新年早々から、生活や仕事で日常的に使用されているコンピュータのプロセッサに脆弱性が発見され、情報が公開されるという予想外の事態が起こった。2018年は騒動で始まったと言っていいだろう。
今回の脆弱性は、専用のウェブサイトを設けるのにふさわしいものだった。脆弱性の具体的な詳細に関しては、すでに多くの記事が書かれており、筆者自身も、所属するForrester Researchの顧客と共同で調査レポートをまとめているため、ここでは細部に立ち入らず、今回の問題から見えたことや影響に焦点を当てることにしたい。
- GoogleのProject Zeroチームは、世界の安全に貢献している。Googleが、トップクラスのセキュリティ研究者チームを擁し、その成果を業界やユーザーと共有する取り組みを続けていることは、高く評価すべきだ。Google自身も、自社の製品やサービスをより安全にするための支援を受けているほか、メディアからの注目の獲得やPRなどの面でもメリットを受けているが、Project Zeroのおかげで、プロセッサやアプリケーションが以前よりも安全になろうとしていることは確かだ。
- 今回の情報公開はほとんど完璧だったが問題もあった。これらの脆弱性に関する情報は、プロセッサのメーカーやOSベンダー、クラウドサービスプロバイダー、オープンソースプロジェクトのコントリビュータ―などが緩和策を用意できるまで、数カ月間にわたって伏せられていた。今回は、さまざまな業界の利益が競合する団体が、世界的な協力体制を敷き、顧客やユーザーのパニックをほぼ完全に押さえ込むことに成功した。これは極めて困難なことであり、参加したすべての組織は賞賛に値すると言っていい。しかし、CPUのアーキテクチャやハイパーバイザエスケープについて、さまざまな関係者に何日も説明し続けるはめに陥ったIT業界の関係者は、「十分によかった」や「ほとんど完璧だった」といった評価には思うところがあるはずだ。
