サンドボックスで安全性確保、オーバーヘッド5％

ブラウザでx86バイナリ実行、グーグルが新技術

2008/12/09

　米グーグルは12月8日、x86アーキテクチャ向けにコンパイルしたコードをWebブラウザで実行する研究開発プロジェクト「Native Client」（略称、NaCl）を発表した。Linux、Windows XP、Mac OS X上など異なるOSで実行できるという。現在対応するWebブラウザはFirefox、Safari、Opera、Chrome。

　プロジェクトチームは同日、実行環境やコンパイラツール群をBSDライセンスでオープンソースとして公開した。NaClは開発初期段階で、セキュリティの専門家などからフィードバックを受けて開発を続けるとしている。また開発チームではx86以外にもPowerPCやARMなどほかのアーキテクチャのサポートに向けて開発を続けているという。

　実行環境はWebブラウザ向けのプラグインとしてサンドボックスの形で提供する。実行前に静的解析を行い危険なx86コードが含まれないかをチェックする。従来こうした静的解析では、自己改変を行うコードなどのために任意のコードで安全性を保証することが難しかったが、NaClではこうした振る舞いを禁じることで対応したという。すでにランダムに生成したインストラクション列や、有効なインストラクションの組み合わせについても徹底した検証を終えているという。

　サンドボックス上では、ネイティブ環境と遜色のないレベルでアプリケーションやモジュールを実行できるという。実行前にコードの安全性をチェックするためオーバーヘッドはあるが、スキャン速度は2.4GHzのCore 2 Duoで30MB/秒と高速で、ダウンロード時間に比べてスキャン時間は無視できるとしている。

　サンドボックスを使うことによるオーバヘッドの最大の要因は、キャッシュミスでGCCや一部のベンチマークテストで大幅にストールが起こることがあるという。ただ、おおむねNaClのオーバーヘッドは5％程度に収まり、実際、物理シミュレーションやOpenGLベースのグラフィック処理アプリケーション、3Dゲーム、H.264のコーデックライブラリなどがネイティブコードと遜色ないパフォーマンスで動いているという。例えば3Dゲームの「Quake」では、Linux向けにコンパイルしたネイティブコードと、NaClのコードでまったく区別が付かない速度差になったという。

開発チームが公開したスクリーンショット。Mac OS XのSafari上でQuakeやマンデルブロー描画のx86ネイティブコードのアプリケーションが動くという

　プロジェクトではGCC 4.2.2をはじめとするコンパイラ関連ツールに手を加えて、NaClに対応したバイナリ生成ができるツールチェインを用意した。Linuxで使われる一般的なライブラリ、特にネットワーク関連やストレージ関連といったシステムコールを使わないアプリケーションやライブラリであれば、ほとんどソースコードの変更なしにNaCl対応バイナリにできるという。

　NaClモジュールは信頼できるもの（trusted）と、そうでないもの（untrusted）を区別する。信頼済みコードは、例えばローカルのストレージにアクセスでき、リソースの濫用などを防ぐ。一方、必ずしも信頼できないコードは信頼できるNaClモジュールと通信して、ローカルPCのリソースなどを間接的に利用する。ActiveXは実行するモジュールを信頼するかどうかという二者択一のモデルだったが、NaClでは2種類を組み合わせて使える点が異なる。NaClモジュール間はSRPC（Simple RPC）や共有メモリを使ったIMC（Inter-Module Communication）と名付けられたインターフェイスで行うという。

　プロジェクトチームはNaClモジュールは、比較的シンプルで重い計算処理が必要な画像処理、言語処理、物理シミュレーションなどの用途などに向くのではないかとしている。これは、SSEやマルチスレッドによる並列化の恩恵も受けられるネイティブコードをWebアプリケーションに生かす試みだ。将来的にDOMによる手軽なアクセスが提供できれば、ほとんどの処理をNaClモジュールがネイティブコードとして実行し、ごくシンプルなJavaScriptのラッパーを書くだけでWebアプリケーションを作成できるようになるだろうとしている。こうしたアプローチにはさらに、Webブラウザの中にとどまらない応用が考えられるが、今のところこうした可能性については追求しないという。