CrowdStrikeの事件を受けてMicrosoftとベンダーが議論、Windowsの新しいセキュリティプラットフォームの在り方とは？：保護強化に向けた新たな施策を検討

Microsoftが主催するWindowsエンドポイントセキュリティエコシステムサミットが開催され、セキュリティ強化やパートナーとの協力、信頼性向上に焦点を当てた議論が交わされた。

[＠IT]

　Microsoftは2024年9月10日（米国時間）、Windowsエンドポイントセキュリティエコシステムサミットを開催した。このフォーラムでは、米国とヨーロッパのさまざまなエンドポイントセキュリティベンダーと政府関係者が参加し、回復力の向上と重要なインフラストラクチャの保護に関する戦略について話し合われた。

　2024年7月のCrowdStrikeの事件は、セキュリティベンダーがレジリエンス（強靭《きょうじん》性）と、俊敏な「アダプティブ保護」（適応型保護）の両方を推進する責任があることを浮き彫りにしたという。

　Microsoftは、クライアント、サーバ、IoTをカバーするWindows用のエンドポイントプロテクションや追加セキュリティ製品を開発するMicrosoft Virus Initiative（MVI）のパートナー各社とともに、現代のセキュリティ環境の複雑さについて議論し、単純な解決策がないことを確かめ合った。

CrowdStrikeの事件を受けてベンダー各社と合意した今後の施策の方向性

　サミットの主な合意点は、Windowsとセキュリティ製品の選択肢が豊富であることが、エンドポイントセキュリティベンダーと共通の顧客にとって有益であるということだった。膨大なエンドポイント製品が市場にある中で、各社が自社製品の機能、アップデート、障害対応についての情報を公開することで、レジリエンスを高める責任を共有するという認識が明確になった。

　短期的な取り組みについては、共通の顧客の安全性と回復力を強化する方法をテーマに議論がなされた。まず、Microsoftが採用する「安全な展開の実践（SDP）」について深掘りし、MVIパートナーと協力してコミュニティー全体で共有できるベストプラクティスを作成することを検討した。これは、Windowsの大規模なエコシステムに対して安全に更新を行う際の共通課題に取り組むのに必要となる。

　SDPのコア原則は、顧客に送信される更新プログラムを段階的に展開することだ。Microsoft Defender for EndpointはSDPを公開しており、Broadcom、Sophos、Trend Microなどのエコシステムパートナーにこの取り組みを共有している。MVIパートナーと議論を重ね、エコシステム全体で使用される共通のベストプラクティスを作成する努力を続ける予定だ。

　重要コンポーネントのテスト強化、製品間の互換性向上、製品の健全性に関する情報共有の促進、インシデント対応の改善など、迅速に進めるべきトピックについても議論がなされた。

　サミットでは、レジリエンスとセキュリティ目標を支える長期的なステップについても検討がなされた。Microsoftが「Windows 11」に実施してきたセキュリティ投資を基に、Windowsに新たに提供予定のプラットフォーム機能について議論がなされた。Windows 11の強化されたセキュリティ態勢とセキュリティデフォルトにより、ソリューションプロバイダーがカーネルモード外でより多くのセキュリティ機能を提供できるようになる。

　Microsoftに対して顧客とエコシステムパートナーの両方から、カーネルモード外での追加のセキュリティ機能を提供するよう求められているという。Microsoftは「SDPとともに使用することで、可用性の高いセキュリティソリューションを構築することができるようになる」と述べている。

新しいプラットフォームの要件と課題

　サミットでは、Microsoftとパートナーが、セキュリティベンダーのニーズを満たす新しいプラットフォームを作成するための要件と主要な課題について議論を交わした。

　議論された分野には、以下のものが含まれる。

• カーネルモード外でのパフォーマンスのニーズと課題
• セキュリティ製品の改ざん防止保護
• セキュリティセンサーの要件
• Microsoftとエコシステム間の開発と協力の原則
• 将来のプラットフォームに向けたセキュアバイデザインの目標

　Microsoftは次のステップとして、「セキュリティを犠牲にすることなく信頼性を向上させるという目標を達成するために、エコシステムパートナーの意見と協力を得ながら、この新しいプラットフォーム機能の設計と開発を続けていく予定だ」としている。

CrowdStrike、ESET、SentinelOne――フォーラム参加ベンダーのコメント

　フォーラムに参加した幾つかのベンダーはコメントを残している。本稿では、CrowdStrike、ESET、SentinelOneのコメントを抜粋しておく。

　「Microsoftや業界の同業者と、よりレジリエンスが高くオープンなWindowsエンドポイントセキュリティエコシステムの構築に向けて協力する最善の方法について、重要な議論に参加したことをうれしく思う。エコシステムはお互いの顧客のセキュリティを強化する」（CrowdStrike プライバシー＆サイバーポリシー担当副社長 兼 顧問 ドリュー・バグリー氏）

　「ESETは、安定性を測定できる改善を証明する、今回のWindowsエコシステムへの変更を支持する。ただし、変更によってサイバーセキュリティとして脆弱（ぜいじゃく）になったり、パフォーマンスに影響したり、サイバーセキュリティ製品の選択肢が制限されたりしないことが条件だ。サイバーセキュリティ製品がカーネルアクセスをオプションとして使用できることは、継続的なイノベーション、今後のサイバー脅威の検出と防御を可能にするために欠かせない。この重要な取り組みで引き続き協力できることを楽しみにしている」（ESET）

　「SentinelOneは、Windowsエンドポイントセキュリティエコシステムサミットの開催におけるMicrosoftのリーダーシップに感謝するとともに、『CrowdStrikeが引き起こしたようなことが将来的に発生する可能性を減らす』という目標の達成に全力で取り組む。当社は『透明性が極めて重要だ』と考えており、『セキュリティ企業は厳格なエンジニアリング、テスト、デプロイの標準に準拠し、ソフトウェア開発およびデプロイのベストプラクティスに従う必要がある』というMicrosoftの意見に強く賛同する。Microsoftが今回説明したプロセスを長年にわたって順守してきたことを誇りに思っており、今後もそうしていく」（SentinelOne 最高製品責任者 兼 最高技術責任者 リック・スミス氏）