2018年07月05日 05時00分 公開
特集/連載

「Meltdown」と「Spectre」は本当にCPUの脆弱性か、それとも単なる欠陥か仕組みを解説

「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。

[Michael Cobb,TechTarget]

関連キーワード

脆弱性 | Intel(インテル) | AMD


 「脆弱性」とは何か。CNSS(Committee on National Security Systems)が作成した「National Information Assurance Glossary」によれば、脆弱性とは「情報システム、システムセキュリティ手続き、内部統制、実装の中で侵害される恐れのある弱点」と定義されている。米国空軍のソフトウェア保護戦略では、「システムの影響を受けやすい部分(欠陥)」「欠陥を見つけ出す脅威の能力」「欠陥を悪用する脅威の能力」という3つの要素が互い交わるところにシステムの脆弱性があると定義されている。

 こうした定義に基づくと、CPUの欠陥であるMeltdownとSpectreは脆弱性に分類されるのだろうか。それとも一部で主張されているように単なるCPUの特徴で、悪意を持った行為者が悪用する方法を成立させただけなのだろうか。

 最新のOSは、ユーザーアプリケーションがカーネルメモリ(保護されたメモリ領域)に読み取りや書き込みを行えないようにしている。また、他のアプリケーションのメモリにもアクセスさせない。デバイスが複数のアプリケーションやクラウドベースのサーバを安全に実行できるようにし、1台のPCで複数のユーザープロセスを独立させた状態に保つためには、こうしたメモリの分離が不可欠になる。

MeltdownとSpectreの仕組み

ITmedia マーケティング新着記事

news033.jpg

3万円で始めるウェビナー 配信ツールをどう選ぶ?
まずはスモールスタートで。今回は、ウェビナーを実施するための体制や必要な環境につい...

news128.jpg

有料化直後のドラッグストアでは「レジ袋購入しない人」が約8割――True Data調べ
2020年7月1日からレジ袋を有料化したドラッグストアの実購買データを調査。

news134.jpg

B2BサービスサイトにおけるCVの58%はトップページからの直行――WACUL調査
CV(コンバージョン)を目的としたWebサイトの改善に必要な施策とは何か。4つのデータに...