2018年の年明け早々、「Meltdown」や「Spectre」と呼ばれるプロセッサの脆弱性問題が公表され、IT業界全体でゼロデイ攻撃のリスクが高まっています。Microsoft AzureおよびMicrosoftのその他のクラウドサービスは、2018年1月4日時点で既に対策が完了しているとのことです。
2018年の年明け早々、大部分のシステムに影響するプロセッサハードウェアに存在する脆弱(ぜいじゃく)性が公表されました。当初、ほとんどはIntel製のプロセッサに存在する脆弱性であり、その影響はWindows、Linux、Android、Chrome、iOS、macOSと広範囲に及ぶと伝えられました。その後、AMDやArm製プロセッサの一部にも同様の脆弱性が存在することが明らかになっています。
業界全体に影響するというこのプロセッサの脆弱性がどのようなものであるか、その詳細についてはここでは説明しませんが、Microsoft AzureおよびWindowsにおける対策状況について、現時点で入手できる情報をまとめます。状況や公開情報は刻々とアップデートされていますので、できるだけオリジナルの情報源で最新情報をチェックしてください。
Microsoftは、このプロセッサ脆弱性のリスクを軽減するセキュリティ更新を含む累積的な更新プログラムを、サポート期間中のWindows 10、Windows Server 2016、Windows Server バージョン1709向けに、セキュリティのみの品質更新プログラムまたはセキュリティマンスリー品質ロールアップをWindows 7 Service Pack1(SP1)、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2向けに、Windows Update/Microsoft Update Catalogを通じて提供しました。
Azureでは、PaaS(Platform as a Service)およびIaaS(Infrastructure as a Service)で稼働するWindows Server仮想マシンを保護するために、プラットフォームおよびハイパーバイザーのレベルでこの脆弱性に対策済みです。また、Office 365など、Microsoftの他のクラウドサービスについても既に軽減策が講じられており、さらに保護を強化するための努力が続けられているとのことです。
この脆弱性問題とは関係なく(公表されていないだけで関係していたのかもしれませんが)、Azureでは2018年1月9日からAzureプラットフォームの計画メンテナンスが予定されていました。当初、1月8日まではセルフサービスによるメンテナンス期間とされてきました。セルフサービス期間には、都合の良い時間に仮想マシンを手動で再起動して、メンテナンスを完了することが可能でした。
今回の問題を受けて、1月4日に急きょメンテナンス期間を終了し、強制的な再起動が実施されました。Azure仮想マシンを適切に展開している場合は、可用性に影響することはありませんでしたが、シングルインスタンスで実行している場合はダウンタイムが発生しました。年明けにセルフメンテナンスを計画していたユーザーにとっては、事実上、強制再起動を受け入れるしかなかったと思います。
前倒しされた今回の計画メンテナンスは、もともと2017年11月に実施予定だったものです。もともとのアナウンス通りであれば、今回のメンテナンスによって、AzureプラットフォームのホストOSのWindows Server 2016のアップデートと、ハードウェアのファームウェアアップデートが完了したということになります。
IaaSで稼働中のWindows ServerベースのAzure仮想マシンについては、ゲストOSでWindows Updateを実行して、最新状態に維持しておけば良いと思われます(画面1)。
現状、この問題に関連して、それ以外に必要な特別な対応は提示されていません。後述するように、SQL Serverは使用環境によっては対応が必要な場合もありますが、Azure仮想マシンでホストされるSQL Serverは、仮想マシンイメージの更新などは“必要なし”となっています。
IaaSで稼働中のLinuxベースの仮想マシンについては、特に言及はありません。こちらも、ゲストOSで各Linuxディストリビューションの最新のOSパッチを適用すれば良いと思われます。当然のことながら、利用しているLinuxディストリビューションの対策状況を確認してください。
ただし、Azureプラットフォームへの対策の影響で、Azure仮想マシンのパフォーマンスが悪化する可能性が指摘されています。プロセッサとディスクI/Oパスに関しては、最適化により、顕著なパフォーマンス低下は発生していないそうですが、しばらくは運用中のインスタンスのパフォーマンスについて注視することをお勧めします。
影響がある場合、Azure仮想マシンのサイズ変更やディスクの種類(HDDからSDDへ)、編成の変更により、パフォーマンスを改善できますが、その場合はコスト増になる可能性があります。また、一部ではネットワークパフォーマンスに影響もあるようですが、こちらは正式リリースになったばかりの、無料の高速ネットワーク機能(Accelerated Networking)を利用することで解消できるようです。
なお、現在は情報が少なく、今後、追加の作業が指示される可能性もあることに十分に留意してください。
Copyright © ITmedia, Inc. All Rights Reserved.