CrowdStrike問題を受けセキュリティベンダーがWindowsカーネル外で活動できるようにすることをMicrosoftが検討

2024年7月に発生したCrouwdStrikeによるWindows PCの大規模障害を受けて、Microsoftは2024年9月10日にセキュリティサミットを開催しました。サミットの中でMicrosoftは「アンチウイルス監視用の特別なプラットフォームを作成し、セキュリティ製品をカーネルから引き離す」ことについて議論したことを明かしました。
Taking steps that drive resiliency and security for Windows customers | Windows Experience Blog
https://blogs.windows.com/windowsexperience/2024/09/12/taking-steps-that-drive-resiliency-and-security-for-windows-customers/

Microsoft is building new Windows security features to prevent another CrowdStrike incident - The Verge
https://www.theverge.com/2024/9/12/24242947/microsoft-windows-security-kernel-access-features-crowdstrike
Microsoft Eyes New Windows Security Layer To Prevent CrowdStrike Repeat | PCMag
https://www.pcmag.com/news/microsoft-eyes-new-windows-security-layer-to-prevent-crowdstrike-repeat
Microsoftは2024年9月10日に、ワシントン州レドモンドの本社で「Windowsエンドポイントセキュリティエコシステムサミット」を開催しました。MicrosoftはCrowdStrikeをはじめとするエンドポイントセキュリティ技術を提供する主要パートナーを招待し、セキュリティ回復力の向上やインフラの保護についての会合を実施したとのこと。
CrowdStrikeの災害を経てMicrosoftがセキュリティサミットを開催 - GIGAZINE

開催の背景には、2024年7月19日に発生したWindows PCの大規模障害があります。この障害では、CrowdStrikeがカーネルにアクセス可能だった自社製品のアップデートを実施した結果、世界的な規模で端末の不具合が発生しています。
ブルースクリーンオブデスで世界的な障害を引き起こしたCrowdStrikeが根本原因分析を発表 - GIGAZINE

Microsoftは今回の会合において「セキュリティベンダーのニーズを満たすことができる新たなプラットフォームを作成するための要件と主要な課題について話し合いました」と述べています。また、MicrosoftのエンタープライズおよびOSセキュリティ担当バイスプレジデントのデビッド・ウェストン氏は「当社の顧客とエコシステムパートナーの両方が、カーネルモード以外での追加のセキュリティ機能を提供するようMicrosoftに求めています。これにより、安全なデプロイプラクティスとともに、可用性の高いセキュリティソリューションを開発することが可能です」と語りました。
Microsoftは、セキュリティベンダーがカーネルモード以外でシステムを運用するにあたっての課題やセキュリティ製品の改ざん防止保護の必要性、セキュリティセンサーの要件について話し合ったとのことで、「次のステップとしてMicrosoftは、セキュリティを犠牲にすることなく信頼性を向上させるという目標を達成するために、エコシステムパートナーからの意見と協力を得て、この新しいプラットフォーム機能の設計と開発を続けます」と報告しています。
今回のサミットについてCrowdStrikeのプライバシーおよびサイバーポリシー担当バイスプレジデントのドリュー・バグレー氏は「Microsoftや業界の同業他社とのこれらの重要な議論に参加する機会を得られたことを高く評価しています。今回のサミットでは、顧客のセキュリティを強化する、より回復力のあるオープンなWindowsエンドポイントセキュリティエコシステムを構築するための最善の方法について話し合うことができました」と話しました。

Sophosのジョー・レヴィCEOは「Windowsとエンドポイントセキュリティエコシステムの両方のレジリエンスと堅牢性を高めることについてのオープンな議論を同業他社と交わすことができたのは喜ばしい機会でした」と述べています。また、Trend Microのケビン・シムザーCOOは「Microsoftが主要なエンドポイントセキュリティリーダーとの協力を継続するために今回のような門戸を開いてくれたことに賛辞を送ります」と語っています。
一方でCloudflareのマシュー・プリンスCEOは「Microsoftだけが効果的なエンドポイントセキュリティを提供できる世界は、安全な世界とは言えません」と今回の会合に苦言を呈しています。
Called it. Regulators need to be paying attention. A world where only Microsoft can provide effective endpoint security is not a more secure world. pic.twitter.com/PR2AnJwpZi— Matthew Prince ???? (@eastdakota) August 23, 2024

また、「あらゆるユーザーにカーネルへのアクセスを制限している一方で、Microsoftは自社製品にカーネルへの『特権的なアクセス』を与えています」とプリンス氏は指摘しました。
Apple doesn’t compete in the endpoint security space. The problem isn’t looking your kernel down. It’s locking it down for everyone else but still letting your own solution have privileged access.— Matthew Prince ???? (@eastdakota) August 23, 2024