Ivanti、CPUの脆弱性問題についての課題と セキュリティ対策を語る

ITデジタルワークプレイスの統合および管理において業界をリードするIvantiは(Clearlake Capital傘下企業、本社：アメリカ・ソルトレイクシティ、日本法人名：Ivanti Software株式会社)は、2018年の初めにセキュリティ業界で最もホットトピックスになったIntel(R)製品をはじめとする広範なCPUの投機的実行機能に脆弱性が発見された問題についての課題とセキュリティ対策を語りました。

長年にわたり、プロセッサはコンピューティングに大きな利点をもたらす進化を遂げてきました。このような進歩は、ハードウェア、ソフトウェア、あるいは両方など、様々なところからもたらされています。プロセッサに高速化という利点をもたらしたものの1つは、「投機的実行」と呼ばれています。基本的には他の決定の待機中に、取るべきアクションをプロセッサが「予測」することを意味します。

この機能の欠点は、要するに通常のプロセスを可能にすることです。たとえばウェブブラウザまたはユーザーが導入した実行ファイルなどがカーネル(オペレーティングシステムの中核となる部分)のメモリを調べられます。これが重要な理由は2つあります。1つ目はバブルの外でプロセスがメモリのピークに達し、パスワードや他の機密データを取り込めること。2つ目は、マルチユーザー環境で1人のユーザーが他のユーザーをのぞき見できることです。ターミナルサービスやデスクトップ仮想化、ホストされたクラウドのユーザーなどと考えてください。

これは単なるデータののぞき見では済まされない問題です。現在のオペレーティングシステムには多くのセキュリティ上の利点があります。たとえばアタッカーがコンピュータを攻撃する具体的なアドレスを知ることが不可能であることが多いため、「メモリアドレスのランダム化」により基本的に多くのエクスプロイトが動作するのを防ぎます。ただし、攻撃前にアタッカーのプログラムが他のプロセスを調べることが可能になる場合、メモリを調べるだけでは済まされないような、さらに悪意のある他の攻撃を実行するのは容易になります。

技術的な専門用語は別にして、これはセキュリティに大きな影響を与える可能性のある大問題です。

パッチの適用：
ベンダーは直ちにパッチを公開して問題に対処しますが、ハードウェアレベルでの問題であるため、このようなパッチは応急処置にすぎません。これらのパッチによって一部のプロセッサ機能の使用は制限されますが、同じ機能の高速化の利点を生かせないという欠点があります。つまり、パッチを適用するとコンピュータの動作が遅くなります。

そうは言っても、ここでの問題や本質的な解決策がなく、アタッカーは常に脆弱性を突く手段を探しているという事実を考慮すると、このケースではパッチの適用が極めて重要です。

ホワイトリストへの登録：
エクスプロイトを防ぐもう一つの方法は、ホワイトリストを使用することです。ユーザーが取り込んだ実行ファイルを自分のコンピュータで実行しない限り攻撃はできません。また新しい攻撃が日々生み出されているため、フィッシングなどの技術の向上を予想する必要があります。このことから、ホワイトリストへの登録は極めて効果的なセキュリティバリアとなるでしょう。

結論：
これはすべてのお客様にとって問題となりうる大きな弱点です。ハードウェアの変更(物理的なチップの交換)なくして完璧な対策はありませんが、パッチの適用とホワイトリストへの登録により、脆弱性を突く攻撃をかなり防ぐことができます。当社の技術ポートフォリオにより、お客様が容易にパッチを公開し、シンプルで効果的なホワイトリストへ登録できるよう支援します。

Ivantiは「進化した」IT企業です。重要なITタスクを統合、自動化することで、IT企業が自社の業務を自動化し、デジタルワークプレイスを実現できるよう支援します。30年以上にわたってIvantiは、セキュリティの脅威に対応し、デバイスを管理し、ユーザーエクスペリエンスを最適化するため、IT専門職の方々を支援してきました。従来のPCからモバイルデバイス、仮想マシン、そしてデータセンターまで、IvantiはIT資産の場所を問わずIT資産を特定、管理する支援を提供し、ITサービスの提供を改善し、リスクを軽減しています。また、サプライチェーンと倉庫担当チームが、担当業務全般において生産性を向上するため最新技術を効率的に活用できるようにしています。ユタ州ソルトレイクシティに本社を構え、世界中に拠点を置き事業を展開しています。詳細は、 http://www.ivanti.co.jp/ にアクセスしてご確認ください。