この記事は、シスコ フェローおよびバイス プレジデントであり、コラボレーション ビジネスの CTO の Jonathan Rosenberg によるブログ「Meltdown, Spectre, and Cisco Cloud Collaboration Security」
(2018/1/8)の抄訳です。
シスコのクラウド コラボレーション ポートフォリオのセキュリティに対する Meltdown と Spectre の影響について、いくつかご質問を受けていますが、その回答を簡単にお知らせしたいと思います。これらの脆弱性は、マルチテナントのクラウド環境に最も関係があります。その環境において、同じクラウド プロバイダーの別の顧客によって、シスコ製品が改ざんされる可能性が発生します。
WebEx は、共有マルチテナント環境で実行されません。WebEx ソフトウェアは、シスコが米国で所有および運営しているデータセンター内のシスコ所有のハードウェア、および、シスコの所有ではない米国外のコロケーション施設(同施設内の他の企業とは分離されている)で実行されます。したがってこれらの脆弱性は、外部の攻撃者が使用して WebEx に侵入することはできません。これらの脆弱性を悪用するために、攻撃者はまず、WebEx が実行されている専用のハードウェア上で悪意のあるコードを実行できる必要があります。サーバのオペレーティング システムの更新プログラムがリリースされた時点で、シスコは弊社サーバにパッチを適用し、これらの脆弱性を悪用したローカルでの特権昇格のリスクを軽減します。
Cisco Spark(Care、Message and Meet、および Call)は、共有マルチテナント環境で実行されます。弊社の IaaS プロバイダーはすでに、必要に応じて、仮想マシンを実行するホストのオペレーティング システムの更新を実行しています。WebEx と同様に、ゲスト OS を近日中に更新する予定です。さらに、Cisco Spark メッセージングおよび Spark Care Context Service は、シスコのエンドツーエンド(E2E)暗号化テクノロジーによって保護されています。
E2E 暗号化の使用は、Cisco Spark クラウド コンポーネントが顧客情報を暗号化形式でしか処理しないことを意味します。したがって、クラウド コンポーネントが保有する顧客情報を攻撃者が読み取れる場合でも、キーがなければ役に立たないことになります。Cisco Spark の E2E 暗号化キーは、暗号化されたデータとは別に格納され、別の暗号化制御が使用されています。
弊社のハイブリッド データ セキュリティ ソリューションを使用する顧客の場合、キーは顧客側設備で専用のキー管理サービスで格納されます。この場合、攻撃者は Cisco Spark クラウドに加えて、顧客のネットワークを侵害する必要があります。その他の顧客の場合、キーは他の Cisco Spark コンポーネントとは別のシスコ運営サーバに格納されます。いずれにしても、E2E 暗号化により、単一の侵害によって顧客データが明らかになることはありません。攻撃者は、暗号化されたデータを持つクラウド サービスとその暗号化を解除するキーの両方を侵害する必要があります。
最後に、Cisco Spark と同様、Tropo もマルチテナント環境で実行されます。Cisco Spark と同様、弊社のプロバイダーは必要に応じて、弊社の VM を実行する基盤となるホスト OS にパッチを適用済みです。また、緩和策が利用できるようになり次第、弊社のホスト OS を更新する予定です。
エンドツーエンドの暗号化の詳細については、クラウド コンテンツを保護するより良い方法の必要性について説明した私の過去の投稿をご覧ください。
インシデントの詳細については、シスコ セキュリティ アドバイザリでご確認ください。
Authors
