Microsoftは、毎月のセキュリティ更新を通じて、Windowsの脆弱性対策やセキュリティ強化を継続的に行っています
昨年2025年11月のアップデートでは、Windows 11 25H2 / Server 2025向けの変更として、CLFS(Common Log File System)形式のログファイルに HMAC(Hash-based Message Authentication Code)が導入され、ログ改ざんへの耐性が大幅に強化されていたことがわかりました。
CLFSはWindows内部で使われる高速ログシステムで、過去に脆弱性が悪用されたこともあります。HMACの付与は改ざん検知を行うためのもので、以下のような仕組みとなっています。
- ログデータ+秘密鍵 → HMAC を生成
- ログを開く際に HMAC を検証
- 改ざんされていればログを拒否
セキュリティ強化としては非常に重要な変更です。
90 日間の「学習モード」で移行をサポート
アップデート直後にすべてのログが拒否されるわけではありません。Microsoftは90日間の移行期間を設けています。
-
既存ログを開くと自動で HMAC を付与
-
90 日後に「強制モード」へ移行
-
未アクセスのログは
fsutil clfs authenticateで手動変換が必要
IT管理者は、この期間中にログ運用を見直すことが重要になります。
ログ処理の負荷は増加
今回の変更によりログのセキュリティは強化される反面、ログサイズが増加し、書き込みが最大2倍遅くなるというデメリットもあります。
ログファイルのサイズは次のように増加します:
| コンテナサイズ | 追加データ量 |
|---|---|
| 512KB | 約 8KB |
| 1MB | 約 12KB |
| 10MB | 約 90KB |
| 100MB | 約 57KB |
| 4GB | 約 2MB |
さらにHMACの生成・検証により I/O処理の負荷が増え、ログ書き込み速度が平均で約2倍遅くなる可能性があります。
まとめ
CLFSへのHMACの付与によりログの改ざん防止が可能になりますが、ログのサイズ増加や書き込み速度が最大2倍遅くなるという弊害があります。セキュリティ強化のための「必要なコスト」ではあるものの、ログを多用するシステムではパフォーマンスへの影響を把握しておく必要があります。
詳細は公式ドキュメントで確認可能です。
[via Neowin]
