プロセッサ脆弱性が突きつけた IoT の本当のリスク
皆様、あけましておめでとうございます。今年もよろしくお願いします。
年明け早々に飛び込んできたこのニュース、驚かれた方も多いのではないでしょうか。
これはただならぬ事ですが、記事に「ソフトウェア/ファームウェアの更新」で回避できると書かれていたため、それほど大事にはならないんじゃないかと思い、脳天気に「こりゃ大変だ」とかいってFBでシェアしていました。
しかし、その後出てきた情報を見たり、よくよく考えてみたりすると、これはやはり、かなり大変なことです。ただ、IntelやApple、Microsoftなどは即座に対策を発表しました。Googleは数ヶ月前に各社に知らせていたようですね。
土曜日になってこの記事が出てきました。
脆弱性は2つあり、ひとつはIntelとARMの一部のプロセッサの問題ということで、恐らく設計上の問題ではないでしょうか。マイクロプロセッサといえども電子回路であり、ソフトウェア同様「バグ」はあり得ます。Pentiumのバグを覚えている方も多いでしょう。
しかし、もうひとつはなんと投機的実行のメカニズムに関するものだと言うことです。投機的実行とは、命令を先読みして計算しておくという処理で、うまくいけば高速化に繋がりますが、途中で分岐などがあると処理が無駄になります。賭けみたいなもの(だから「投機的」なのでしょうね)ですが、予測をうまくすることで一定の効果が見込めるため、多くのプロセッサで採用されているわけです。今回、個々の回路設計では無く、高速化のためのメカニズムのレベルで問題が見つかったことは結構衝撃的です。
本当のリスクはIoT?
この記事の最後にある、本当のリスクはPCやサーバーでは無く、組み込み機器に搭載されたARMにあるという見方には賛成です。会社内のPCやサーバーであれば、OSベンダーやメーカーもパッチを出すでしょうし、そのパッチを適用しさえすれば問題は回避できます。(WindowsXPがどうなるかはわかりませんが)ATMはひょっとすると対応してもらえるかもしれません。しかし、POS端末やKIOSK端末になってくると、怪しくなります。製造元が無くなっていたりすると対応は不可能でしょうし、あったとしてもすべての面倒を見てもらえるかどうか、難しいところでしょう。ファームやOSの書き換えが遠隔でできればまだしも、サービスマンが行かなければならないとなると、ほぼ不可能では無いでしょうか。クレジットカードデータや暗証番号を取り扱う膨大な数のデバイスが、大きなリスクに晒されているということです。
そしてこの問題はさらに、未来へのある問題に直結しています。そう、IoTです。経産省のIoTセキュリティガイドラインにはIoT機器の設計において気をつけるべき事項があげられていますが、そもそも部品レベルで脆弱性があると、ベンダーレベルではお手上げです。しかもプロセッサとなれば、使わないわけにはいきませんし、どれを選んでも同じとなると、逃げようがありません。かといって、極小のデバイスに自動アップデート機能を入れることは難しいでしょう。今回のこの事態は、そういったリスクを明確な形で炙りだしたということができます。なんとも大変な時代になったものです。
ITソリューション塾第27期の募集を開始しました!
次回のITソリューション塾は、2018年2月14日(水)からです。内容やお申し込みにつきましては、こちらをご覧下さい。
- 日程 2018年2月14日(水)〜4月25日(水) 18:30〜20:30
- 回数 全11回
- 定員 60名
- 会場 アシスト本社/東京・市ヶ谷
- 料金 ¥90,000- (税込み¥97,200) 全期間の参加費と資料・教材を含む
