影響範囲の広さから世界中のセキュリティ担当者に衝撃を与えた「Spectre」「Meltdown」。これらによって認識が広がった「CPU脆弱性」とは、どのような脆弱性なのか。対策はあるのか。あらためて整理した。
「脆弱(ぜいじゃく)性」と聞くと、真っ先にソフトウェアの脆弱性を思い浮かべる人が多いだろう。「脆弱性対策」をうたうセキュリティ製品/サービスの大半が、ソフトウェアの脆弱性を対象としている現状が、その証左だといえる。こうした状況に一石を投じるかのように明らかになったのが、CPU脆弱性の「Spectre」「Meltdown」だ。2018年1月、Googleのセキュリティチーム「Project Zero」が公開したこれらの脆弱性は、CPUの高速化をもたらすハードウェアやファームウェアレベルの処理に起因する。
Spectre/Meltdownは攻撃方法の存在が実証された段階であり、実際の悪用例は現時点までに明らかになっていない。ただし今後も悪用されないとは言い切れず、少なくともCPU脆弱性やその対策について理解しておくことは重要だ。CPU脆弱性は、一般的なソフトウェア脆弱性と何がどう違うのか。その具体的な対策とは。Spectre/Meltdownを例に詳しく解説しよう。
Spectre/Meltdownは、CPUの処理性能を向上させるための「投機的実行」という仕組みを悪用する。投機的実行は、CPUの処理速度を高めるために、処理の過程でデータを先読みしつつ結果を予測し、処理を進める仕組みのことを指す。Spectre/Meltdownは、この投機的実行の処理の過程で、予測結果を誤ったものに導き、メモリ領域からデータを盗み取ったり、悪意のあるコードを実行したりできるようにする。
Intel製CPUだけでなく、AMDやArmのCPUもSpectre/Meltdownの対象になる。これらのCPUは、世界に流通しているほとんどのクライアントPCやタブレット、サーバといったデバイスで使用されている。ほぼ全ての企業が、CPU脆弱性のリスクにさらされているといってよい。
Spectre/MeltdownなどのCPU脆弱性を狙った攻撃がなされた場合、機密情報が漏えいしたり、デバイスが使用不能になったりする可能性がある。最近明るみに出たFacebookの情報流出事件でも分かるように、本来漏えいしてはいけない情報が漏えいした場合、企業に与える影響は言うまでもないだろう。
CPU脆弱性攻撃の影響範囲は業種によって異なる。一般企業であれば社内の被害のみにとどまることがほとんどだが、クラウドサービスベンダーやマネージドサービスプロバイダー(MSP)では、サービスのユーザー企業にも広範囲に影響する可能性がある。
当然ながらデバイスベンダーへの影響も甚大だ。過去に販売したデバイスのうち影響を受ける可能性がある全機種に対してパッチを開発し、テストをした上で配布しなければならない。販売中の機種や今後販売を予定していた機種に対しても、生産工程の見直しが必要になる。
一般的なソフトウェアの脆弱性の場合、ソフトウェアベンダーが脆弱性を修正するパッチを開発し、アップデートまたはパターンファイルの形で配布する。ユーザー企業は自動または手動によりこれらを適用する。
CPU脆弱性の場合も同様に、IntelなどのCPUベンダーがパッチを開発する。ここでのパッチは、ファームウェアの一種であるCPU制御プログラムの「マイクロコード」を対象としたものだ。通常は、CPUベンダーがユーザー企業にパッチを直接配布することはない。CPUベンダーはデバイスベンダーにパッチを配布し、その後各デバイスベンダーが自社製品にパッチを組み込み、テストをした後、ファームウェアアップデートの流通経路を使って配布する。
企業では、単一デバイスベンダーの単一機種だけを全社で使用することは、まずあり得ない。通常はさまざまなベンダーの多様な機種が混在しており、導入時期もまちまちだろう。ユーザー企業は、どの機種をいつ購入したのか、どこで何台使用しているのかを正確に把握する必要がある。その上で各デバイスベンダーのパッチ提供状況を常に確認し、提供が始まったら迅速に適用する。
根本的なCPU脆弱性対策としては、マイクロコードのパッチを適用することになる。ただしそれ以外にも企業が取り得る対策がある。主要な対策を以下にまとめた。
Copyright © ITmedia, Inc. All Rights Reserved.
レストランチェーンとして国内外で事業を展開するGenki Global Dining Concepts(旧:元気寿司)。同社の情報システム部門は、PPAPの利用やパスワードの問い合わせ増加などさまざまな問題を抱えていた。同社の解決方法を紹介する。
企業のセキュリティ対策において重要なのは、組織やシステムのセキュリティが「総合的」に機能しているかどうかだ。この総合力を確かめる方法が「ペネトレーションテスト」だ。本動画では、専門家がこのテストの重要性について解説する。
サイバー攻撃が高度化する中、従業員のセキュリティ意識を高めるための教育や訓練の重要性が高まっている。しかし、訓練するだけで終わってしまっている企業も少なくない。効果的なセキュリティ教育を実施するにはどうすればよいのか。
ISMSやPマークといった認証を取得している企業はもちろん、取得していない企業にとっても情報セキュリティ教育が重要であることは変わらない。その方法には、eラーニングや外部セミナー、集合研修などがあるが、どう選べばよいのか。
ランサムウェアの脅威に対処するには、攻撃を受けた際、信頼できるバックアップデータを迅速にリストアできる環境が不可欠だ。定番バックアップソフトとあるストレージの組み合わせに注目し、その導入事例を紹介する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
