CPUにセキュリティ問題【Pマーク取得の基礎知識】

年始早々ですが、重要な脆弱性情報が出ています。世の中に出回っているほとんどのパソコンやスマホが関係するニュースで、各プライバシーマーク(Pマーク)(Pマーク)取得会社に注意を向けていただきたい内容です。
グーグルがCPU脆弱性の詳細を明らかに、Intel・AMD・Armが対象
CPUとは何か?
コンピュータにはCPUといういわば人間の頭脳に当たる部分があります。「CPU」とはコンピュータの中心的な処理装置で、「プロセッサ」とか「マイクロプロセッサ」などと呼ばれることもあります。
今回のセキュリティ問題は、「投機的実行」を利用した攻撃によってメモリロケーションからデータが取得されてしまうという脆弱性が関係しています。個人情報保護に努めているプライバシーマーク(Pマーク)取得会社としては非常に深刻なセキュリティ問題として受け止めるべき内容です。
ちなみに「投機的実行」とはCPUの計算速度を向上させる過程で考案されたもので、プログラムを先読みして実行する処理のことを言います。それ自体は非常に有用なシステムですが、それが悪用されることで今回の問題が発生しているということです。
2つのセキュリティ問題
今回の脆弱性に関して報告されている問題が主に2つあって、両方ともプロセッサの構造が原因となっています。
一つ目には「Meltdown(CVE-2017-5754)」という名称が付されています。こちらは不正プログラムがOSを通してメモリ空間内の情報にアクセスできてしまうという脆弱性です。これによりパスワードなどの機密情報が漏えいするおそれが生じます。
Meltdownの影響の範囲ですが、Intelの場合はおよそ1995年以降に提供されたプロセッサに影響が出ている可能性があるとのことで、その他ARMなどのプロセッサでも影響が出ているようです。
二つ目は「Spectre(CVE-2017-5753、CVE-2017-5715)」という名称の脆弱性です。Spectreは攻撃者により強制的にCPUの投機的実行プロセスが開始される問題です。そうなると、CPUは次の処理を解析するために機密情報を有効な状態にし、その結果攻撃者がそのデータを読むことができるようになってしまうわけです。
Spectreはアプリケーション間の分離を破壊して実行されるためMeltdownに比べて悪用の難易度は高いのですが、その分脆弱性を解消するものも難しいと言われています。
影響を軽減するにはどうすればよいのか
主要メーカーのプロセッサが今回の脆弱性の影響を受けているためプライバシーマーク(Pマーク)取得会社もそうでない会社も他人事と思わずに問題に関する情報収集に努めていただきたいと思います。
根本的な対策はCPUを交換することですが、利用しているOSに対してパッチを適用して更新することでもある程度影響を軽減できるとの報告がなされています。
とはいえ特にSpectreのほうは対応が難しく、OSのアップデートによって一定の対策とはなるものの解決には長期間かかると指摘されています。
まとめ
今のところは各OSやアプリケーションソフトウェアのベンダーが続々と更新バージョンの提供を始めていますので、各プライバシーマーク(Pマーク)取得会社においては会社の方針を定めて逐次適用していく方向性で進めるのがよいでしょう。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]