新たな脆弱性が報告された際に IT 専門家が考慮すべき質問

  • 脆弱性の重度とは何か?CVSS スコアの詳細。

  • パッチはメーカーから入手可能で、ネットワークに適用できるか?

  • 実行に必要な攻撃ベクトルとは何か?攻撃ベクトルに対する脆弱性は大丈夫か?

  • アプリケーション・コードは、既知の最適手法 (BKM) を活用して攻撃を阻止するのか?

  • 攻撃コードは利用可能か?攻撃コードは現在でも使用されているのか?

BUILT IN - ARTICLE INTRO SECOND COMPONENT

インテル® ソフトウェア・ガード・エクステンションズ (インテル® SGX) について

最近では、データがストレージ内に格納されている場合、またはネットワークを介して送信される際に、セキュリティー・ソリューションにより暗号化されます。しかし、メモリー内でデータが処理されている段階においては未だに脆弱なままです。共通脆弱性識別子 (CVE) データベース1の例を見ると、現在 11,000 件以上の潜在的な脆弱性が存在し、34% においてその影響が緩和されていません。インテル® SGX は、システムのオペレーティング・システム (OS) および仮想マシン (VM) のソフトウェア・レイヤーをバイパスすることにより、このような種類の攻撃の多くに対応できる保護機能を大幅に強化し、データ・セキュリティーを増強して、より機密性の高いコンピューティングのニーズに対応します。これにより、暗号化を活用してメモリーへのアクセス方法を変更できるハードウェア支援型のセキュリティー・ソリューションが実現し、保護されたメモリーを追加するエンクレーブを作成して、アプリケーションとそのデータを実行できるようになります。インテル® SGX では、実行中にアプリケーションとハードウェアの検証を要求することも可能です。

サイドチャネル攻撃とは? 注意すべき点は?

サイドチャネル攻撃は、消費電流、電磁波、待機時間などの情報をプロセッサーから直接抜き取ることで、データの使用パターンを間接的に推測するというものです。これらの攻撃は非常に複雑で実行が困難であり、物理単位、ネットワークおよびシステム単位といったさまざまなレベルで、企業のデータセンターのデータ漏洩につながる場合があります。

ハッカーは通常、最も阻止能力が低い攻撃経路を利用します。最近では、攻撃経路の大半がソフトウェアの攻撃です。インテル® SGX はサイドチャネル攻撃の保護に特化したものではありませんが、コードとデータを隔離する機能を提供し、攻撃者に対する防御レベルを大幅に高めます。インテルは、顧客やリサーチ・コミュニティーと連携し、サイドチャネルの潜在的なリスクを特定し、その影響を緩和できるよう引き続き尽力していきます。サイドチャネルの脆弱性は存在しますが、インテル® SGX は、保護機能を強化する追加レイヤーを提供できるという点で、貴重なツールであることに変わりありません。

インテル® SGX は信頼できますか?

インテル® SGX は、十分な検証、研究および導入を重ねたハードウェア支援型データセンター向けの Trusted Execution Environment (TEE) であり、システム内の攻撃対象領域を最小限に抑えています。データ・プライバシーおよびセキュリティーに関する厳しい要件がある場合、インテル® SGX は明らかな戦略的優位性を提供します。

また、インテル® SGX によって保護されている顧客のメリットとして、無数のより一般的なソフトウェア・ベースの攻撃を防御できるだけでなく、インテル® SGX の認証メカニズムにより、アプリケーションが侵害されていないこと、実行中のプロセッサーに最新のセキュリティー・アップデートが適用されていることの検証も要求できるという点があります。

インテル® SGX は、数千にも及ぶ既知および未知の脅威2 からの保護を提供します。その脅威の多くには、インテル® SGX 以外には未だに緩和方法がありません。コードおよびデータについては、インテル® SGX を使用せずに保護するよりも、飛躍的に保護性が向上することに変わりありません。

データの暗号化を凌ぐ機密コンピューティングへ移行

インテル® SGX が、攻撃対象領域を減らすことにより、防御層をもう 1 つ追加する方法をご覧ください。

よくある質問 (FAQ)

よくある質問

インテル® SGX は、攻撃対象領域を削減することにより、防御層を追加します。 インテル® SGX は、データの処理中であっても、悪意のあるソフトウェアや特権昇格による攻撃からコードとデータを保護することができます。開発者は、プロセッサー / メモリーのドメイン内で、Trusted Execution Environment (TEE) を直接構築することができます。

サイドチャネル攻撃は、電源状態、電磁波、待機時間などプロセッサーから外部情報を収集し、データの活動状況や価値を推測することを目的としています。3

ハッカーは通常、最も阻止能力が低い攻撃経路を利用します。最近では、攻撃経路の大半がソフトウェアの攻撃です。インテル® SGX はサイドチャネル攻撃からの保護に特化したものではありませんが、コードとデータを隔離する機能を提供し、攻撃者に対する防御レベルを高めます。

セキュリティーの脆弱性に対するインテル® SGX の取り組み:

  • コラボレーション: 機密コンピューティング・コンソーシアムの設立者としての役割をはじめとして、研究者およびパートナーと継続的に提携することにより、脆弱性を迅速に特定し、影響を緩和することができます。
  • 強化されたセキュリティー: インテル® SGX は、攻撃に対する継続的な強化を行えるよう、定期的に更新される設計になっています。
  • 検証: インテル® SGX を使用すれば、アプリケーションに検証を要求し、修正済みの妥協のないシステムで実行されていることを確認できます。

通知および免責事項4

免責事項

2インテル® SGX はほとんどの OS レイヤーの脅威に対して脆弱ではなく、現在データベースには 140,000 件以上の脅威が存在します。https://cve.mitre.org
32020年8月現在、インテル® SGX は数百もの研究論文に引用されています。