全世界で発生したCrowdStrike“ブルスク”問題、原因からIT担当者が検討すべきセキュリティ対策を考察する（2/4 ページ）

[笠原一輝，ITmedia]

こうなるのはWindowsの安定性が足りないから？

　なぜこうしたことが起こるのか？　Windowsの安定性に問題があるのか？　公正な言い方をすると、それはある意味正しく、ある意味正しくない。

　今回の原因になったFalcon sensor for Windowsの復旧方法では、Windowsをセーフモードなどで起動して、「C:\Windows\System32\drivers\CrowdStrike」というシステムファイルが格納されているドライバーフォルダにある「C-00000291*.sys」（*は何らかの文字列であることを示している）というファイルを削除して再起動すると、OSはBSODのループから復帰して正常に起動すると説明されている。

　この「C:\Windows\System32\drivers」というフォルダには通常、ハードウェアのドライバーなどが置かれていて、Windows OSの起動時にカーネルモードと呼ばれるOSの重要部分の一部として読み込まれることになる。

　今回はそこに格納されたCrowdStrikeの「C-00000291*.sys」がBSODを引き起こしていたため、BSODになった後、OSが起動する段階で再びBSODになるということを繰り返したと考えられる。

　なお、インストール時には管理者権限付与が必要になるため、きちんとユーザーレベルの管理を行っている企業PCではユーザーレベルの権限ではこうしたドライバーをインストールできないようになっている。しかし、ISV（サードパーティーのソフトウェアベンダー、Microsoftから見たCrowdStrikeがこれに該当する）にそうしたモジュールをOSの一部として組み込ませるような仕組みを用意していることが、今回の問題につながったと否定的に捉えることは一面正しい。

　しかし、それはさまざまなISVのアプリケーションや、さまざまなIHV（サードパーティーハードウェアベンダー、Microsoftから見てPCメーカーや周辺機器メーカーが該当する）のハードウェアをサポートできるプログラマブルOSであるWindowsの特徴を否定するという意味で正しくない。

　Windowsでは標準セキュリティツールとして「Windowsセキュリティ」と呼ばれるセキュリティツールが含まれている。それでも十分なセキュリティ性は確保できると考える企業もあれば、もっとガチガチなセキュリティを実現したいと考えている企業もあるというのが現状だ。そこで、CrowdStrikeのようなISVが採用される余地がある。

　Windowsセキュリティではセキュリティ性が十分ではないと考えるとエンタープライズは少なくなく、実際そういう大企業が多いからこそ、今回のような問題が顕在化したということだ。

　結局のところ、プログラマブルとセキュリティ性の高さはトレードオフの関係だ。最初からISVのセキュリティツールを組み込めないようにすれば、今回のような問題を引き起こすことは防ぐ事ができるが、しかし大企業のようにもっと高度なセキュリティツールをインストールしたいというニーズには応えることができない。