「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。
「脆弱性」とは何か。CNSS(Committee on National Security Systems)が作成した「National Information Assurance Glossary」によれば、脆弱性とは「情報システム、システムセキュリティ手続き、内部統制、実装の中で侵害される恐れのある弱点」と定義されている。米国空軍のソフトウェア保護戦略では、「システムの影響を受けやすい部分(欠陥)」「欠陥を見つけ出す脅威の能力」「欠陥を悪用する脅威の能力」という3つの要素が互い交わるところにシステムの脆弱性があると定義されている。
こうした定義に基づくと、CPUの欠陥であるMeltdownとSpectreは脆弱性に分類されるのだろうか。それとも一部で主張されているように単なるCPUの特徴で、悪意を持った行為者が悪用する方法を成立させただけなのだろうか。
最新のOSは、ユーザーアプリケーションがカーネルメモリ(保護されたメモリ領域)に読み取りや書き込みを行えないようにしている。また、他のアプリケーションのメモリにもアクセスさせない。デバイスが複数のアプリケーションやクラウドベースのサーバを安全に実行できるようにし、1台のPCで複数のユーザープロセスを独立させた状態に保つためには、こうしたメモリの分離が不可欠になる。
Copyright © ITmedia, Inc. All Rights Reserved.
クレデンシャル情報を悪用する攻撃から組織を防衛するために、特権アクセス管理(PAM)は不可欠だ。その導入で成果を挙げている組織と、そうではない組織との違いはどこにあるのだろうか。グローバル調査の結果から読み解く。
従来、認証にはパスワードが用いられてきたが、フィッシングなどの高度な攻撃に対抗するのは難しくなりつつある。そこで注目されているのが利便性と安全性を兼ね備えたパスキーだ。本資料では、その移行戦略について詳しく解説する。
Webアプリケーション開発において生成AIを活用する上で、欠かせないのがセキュリティ対策だ。しかし、AIを悪用する高度な攻撃にだけ注力し、既存の脆弱性への対策をおろそかにしているケースは多い。この問題を解決するには、何が必要か。
AIや自動化の波はセキュリティ対策にも訪れているものの、ある調査によれば、「脅威やインシデント対応のプロセスを完全に自動化できている」と回答した担当者は16%にとどまっており、停滞している実態がある。その原因と解決策を探る。
近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。
混雑や逆光に弱いウォークスルー顔認証、高精度と高速処理をどう実現するか (2025/8/13)
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
