fbpx

情報セキュリティにまつわる
お役立ち情報を発信

CPUにセキュリティ問題【Pマーク取得の基礎知識】

 

年始早々ですが、重要な脆弱性情報が出ています。世の中に出回っているほとんどのパソコンやスマホが関係するニュースで、各プライバシーマーク(Pマーク)取得会社に注意を向けていただきたい内容です。

グーグルがCPU脆弱性の詳細を明らかに、Intel・AMD・Armが対象

 

CPUとは何か?

コンピュータにはCPUといういわば人間の頭脳に当たる部分があります。「CPU」とはコンピュータの中心的な処理装置で、「プロセッサ」とか「マイクロプロセッサ」などと呼ばれることもあります。

今回のセキュリティ問題は、「投機的実行」を利用した攻撃によってメモリロケーションからデータが取得されてしまうという脆弱性が関係しています。個人情報保護に努めているプライバシーマーク(Pマーク)取得会社としては非常に深刻なセキュリティ問題として受け止めるべき内容です。

ちなみに「投機的実行」とはCPUの計算速度を向上させる過程で考案されたもので、プログラムを先読みして実行する処理のことを言います。それ自体は非常に有用なシステムですが、それが悪用されることで今回の問題が発生しているということです。

 

2つのセキュリティ問題

今回の脆弱性に関して報告されている問題が主に2つあって、両方ともプロセッサの構造が原因となっています。

一つ目には「Meltdown(CVE-2017-5754)」という名称が付されています。こちらは不正プログラムがOSを通してメモリ空間内の情報にアクセスできてしまうという脆弱性です。これによりパスワードなどの機密情報が漏えいするおそれが生じます。

Meltdownの影響の範囲ですが、Intelの場合はおよそ1995年以降に提供されたプロセッサに影響が出ている可能性があるとのことで、その他ARMなどのプロセッサでも影響が出ているようです。

二つ目は「Spectre(CVE-2017-5753、CVE-2017-5715)」という名称の脆弱性です。Spectreは攻撃者により強制的にCPUの投機的実行プロセスが開始される問題です。そうなると、CPUは次の処理を解析するために機密情報を有効な状態にし、その結果攻撃者がそのデータを読むことができるようになってしまうわけです。

Spectreはアプリケーション間の分離を破壊して実行されるためMeltdownに比べて悪用の難易度は高いのですが、その分脆弱性を解消するものも難しいと言われています。

 

影響を軽減するにはどうすればよいのか

主要メーカーのプロセッサが今回の脆弱性の影響を受けているためプライバシーマーク(Pマーク)取得会社もそうでない会社も他人事と思わずに問題に関する情報収集に努めていただきたいと思います。

根本的な対策はCPUを交換することですが、利用しているOSに対してパッチを適用して更新することでもある程度影響を軽減できるとの報告がなされています。

とはいえ特にSpectreのほうは対応が難しく、OSのアップデートによって一定の対策とはなるものの解決には長期間かかると指摘されています。

 

まとめ

今のところは各OSやアプリケーションソフトウェアのベンダーが続々と更新バージョンの提供を始めていますので、各プライバシーマーク(Pマーク)取得会社においては会社の方針を定めて逐次適用していく方向性で進めるのがよいでしょう。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る