世間を騒がす「プロセッサ脆弱性」 何が本当の問題なのか(2/3 ページ)
2018年の年明け早々、新たに発見されたプロセッサの脆弱性「Meltdown」「Spectre」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。この問題の概要、影響や対策についてまとめた。
Microsoft、Apple、Googleなど各社で対応が進む
今回のプロセッサ脆弱性の発表を受け、各社は年明けから情報公開やパッチの提供を急いでいる。ここでは代表的なところを紹介する。
Microsoftは当初の予定(1月9日)を繰り上げて、緊急アップデートの提供を開始した。更新プログラム「KB4056890」が該当し、これによりOSやEdgeブラウザ、Internet Explorerを含むアプリケーション群の対策がなされる。
AppleはMeltdownの緩和策(mitigation)をiOS 11.2、macOS 10.13.2、tvOS 11.2でリリース済み、Spectreの緩和策はSafariのアップデートで対処する計画だと発表した。
GoogleはAndroidやChromeブラウザでのパッチ提供計画を発表。この問題に対策済みの最新版ブラウザ「Chrome 64」を1月23日に公開する予定だ。
Webブラウザについては、Mozillaも対策済みブラウザ「Firefox 57.0.4」を公開している。
Intelによれば、過去5年間にリリースされた90%のプロセッサ製品向けにアップデートの提供を終えており、1月8日の週末までにはベンダーを通じて行き渡るだろうと観測している。
なお、オーストリアのグラーツ工科大学が開設したまとめサイトには各種発表のリンク集があり、現時点でIntel、Arm、AMD、RISC-V、Microsoft、Amazon、Google、Android、Apple、Lenovo、IBM、Mozilla、Red Hat、Debian、Ubuntu、SUSE、Fedora、Qubes、Fortinet、NetApp、LLVM、CERT、MITRE、VMWare、Citrix、Xen(表記順)の情報がある。
ソフトウェアの対策でパフォーマンスは低下するのか
当初The Registerの報道では「対策パッチによりパフォーマンスが最大2〜3割程度低下する」と説明されたことが大きな議論を呼んだ。一般アプリケーションからOSの保護領域へのアクセスを禁止し、投機実行のメカニズムを悪用されないよう対策するためのものだが、実際にはほとんどの利用形態で影響は少ないとみられる。
Appleによれば、前述したSpectreの緩和策の影響について、Webアプリの応答性を計測する「Speedometer」とJavaScriptの処理速度を計測する「ARES-6」では大きな影響がなく、Appleを中心に開発したHTMLレンダリングエンジンWebKitによるJavaScriptのベンチマークテスト「JetStream」では2.5%未満の影響という。
同様の報告はMicrosoftなども行ったが、Webブラウザでのパフォーマンス低下は軽微というのは共通の意見だ。恐らく一般的なユーザーの利用形態において、ベンチマークテストのアプリケーションを利用して検証しない限りは目立った影響を感じることはないだろう。
一方、CPUのリソースを極限まで利用するサーバ用途ではそれなりの影響がみられるという意見もある。MicrosoftとAmazon.comは、AzureとAWSでそれぞれ「(対策後の)目立つパフォーマンス低下はみられない」と報告した。ただし、一部のユーザーからパフォーマンスの低下を指摘する声もあり、この辺りはしばらく様子をみる必要がある。
いずれにせよ、ソフトウェアのパッチ適用による対策で、一時的に若干ながらパフォーマンスの低下が起こることは避けられないものの、その度合いはワークロードの内容に完全に依存しており、ユーザーによりまちまちというのが実際だ。
繰り返すが、少なくとも一般ユーザーは適切なソフトウェアアップデートさえしていれば、このパフォーマンス問題の影響が及ぶことはほぼない、と考えていい。
Copyright © ITmedia, Inc. All Rights Reserved.