。

  • リモート回復(Quick Machine Recovery)
  • アプリ・ドライバーの制御強化
  • 個人データの暗号化
  • アイデンティティ保護の強化

リモート回復(Quick Machine Recovery)

Windows Updateを通じ、起動できないWindowsデバイスに物理的にアクセスすることなくリモートで修正できるようにするものです。

アプリ・ドライバー制御の向上

App Control for Businessの導入

以前は「Windows Defender Application Control」として知られていたこの機能により、IT管理者は組織内で許可されたアプリケーションのみが実行されるよう設定できます。

管理者権限の最小化

より多くのアプリケーションが管理者権限なしで動作できるようにし、不要な権限昇格を防止します。

脆弱なドライバーのブロック

既知の脆弱性を持つドライバーの実行を防ぐため、デフォルトでブロックリストを有効にし、システムの安全性を確保します。

ドライバーのレジリエンス向上

ドライバーの信頼性を高め、システム障害のリスクを低減します。

カーネルモードからのアンチウイルス処理の分離

アンチウイルスソフトウェアの処理をカーネルモード外で行う新たなフレームワークを開発中であり、2025年7月にプレビュー版が提供される予定です。これにより、カーネルレベルでの問題がシステム全体に影響を及ぼすリスクを軽減します。

個人データの暗号化機能

ユーザーのデータがデバイス上に保存される際、自動的に暗号化されます。特に、デスクトップ、ドキュメント、ピクチャなどの既知のフォルダーに保存されたファイルが対象となります。

これらのファイルは、ユーザーがWindows Hello(顔認証、指紋認証、PINなど)で認証を行うまで暗号化されたままとなり、認証後にのみアクセス可能となります。

この機能により個人データが保護されると同時に、企業の管理範囲も明確にすることができます。

アイデンティティ保護の強化

フィッシング攻撃対策を強化し、ユーザーの認証情報をより安全に守ります。

多要素認証(MFA)の推進

ユーザー認証時に複数の要素を要求することで、アカウントの不正アクセスを防止します。

Windows Helloの活用

生体認証やPINコードを使用した安全なサインイン方法を提供し、パスワード依存を減らします。

一時的な管理者権限の付与

特定のタスク実行時にのみ一時的な管理者権限を付与し、完了後は自動的に権限を解除することで、不要な権限の常時付与を避けます。

Rust言語への移行

メモリ安全性の高いRust言語を採用することで、脆弱性のリスクを低減し、システムのセキュリティを強化します。

最後に

「Windows Resiliency Initiative」は、システム障害やサイバー脅威に対する耐性を高めるための重要な取り組みです。特に、リモート回復の強化、アプリやドライバーの制御向上、個人データの暗号化、アイデンティティ保護の強化など、多方面からセキュリティと信頼性を向上させる施策が導入されています。

近年、リモートワークの普及やサイバー攻撃の高度化により、より強固なセキュリティ対策が求められています。Microsoftのこの取り組みがどのように実装され、実際の運用にどのような影響を与えるのか、今後も注目していきたいところです。