KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】2018年CPU脆弱性まとめ

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 松岡 政之     matsuoka2_274x380

こんにちは。 CSS 部エバンジェリストの松岡です。

2 週間ほど前に IPA の情報処理技術者試験のうち、「基本情報技術者試験」と「情報セキュリティマネジメント試験」の合格発表がありましたが、受けられた方はいらっしゃいますか。今回の試験で特筆すべきことは、「情報セキュリティマネジメント試験」の合格率が初めて 50 %を切ったということですね。

2016 年春期に実施された初回の試験では 88 %もの合格率を記録し、手早く情報処理技術者試験に合格するには狙い目の試験といった様子でしたが、回を重ねるごとに合格率が下がってきています。現時点では 46 %程度なので他の試験よりはまだ合格しやすいといえますが、今後は他の試験と同様に 25 %前後の合格率に少しずつ近づいていくのでしょうか…?

さて、今回はタイトル通り CPU 脆弱性の話題ですが、本題に入る前に最近の CPU の動向について少しご紹介します。

まず Intel からは最大 18 コア 36 スレッドの第 9 世代 Core X シリーズが発表されています。ベンチマークも解禁され、そろそろ発売予定の時期ですが執筆時点では発売日確定の続報は見受けられません。また、品薄続きだった i9-9900K もまとまった供給が始まりショップで普通に入手できるようになりました。サーバ分野では 48 コア 96 スレッドの Xeon が発表され、 2019 年度前半に市場投入予定とのことです。

一方、 AMD からは最大 32 コア 64 スレッドの Ryzen Treadripper の下位モデル 2 種( 2970WX, 2920X )が 10 月末に発売されています。サーバ分野では最大 64 コア 128 スレッドの第 2 世代 EPYC が発表されこちらは 2019 年発売予定です。また、 AWS での EPYC の採用が始まりサーバシェアの獲得を勢いづかせています。  


それでは本題に入ります。
今年の年初に Meltdown/Spectre の脆弱性が公表されたことを皮切りとして、まるで一大ブームのように次々と CPU の新たな脆弱性が研究され公表されています。かつてこんなに CPU 脆弱性にスポットが当てられた年があったでしょうか。

Meltdown/Spectre については過去のコラム( 【エバンジェリスト・ボイス】忘れたころに振り返る CPU の脆弱性 )で取り扱っていますのでそちらをご参照ください。

今年に発表された CPU 脆弱性とその対策状況についてまとめてみましょう。 Intel AMD 以外にも ARM など影響が多岐にわたるものもありますが、今回は x86 の土俵に絞って Intel AMD に関連する話題のみを取り上げます。 CVSS スコアも併記しますので、対策順序や対策の要 / 不要の判断にご活用ください。

CVSS (共通脆弱性評価システム)については IPA のサイトで解説されていますのでそちらをご確認ください。

外部サイト: 共通脆弱性評価システム CVSS 概説
外部サイト: 共通脆弱性評価システム CVSS v3 概説  

※簡易的に記載しているため表現が正確ではない可能性があります。
 また、発表されたすべての脆弱性を網羅できていない可能性がある点予めご了承ください。

表_839x617

表を見ていただくと、全体的に Intel CPU に影響のある脆弱性の発見が多くなっていますが、これは Intel CPU が危険というわけではなく市場のシェアが大きいため積極的に研究されてた結果にすぎません。上記のほとんどの脆弱性は現時点ではまだ実際の攻撃は確認されていないため、必要以上に恐れる必要はないありません。(攻撃されたことに気づいていないだけ、という可能性も否定はできませんが…)

ですが、今後効果的な実装方法が発見されれば攻撃に利用される可能性はあります。また、上記以外にも 11 月に入ってさらに Meltdown/Spectre に関連する新たな脆弱性が 7 件発見されるなど、いまだその勢いは衰える気配がありません。

攻撃の被害にあったり踏み台にされたりしないためにも、メーカーの発表などを確認し、できる範囲で対策を心掛けていきたいですね。

それではよいパソコンライフを!

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

松岡 政之

株式会社インフォメーション・ディベロプメント デジタルソリューション営業部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

ITエンジニアの現地作業 ミスを減らす!作業本番のポイントとは

NTTのIP網移行と、通信の未来とは

ITエンジニアの現地作業 ミスを減らす!事前準備のポイントとは