「Windowsが動く仕組み」をカーネルから読み解く OS“心臓部”の正体とは：Windows「カーネル」の基礎【前編】

カーネルはWindowsの中核部分であり、問題が発生するとシステム全体に致命的な影響を及ぼしかねない。カーネルがどのように機能するのか、その仕組みと重要性を理解しよう。

[Ed Tittel，TechTarget]

　Microsoftの「Windows」をはじめとするOSの中核的な役割を担うのがカーネルだ。Windowsの管理者にとって、その構造や挙動を理解することは、安定的な運用とトラブルシューティングの観点からも不可欠だ。2024年7月に世界中で発生したWindows搭載デバイスの大規模障害も、カーネルの仕組みが深く関係していた。

　本稿はカーネルの基本的な役割を押さえつつ、障害の事例も交えてなぜその理解が管理者にとって重要なのかを解説する。

あの障害も引き起こしたWindowsの心臓部「カーネル」の正体

併せて読みたいお薦め記事

脆弱性対策について考える

• “当たり前”の不備が大問題　企業によくある5つの脆弱性と対策
• CrowdStrikeが「想定外の障害」を防げなかった“本当の理由”

　カーネルはOSとハードウェアの橋渡し役として常に動作し続けており、保護されたメモリ領域（カーネル空間）に配置されている。その主な役割は以下の通り。

• タスクのスケジューリングや処理
• プロセスの割り当てと管理
• メモリ、ストレージ、ネットワーク通信、デバイスアクセスなど、システム全体のリソース管理

　このようにカーネルは、OSの稼働を支える要となる存在だ。カーネルがクラッシュすると、PCは完全に停止して操作ができなくなる。Microsoftはこのエラーを「STOPエラー」と呼んでいる。画面全体が青くなり、白い文字でエラーメッセージが表示されることから、「ブルースクリーン」あるいは「ブルースクリーン・オブ・デス」という名称でも知られている。

　2024年7月、セキュリティベンダーCrowdStrikeが配布した設定ファイルの更新版が引き起こしたバグによって、世界中でWindowsが強制的に停止する事態が発生した。設定ファイルを読み込んだドライバは「カーネルモード」で動作していたため、Windows全体が停止してしまったのだ。問題のドライバは、PCの起動時に自動的に読み込まれるため、一度障害が発生すると、再起動しても同じエラーが繰り返され、OSが利用不能になるという悪循環に陥った。

　この障害により、最大で850万台のWindows搭載PCが数時間から数日にわたって使用不能となり、世界的に大きな混乱を招いた。復旧には、外付け記録媒体からのPC起動や、コマンド操作によるドライバの削除など、一般ユーザーには困難な対処が必要だった。特に、遠隔地にあるPCの復旧は難しく、多くの組織で業務に深刻な影響が生じた。

　CrowdStrikeの事例は、「カーネルモードで動作する一部ソフトウェアの不具合」が、一般ユーザーにも直接的な被害をもたらすことを示した重要な教訓だ。通常、カーネルレベルの障害は専門的な問題として扱われる傾向にあるが、ソフトウェアやドライバのアップデートがきっかけで、一般ユーザーのPCにもカーネルエラーは発生し得る。

カーネルのアーキテクチャを理解する

　コンピュータサイエンスの分野では、OSやハードウェアの仕組みを説明する際に、視覚的なモデルを使うことがよくある。その中でも有名なものが、Intelが提唱した「リングモデル」だ（図）。このモデルでは、OS内で動作する各種プロセスをリング（同心円状の階層）として整理し、中心のリング0から外側のリング3まで番号を振って分類する。

図　OSカーネルの特権レベルの階層構造（リングモデル）を示す

　このモデルでは、中心に近いほど特権レベルが高く、ハードウェアやシステムリソースへのアクセス権限が広くなる。

• リング0（カーネルモード）
  • OSの中核であるカーネルがこの層で動作する。カーネルはCPU、メモリ、ストレージ、デバイスなど、あらゆるリソースに対して無制限のアクセス権限を持っている。
• リング1（ドライバ層）
  • 一般的なデバイスドライバがこの層に配置される。これらのドライバは、カーネルを通してI/O（入出力）処理を実施し、システムとハードウェアの橋渡しを担う。
• リング2（システムサービス）
  • OSの各種サービスやAPI層がここに該当する。リング3のアプリケーションと、リング1のデバイスドライバ間の中継役として機能する。
• リング3（ユーザーモード）
  • 一般的なアプリケーションやユーザーの操作環境がこの層で動作する。リング3のプロセスは、CPUやメモリといったシステムリソースへ直接アクセスすることはできず、常にカーネルへリクエストを送る必要がある。

　一部のドライバは、パフォーマンスや処理の必要性から、カーネルモードでの動作が許可（昇格）されることがある。一方、先述したCrowdStrikeの事例のように、昇格したドライバに不具合があると、その影響はシステム全体に及び、アプリケーションやユーザー環境にまで深刻な影響を与える可能性がある。

Windowsカーネルの障害にどう備えるか

　CrowdStrikeのインシデントが示す通り、カーネルモードで障害が発生した場合、管理者による対処が不可欠だ。一般ユーザーは、復旧に必要な手段や権限、必要なツールを持たないため、自力での修復は難しい。

　こうした課題を受け、Microsoftが2024年のカンファレンス「Microsoft Ignite 2024」で発表したのが「Windows Resiliency Initiative」という構想だ。その中核を成すのが「Quick Machine Recovery」というツールだ。これは、OSが起動不能になるような深刻なカーネルエラーが発生した場合でも、より迅速かつ確実な復旧を可能にすることを目指したものだ。

　Quick Machine Recoveryを導入することで、管理者は物理的に現場にいなくても、より正確かつ効率的に障害対応を実施できるようになる。一般向けのプレビュー版提供は2025年中に開始される予定で、企業のITインフラ運用における信頼性と保守性の向上が期待されている。

---

　次回は、カーネルが実際にどのようなことをしているのか詳細に解説する。

TechTarget発 世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。