2018年07月05日 05時00分 公開
特集/連載

「Meltdown」と「Spectre」は本当にCPUの脆弱性か、それとも単なる欠陥か仕組みを解説

「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。

[Michael Cobb,TechTarget]

関連キーワード

脆弱性 | Intel(インテル) | AMD


 「脆弱性」とは何か。CNSS(Committee on National Security Systems)が作成した「National Information Assurance Glossary」によれば、脆弱性とは「情報システム、システムセキュリティ手続き、内部統制、実装の中で侵害される恐れのある弱点」と定義されている。米国空軍のソフトウェア保護戦略では、「システムの影響を受けやすい部分(欠陥)」「欠陥を見つけ出す脅威の能力」「欠陥を悪用する脅威の能力」という3つの要素が互い交わるところにシステムの脆弱性があると定義されている。

 こうした定義に基づくと、CPUの欠陥であるMeltdownとSpectreは脆弱性に分類されるのだろうか。それとも一部で主張されているように単なるCPUの特徴で、悪意を持った行為者が悪用する方法を成立させただけなのだろうか。

 最新のOSは、ユーザーアプリケーションがカーネルメモリ(保護されたメモリ領域)に読み取りや書き込みを行えないようにしている。また、他のアプリケーションのメモリにもアクセスさせない。デバイスが複数のアプリケーションやクラウドベースのサーバを安全に実行できるようにし、1台のPCで複数のユーザープロセスを独立させた状態に保つためには、こうしたメモリの分離が不可欠になる。

MeltdownとSpectreの仕組み

ITmedia マーケティング新着記事

news152.jpg

よく分かる「デジタルネイティブ」入門(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news056.jpg

マーケターの87%がサードパーティーCookie利用規制の影響を実感――イルグルム調査
広告主はWeb広告の効果においてCookieの利用規制の影響を感じているようです。

news122.jpg

2021年ホリデーシーズンにおける米国オンライン消費額、サプライチェーン危機にもかかわらず過去最大を更新
「Adobe Digital Economy Index」によると、米国の2021年のホリデーシーズンにおけるオン...