編集部からのお知らせ
記事まとめ「サードパーティークッキー問題」公開
記事まとめ読み:GIGAスクール

門林 雄基氏によるコラム【ハードウェアの脆弱性(1)】を公開

奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室を立ち上げた門林 雄基氏による、コラム連載を開始。https://www.accelia.net/column/resilience/

アクセリア株式会社

2018-08-06 10:00

第12回:ハードウェアの脆弱性(1)
「セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質を紹介します」
 前回の記事からずいぶん時間が経ってしまいました。皆さんの会社ではGDPR対応は落ち着いたでしょうか。サイバー空間には国境はないとよく言われますが、「国境がないところでも、国民のプライバシを守る責務を果たそう」という欧州の良識と強い意志によってボーダーレス規制が導入された、歴史的な節目と言えるでしょう。この他にも、EUをはじめ各国・地域でサイバーセキュリティやプライバシを向上させるための規制が相次いで導入されています。

 さて本題に戻って、今回はハードウェアの脆弱性です。メルトダウン、スペクターについては今年1月から、連日の報道も落ち着き、「のど元過ぎれば熱さ忘れる」ですでに過去の事になっている人も多いと思いますが、ここでは、セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質について思いつくままに紹介したいと思います。


「クラウドで脆さが露呈する」
 そもそも、ハードウェア脆弱性がなぜこれほどまでに騒がれるのでしょうか。セキュリティ専門家でない皆さんにとっては「喉元過ぎれば.. 」かもしれませんが、じつはセキュリティ界隈ではハードウェア脆弱性の話題が今年1月以降、途切れることはありません。

 その理由はずばり、クラウド(パブリッククラウド)です。誤解を恐れずに単純化して言ってしまえば、

「クラウド × ハードウェア脆弱性 = 大問題」

 だということに、今年1月以降、多くの人が気付き始めています。だからメルトダウン攻撃が大々的に発表された時も、アメリカの大手クラウド事業者が「事前に教えてもらっていて、すでに手は打っていますよ」という火消しをやっていたのですね。

 ちなみにメルトダウン攻撃や、スペクター攻撃を発見した人たちはクラウドだけが問題だとは言っていません。不用意に怪しいウェブサイトを訪れた人が、ろくでもないJavaScriptを知らずのうちに実行してしまった場合、最悪のケースではWebブラウザが覚えているパスワードを盗まれるかもしれない、というデモをやってのけました。もちろんこの後、Windowsをはじめとする主要なOS、主要なブラウザではアップデートが提供されていますから、攻撃は格段に難しくなったと思います。
 メルトダウン攻撃はハードウェア脆弱性に注目を集める契機となりましたが、攻撃としては「別格」だったと言えます。その後もハードウェア脆弱性の発見が相次いでいますが、多くは「同じハードウェアを共用する場合にリスクがある」というものです。

 やっぱり良く分からない、という人もいると思うので、ここはひとつ、たとえ話をしましょう。オフィスビルに入居するときに、同じビルに同居する他のテナントさんがまともな人かどうか、というのは皆さん気にされると思います。上のフロアが反社会勢力だったら、どうでしょう。皆さん同じエレベータを共有されるでしょうか。
 クラウドもオフィスビルと同様に、テナントごとに隔離されている部分と、同居しているテナントと共用している部分があるわけです。インフラを共用しなかったら、そこまで安くはならないでしょう。問題はパブリッククラウドで、隣のテナントがまともな人である保証はない、ということです。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
(リンク »)


【門林 雄基氏のコラム】
・第1回:サイバーセキュリティに求められるバランス感覚 (リンク »)
・第2回:サイバーセキュリティが損なわれる原因を理解する(1) (リンク »)
・第3回:サイバーセキュリティが損なわれる原因を理解する(2) (リンク »)
・第4回:サイバーセキュリティが損なわれる原因を理解する(3) (リンク »)
・第5回:サイバーセキュリティが損なわれる原因を理解する(4) (リンク »)
・第6回:サイバーセキュリティが損なわれる原因を理解する(5) (リンク »)
・第7回:サイバーセキュリティが損なわれる原因を理解する(6) (リンク »)
・第8回:通信プロトコルの脆弱性(1) (リンク »)
・第9回:通信プロトコルの脆弱性(2) (リンク »)
・第10回:通信プロトコルの脆弱性(3) (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

アクセリア株式会社の関連情報

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ホワイトペーパー

新着

ランキング

  1. 運用管理

    最先端のデータサイエンティストでいるための5つのヒント—AIによる高度化でデータの達人であり続ける

  2. ビジネスアプリケーション

    経理部門 554人に聞いた「新しい経理部門の働き方」 その実現に向けた具体的な行動指針を解説

  3. セキュリティ

    パンデミックに乗じたサイバー攻撃に屈しない 最新の脅威分析レポートに見る攻撃パターンと対応策

  4. 運用管理

    DX時代にIBM i は継続利用できるのか? モダナイゼーション実施で考えておくべき5つの視点

  5. セキュリティ

    サイバー攻撃でPCに何が起きている? サイバーディフェンス研究所の名和氏が語るフォレンジックのいま

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]