「VMware Fusion 12」のSide Channel Mitigations(サイドチャネルの緩和)

macOS(OS X)ベースのデスクトップ仮想化ソフトウェア「VMware Fusion」を対象としたアップグレードリリースとして、米国時間2020年9月15日付にてGAリリースを迎えている「VMware Fusion 12」ですが、同版では 仮想化ベースのセキュリティ機能の一つとして、サイドチャネル攻撃の緩和を制御する事が可能となっています。

仮想マシンに対する不正なアクセスをブロックする、新たなセキュリティ機能

この機能は、主としてハードウェアレベルのCPU脆弱性(Spectre(スペクター)、Meltdown(メルトダウン)等)に対するセキュリティレイヤーとして実装されており、設定はGUIクライアント(VMware Fusion.app)のセッティングエディターから制御可能となっています。

項目は、「Settings(設定)」>「Other(その他)」>「Advanced(詳細)」>「Disable Side Channel Mitigations(サイドチャネルの緩和を無効にする)」に配置されており、このオプションは VMware Fusionが「macOS Big Sur 11.0」以降で使用するデフォルトのモニターモードである、ULM(User Level Monitoring、ユーザーレベルの監視)に適用される事となります。

サイドチャネルの緩和
↑「Settings(設定)」>「Other(その他)」>「Advanced(詳細)」より制御可能な「Disable Side Channel Mitigations(サイドチャネルの緩和を無効にする)」

機能の制御、設定方法

新規仮想マシン作成時のデフォルトは チェックが入っていない(サイドチャネルの緩和が有効化されている)状態で、このまま当該の仮想マシンを起動すると、セキュリティの強化とパフォーマンスの低下を告知する以下のダイアログボックスが表示されます。

仮想マシン起動時のサイドチャネルの緩和
↑サイドチャネルの緩和を通知するダイアログボックス。この通知は、新規仮想マシン作成時のデフォルトにて表示される

セキュリティの低下と引き換えに仮想マシンのパフォーマンスを向上させる場合には、当該項目にチェックを入れ、サイドチャンネルの緩和を無効化します。

サイドチャネル攻撃を容認すると、悪意のあるプロセスに対して、保護されたカーネル(或いはホストOSのメモリーコンテンツ)への不正な読み取りアクセスを許可する事となります。設定を変更される場合には御注意下さい。