2018年07月05日 05時00分 公開
特集/連載

仕組みを解説「Meltdown」と「Spectre」は本当にCPUの脆弱性か、それとも単なる欠陥か

「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。

[Michael Cobb,TechTarget]

関連キーワード

脆弱性 | Intel(インテル) | AMD


 「脆弱性」とは何か。CNSS(Committee on National Security Systems)が作成した「National Information Assurance Glossary」によれば、脆弱性とは「情報システム、システムセキュリティ手続き、内部統制、実装の中で侵害される恐れのある弱点」と定義されている。米国空軍のソフトウェア保護戦略では、「システムの影響を受けやすい部分(欠陥)」「欠陥を見つけ出す脅威の能力」「欠陥を悪用する脅威の能力」という3つの要素が互い交わるところにシステムの脆弱性があると定義されている。

 こうした定義に基づくと、CPUの欠陥であるMeltdownとSpectreは脆弱性に分類されるのだろうか。それとも一部で主張されているように単なるCPUの特徴で、悪意を持った行為者が悪用する方法を成立させただけなのだろうか。

 最新のOSは、ユーザーアプリケーションがカーネルメモリ(保護されたメモリ領域)に読み取りや書き込みを行えないようにしている。また、他のアプリケーションのメモリにもアクセスさせない。デバイスが複数のアプリケーションやクラウドベースのサーバを安全に実行できるようにし、1台のPCで複数のユーザープロセスを独立させた状態に保つためには、こうしたメモリの分離が不可欠になる。

MeltdownとSpectreの仕組み

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news057.jpg

パナソニックが早稲田大学恩藏ゼミと協働でマーケティングプロジェクトを立ち上げ
パナソニックは、早稲田大学商学部 恩藏直人教授のゼミと協働で、マーケティングプロジェ...

news048.jpg

ぴあデジタルコミュニケーションズ、レシート換金アプリ「ONE」のワンファイナンシャルと協業
ぴあデジタルコミュニケーションズは、ワンファイナンシャルと協業すると発表した。

news018.jpg

「環境ブランド調査2018」サントリーが2年連続首位――日経BP社調べ
日経BP社は、「環境ブランド調査2018」の結果を発表しました。