全7613文字
PR

グーグルが19個の問題を発見

 Project Zeroのチームが検証したのは、第3世代EPYCプロセッサー(開発コード名は「Milan」)のセキュリティー機能だ。第3世代EPYCプロセッサーには、新しいセキュリティー機能であるSEV-SNP(Secure Nested Paging)が追加されている。SEV-SNPは、サーバーハードウエアの物理現象(電源電流など)を観察してデータの在りかを推定する「サイドチャネル攻撃」を防御できる機能だ。実際にサイドチャネル攻撃を防御できるかどうか、物理的なテストなども加えてセキュリティーを検証した。

サイドチャネル攻撃を検証している様子(写真提供:米グーグル)
サイドチャネル攻撃を検証している様子(写真提供:米グーグル)
[画像のクリックで拡大表示]

 Project Zeroのチームが検証した結果、AMDのファームウエアなどに19点の問題を見つけたという。これらの問題にはファームウエアのセキュリティー脆弱性が含まれており、悪用されるとメモリー上のデータが破壊される恐れがあった。既にAMDはグーグルから指摘された問題点を修正済みだ。

 セキュリティーに関するグーグルのもう1つの新しい取り組みは「Assured Open Source Software(OSS)」で、2022年5月18日に発表した。様々なOSSに関して、グーグルが脆弱性の分析やセキュリティーテストなどを実行した検証済みのパッケージを、Google Cloudの顧客に対して提供する。

 最近は「Log4j」などのOSSに存在するセキュリティー脆弱性を狙ったサイバー攻撃が増加している。ユーザー企業はセキュリティー脆弱性が更新された最新のOSSパッケージを使用するのが望ましいが、ユーザー企業がOSSのチェックなどをするのは難しい。特に、あるOSSコミュニティーが開発するOSSパッケージの中に、他のOSSコミュニティーが開発したライブラリーなどが組み込まれている場合、依存性のチェックなどが面倒だ。

 Assured OSSはこうしたOSSのセキュリティーチェックをグーグルが行うものになる。これまでもグーグルは社内開発者に対して、セキュリティーチームがチェック済みのOSSパッケージを提供してきたのだという。それをGoogle Cloudの顧客にも広げる。サービスの開始時期は2022年下半期だ。

 AMDとの連携とAssured OSSの共通点は、グーグルが社外で開発されたソースコードを自ら厳重にチェックし始めたという点だ。現在のITインフラストラクチャーは、非常に多くの組織が開発した様々なソフトウエアによって成り立っている。その1つに脆弱性があったり、バックドアが仕掛けられたりするだけで、ITインフラ全体が危険にさらされかねない。いわゆる「サプライチェーン攻撃」である。

 グーグルによるAMDのファームウエアやOSSのセキュリティーチェックは、サプライチェーン攻撃を防ぐという点で、重要な取り組みである。