セキュリティが根本から変わる「脆弱性があっても悪用させない」技術セキュリティの概念を変えるDSbD【前編】

英UKRIはサイバーセキュリティを根本から変え、ソフトウェアに起因する脆弱性を排除しようとしている。その一端が「メモリの安全性」技術だ。

2021年12月21日 08時00分 公開
[John GoodacreComputer Weekly]

 何十年もの間、コンピュータはソフトウェアの設計ミスやバグに起因する脆弱(ぜいじゃく)性を抱え、データの侵害やランサムウェア攻撃にさらされてきた。サイバーセキュリティの世界は、コンピュータの基本的な問題をブロックあるいは排除するのではなく、攻撃のリスクと機会の低減を中心に進化してきた。

 ここには2つの根本的な問題がある。一つはパッチの適用が唯一の解決策であること。もう一つが脆弱性の結果をブロックする方法が見つからないことだ。つまり、病気を防ぐのではなく病気を治療するしかないのだ。

アーキテクチャの大改革:メモリの安全性

 その理由の一つは、ソフトウェアを実行する基本的なアーキテクチャが変わっていないことにある。

iStock.com/metamorworks

 UK Research and Innovation(UKRI)は、サイバー攻撃からコンピュータを確実に保護する方法を根本的に変えようとしている。脆弱性を設計レベルでブロックし、コンピュータの操作とデータをデフォルトで保護する全く新しいルールをもたらす技術を提供するため、UKRIは「Digital Security by Design Challenge」(DSbD)を作成した。

 ソフトウェアにおける新しいアプローチの目標は、メモリの安全性向上だ。これは通常、パフォーマンスを大きく低下させるか、ソフトウェアを極度に制約するか、数十億行のコードを根本的に書き直す必要がある。だがそんなことをすれば新たな脆弱性が生まれる可能性がさらに高くなる。

 英ケンブリッジ大学の研究プログラム「CHERI」は、基本的だが段階的に発展可能な変更を加えることができるプロセッサアーキテクチャ設計を調査した。これが実現すれば、ソフトウェア設計を過度に制約することなく、ハードウェア自体によるメモリセーフな設計を実装可能になる。

 UKRIが出資した最初のプロジェクトはArm主導のコンソーシアムだ。そこでは、メインストリームプロセッサにCHERIの概念を適用できるかどうかを「Morello」プログラムとして調査している。

 既存のプロセッサでは、OSやアプリケーションが広範囲のメモリを操作できる。CHERIの設計原則はそれとは異なり、メモリ領域を細分化する。ソフトウェアがアクセスできるのは意図的に許可されたメモリ領域に限定される。

 脆弱なコードにはコードを書き込むアクセス権が設計上ないため、コンピュータの脆弱性を利用してコードを書き込むサイバー攻撃は起こらなくなる。

後編では、「区画化」による各種コードとデータの細分化技術とそれらを実現するためのロードマップを解説する。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...