門林 雄基氏によるコラム【ハードウェアの脆弱性(1)】を公開

「セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質を紹介します」
　前回の記事からずいぶん時間が経ってしまいました。皆さんの会社ではGDPR対応は落ち着いたでしょうか。サイバー空間には国境はないとよく言われますが、「国境がないところでも、国民のプライバシを守る責務を果たそう」という欧州の良識と強い意志によってボーダーレス規制が導入された、歴史的な節目と言えるでしょう。この他にも、EUをはじめ各国・地域でサイバーセキュリティやプライバシを向上させるための規制が相次いで導入されています。

　さて本題に戻って、今回はハードウェアの脆弱性です。メルトダウン、スペクターについては今年１月から、連日の報道も落ち着き、「のど元過ぎれば熱さ忘れる」ですでに過去の事になっている人も多いと思いますが、ここでは、セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質について思いつくままに紹介したいと思います。


「クラウドで脆さが露呈する」
　そもそも、ハードウェア脆弱性がなぜこれほどまでに騒がれるのでしょうか。セキュリティ専門家でない皆さんにとっては「喉元過ぎれば.. 」かもしれませんが、じつはセキュリティ界隈ではハードウェア脆弱性の話題が今年１月以降、途切れることはありません。

　その理由はずばり、クラウド（パブリッククラウド）です。誤解を恐れずに単純化して言ってしまえば、

「クラウド × ハードウェア脆弱性 = 大問題」

　だということに、今年１月以降、多くの人が気付き始めています。だからメルトダウン攻撃が大々的に発表された時も、アメリカの大手クラウド事業者が「事前に教えてもらっていて、すでに手は打っていますよ」という火消しをやっていたのですね。

　ちなみにメルトダウン攻撃や、スペクター攻撃を発見した人たちはクラウドだけが問題だとは言っていません。不用意に怪しいウェブサイトを訪れた人が、ろくでもないJavaScriptを知らずのうちに実行してしまった場合、最悪のケースではWebブラウザが覚えているパスワードを盗まれるかもしれない、というデモをやってのけました。もちろんこの後、Windowsをはじめとする主要なOS、主要なブラウザではアップデートが提供されていますから、攻撃は格段に難しくなったと思います。
　メルトダウン攻撃はハードウェア脆弱性に注目を集める契機となりましたが、攻撃としては「別格」だったと言えます。その後もハードウェア脆弱性の発見が相次いでいますが、多くは「同じハードウェアを共用する場合にリスクがある」というものです。

　やっぱり良く分からない、という人もいると思うので、ここはひとつ、たとえ話をしましょう。オフィスビルに入居するときに、同じビルに同居する他のテナントさんがまともな人かどうか、というのは皆さん気にされると思います。上のフロアが反社会勢力だったら、どうでしょう。皆さん同じエレベータを共有されるでしょうか。
　クラウドもオフィスビルと同様に、テナントごとに隔離されている部分と、同居しているテナントと共用している部分があるわけです。インフラを共用しなかったら、そこまで安くはならないでしょう。問題はパブリッククラウドで、隣のテナントがまともな人である保証はない、ということです。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
リンク


【門林 雄基氏のコラム】
・第1回：サイバーセキュリティに求められるバランス感覚リンク
・第2回：サイバーセキュリティが損なわれる原因を理解する(1)リンク
・第3回：サイバーセキュリティが損なわれる原因を理解する(2)リンク
・第4回：サイバーセキュリティが損なわれる原因を理解する(3)リンク
・第5回：サイバーセキュリティが損なわれる原因を理解する(4)リンク
・第6回：サイバーセキュリティが損なわれる原因を理解する(5)リンク
・第7回：サイバーセキュリティが損なわれる原因を理解する(6)リンク
・第8回：通信プロトコルの脆弱性(1)リンク
・第9回：通信プロトコルの脆弱性(2)リンク
・第10回：通信プロトコルの脆弱性(3)リンク