競合きょうごう状態じょうたい

競合きょうごう状態じょうたい（きょうごうじょうたい、英えい: race condition、レースコンディション、または英えい: race hazard、レースハザード）は、システムや処理しょり過程かていにおける欠陥けっかんであり、処理しょり過程かていの出力しゅつりょく結果けっかがイベントなどの順序じゅんじょやタイミングと予期よきしない（かつ危険きけんな）依存いぞん関係かんけいにある場合ばあいをいう。本来ほんらいの意味いみは、2つの電気でんき信号しんごうが競合きょうごうしていずれかが出力しゅつりょくに影響えいきょうを与あたえる状態じょうたいである。

競合きょうごう状態じょうたいは設計せっけいの不十分ふじゅうぶんな電子でんし工学こうがくシステム、特とくに論理ろんり回路かいろで発生はっせいするが、コンピュータソフトウェアでもよく発生はっせいする。

この問題もんだいの最もっとも厄介やっかいなところは、毎回まいかい誤あやまった動作どうさ結果けっかになるわけではなく、タイミングによっては正常せいじょうに動作どうさしてしまう場合ばあいもある、ということである^[1]。そのため、原因げんいんが判明はんめいしにくく対処たいしょの難むずかしい不具合ふぐあい（バグ）を引ひき起おこす。

電子でんし工学こうがく

競合きょうごう状態じょうたいの典型てんけい例れいは論理ろんり回路かいろシステムで入力にゅうりょくが変化へんかするときに発生はっせいするものである。ある出力しゅつりょくが入力にゅうりょくの状態じょうたいに依存いぞんする場合ばあい、それは定常ていじょう状態じょうたいの信号しんごうに関かんして定義ていぎされるだけかもしれない。入力にゅうりょくの状態じょうたいが変化へんかするとき、電子でんしシステムの物理ぶつり特性とくせいによって出力しゅつりょくが変化へんかするまである程度ていどの遅延ちえんが生しょうじる。その間あいだ、出力しゅつりょくは定義ていぎされた状態じょうたい以外いがいの不安定ふあんていな状態じょうたいとなる可能かのう性せいがある。このような一時いちじ的てきな障害しょうがいを許ゆるすシステムもあるが、例たとえばその出力しゅつりょく信号しんごうが他たのメモリなどを含ふくむシステムのクロックとして使用しようされる場合ばあい、システムは設計せっけいされたものとは異ことなった振ふる舞まいをするかもしれない。

例たとえば、2入力にゅうりょくANDゲートで論理ろんり信号しんごう X とその否定ひてい NOT X を入力にゅうりょくにしている場合ばあいを考かんがえてみる。理論りろん上じょう、その出力しゅつりょく（X AND NOT X）はONになることはない。しかし、信号しんごう X がそのまま入力にゅうりょくされる側がわと NOT ゲートを通とおして入力にゅうりょくされる側がわで遅延ちえん時間じかんに差さがあった場合ばあい、短みじかい時間じかんではあるが、一時いちじ的てきにANDゲートの出力しゅつりょくがONになることがある。

適切てきせつな設計せっけい技法ぎほうにより設計せっけい者しゃは競合きょうごう状態じょうたいを認識にんしきして事前じぜんにそれを排除はいじょすることができる（カルノー図ず）。他ほかにも準じゅん安定あんてい状態じょうたい (metastable state) が発生はっせいすることもある。

情報処理じょうほうしょり

情報処理じょうほうしょりにおける競合きょうごう状態じょうたいは「イベントタイミングへの予期よきせぬ依存いぞんが引ひき起おこす異常いじょうな振ふる舞まい」である^[2]。特とくに複数ふくすうのプロセスやスレッドが通信つうしんしながら動作どうさする場合ばあい（並行へいこう計算けいさん）に発生はっせいするが、たとえ単一たんいつスレッドで動作どうさしている場合ばあいであっても、イベント駆動くどう型がたプログラミングのような非同期ひどうき処理しょりによって複数ふくすうの処理しょりの実行じっこう順序じゅんじょが前後ぜんごすることや、シグナルによる割わり込こみが原因げんいんで発生はっせいすることもある。

以下いかは「read-modify-write」（「状態じょうたい読よみ込こみ、変更へんこう、状態じょうたい書かき込こみ」を意味いみする典型てんけい的てきな処理しょり）で発生はっせいする競合きょうごう状態じょうたいの例れいである。

並行へいこう動作どうさする2つのスレッド T1 と T2 がそれぞれ整数せいすう型がたの共有きょうゆう変数へんすう（グローバル変数へんすう）iを 1 ずつインクリメントしていくとする。理想りそう的てきには以下いかのような順序じゅんじょで処理しょりしたい。

Integer i = 0;
T1 が i の値ねを読よみ、レジスタに格納かくのうする : 0
T1 が i の値ねをインクリメントする : (i の現在げんざい値ち) + 1 = 1
T2 が i の値ねを読よみ、レジスタに格納かくのうする : 1
T2 が i の値ねをインクリメントする : (i の現在げんざい値ち) + 1 = 2

この例れいでは、i の最終さいしゅう的てきな値ねとして 2 を期待きたいしている。しかし、二ふたつのスレッドは並行へいこうに動作どうさし、ロックや同期どうきなどの機構きこうを使用しようしないため、処理しょり結果けっかは間違まちがったものとなる可能かのう性せいがある。以下いかにそのような場合ばあいのシナリオを示しめす。

Integer i = 0;
T1 が i の値ねを読よみ、レジスタに格納かくのうする : 0
T2 が i の値ねを読よみ、レジスタに格納かくのうする : 0
T1 が i の値ねをインクリメントする : (i の現在げんざい値ち) + 1 = 1
T2 が i の値ねをインクリメントする : (i の現在げんざい値ち) + 1 = 1

i の最終さいしゅう値ちは期待きたいされている 2 ではなく 1 となる。

以下いかは「check-then-act」（「条件じょうけんの確認かくにん（check）、それに続つづく（then）条件じょうけんに応おうじた動作どうさ（act）」を意味いみする典型てんけい的てきな処理しょり^[3]）で発生はっせいする競合きょうごう状態じょうたい（Time of check to time of use^[4]）の例れいである。二ふたつのタスクを示しめす擬似ぎじコードである。

global integer A = 0;

// A の値ねをインクリメントして "RX" を表示ひょうじする
// 端末たんまつからの割わり込こみが発生はっせいするたびに起動きどうされるものとする
task Received()
{
    A = A + 1;
    print "RX";
}

// A が偶数ぐうすうのときだけそれを表示ひょうじする
// 1秒びょう間隔かんかくで起動きどうされるものとする
task Timeout()
{
    if (A is divisible by 2)
    {
        print A;
    }
}

出力しゅつりょく結果けっかは以下いかのようになるだろう:

0
0
0
RX
RX
2
RX
RX
4
4

ここで、以下いかのような順序じゅんじょでイベントが発生はっせいする場合ばあいを考かんがえる:

タイムアウトによってタスク Timeout が起動きどうされる。
タスク Timeout が A を調しらべ、偶数ぐうすうだったので、次つぎの "print A" を実行じっこうしようとする。
端末たんまつから割わり込こみが発生はっせいし、タスク Received に切きり換かえられる。
タスク Received が最後さいごまで動作どうさし、A をインクリメントして "RX" を表示ひょうじする。
制御せいぎょがタスク Timeout に戻もどされる。
そのタスクは A を表示ひょうじするが、そのときに A の現在げんざい値ちを使用しようするため、5 が表示ひょうじされてしまう。

ミューテックスは、並行へいこうプログラミングにおけるこのような問題もんだいに対処たいしょするために使つかわれる。

競合きょうごう状態じょうたいと似にた概念がいねんとして、データ競合きょうごう（英えい: data race）がある。データ競合きょうごうは単一たんいつのデータに対たいする同時どうじ読よみ書かきが非ひ一貫いっかん性せいを引ひき起おこす現象げんしょうのことを指さす。データ競合きょうごうはそのデータへのアクセスをプロセッサが持もつアトミック命令めいれいのような粒つぶ度どの小ちいさい排他はいた制御せいぎょで保護ほごすることによって回避かいひできるが、競合きょうごう状態じょうたいも回避かいひできるとは限かぎらない。アトミック操作そうさでなければならない金融きんゆうトランザクションのように、動作どうさのタイミングによらず処理しょり結果けっかの一貫いっかん性せいを保たもつ必要ひつようがある場合ばあいは、より粒つぶ度どの大おおきい排他はいた制御せいぎょが可能かのうなミューテックスなどの同期どうき・調停ちょうてい機構きこうを使つかう必要ひつようがある。

競合きょうごう状態じょうたいの実例じつれい

ファイルシステム

ファイルシステムにおけるファイルロックは一般いっぱん的てき解決かいけつ法ほうを提供ていきょうする。もっと面倒めんどうだが根本こんぽん的てきな解決かいけつ策さくとしては、あるファイルについてひとつのプロセスが排他はいた的てきなアクセス権けんを持もち（デーモンのような動作どうさをする）、他たのプロセスがそのファイルにアクセスしたいときはプロセス間あいだ通信つうしんでそのプロセスに依頼いらいするという方式ほうしきが考かんがえられる（もちろん、その際さいにプロセスレベルの同期どうきが必要ひつようである）。

ネットワーク

ネットワークでは、IRCのような分散ぶんさんチャットネットワークがあり、ユーザーは新あらたなチャンネルを開始かいしさせるとそのオペレータ特権とっけんを得える。異ことなるサーバを使用しよう中ちゅうの2人ふたりのユーザーが同おなじ名前なまえのチャンネルを同時どうじに作成さくせいしようとする場合ばあい、それぞれのサーバは対応たいおうするユーザーそれぞれにオペレータ特権とっけんを与あたえてしまう。これは別べつのサーバからの信号しんごうが届とどく前まえに特権とっけんを与あたえてしまうことから発生はっせいした。なお、現在げんざいでは多おおくのIRCサーバの実装じっそうでこの問題もんだいが解決かいけつされている。

この場合ばあいの競合きょうごう状態じょうたいでは、リソース共有きょうゆうのコンセプトでネットワークの状態じょうたいを隠かくして、各かくサーバが自由じゆうに状態じょうたいを変更へんこうした後のちでネットワーク上じょうのサーバにその変化へんかを通知つうちしている。しかし、ネットワークによる遅延ちえん（レイテンシ）があるためにこのような競合きょうごう状態じょうたいが発生はっせいするのである。この競合きょうごう状態じょうたいを解決かいけつするには、何なんらかの中心ちゅうしんとなるシステムを用意よういしてチャンネルの生成せいせいと特権とっけんの付与ふよを集中しゅうちゅう管理かんりする必要ひつようがある。ユーザーがそのような解決かいけつ策さくを受うけ入いれられない場合ばあい、競合きょうごう状態じょうたいを検出けんしゅつして後ごからそれを訂正ていせいするなどの処理しょりが必要ひつようとなる。

人命じんめいに関かかわるシステム

競合きょうごう状態じょうたいが致命ちめい的てきな問題もんだいを引ひき起おこした事例じれいとして、放射線ほうしゃせん療法りょうほう機器ききセラック25（Therac-25）の事故じこがある。この装置そうちの制御せいぎょをつかさどるリアルタイムOSには、競合きょうごう状態じょうたいによって引ひき起おこされるバグが存在そんざいしていたが、この判明はんめいしにくいバグが原因げんいんで、操作そうさコマンドを素早すばやく打うち込こんだ場合ばあい、セラック25ではX線せん用ようの金属きんぞく製せいターゲットをきちんと配置はいちしないまま高こうエネルギーの放射線ほうしゃせんを照射しょうしゃする設定せっていが可能かのうになっていた^[5]^[6]。そもそもこの装置そうちは、従来じゅうらい機きに搭載とうさいされていた電気でんき機械きかい式しきの安全あんぜん保護ほご装置そうち（ハードウェア・インターロック）を取とり除のぞいてソフトウェア制御せいぎょに置おき換かえてしまっていた。結果けっかとして顕在けんざい化かしたソフトウェアのバグが牙きばをむき出だし、6件けんの重大じゅうだいな被ひばく事故じこを引ひき起おこし、5人にんの患者かんじゃが死亡しぼうすることになった^[7]。

他たの例れいとして、オハイオ州しゅうの FirstEnergy 社しゃの電力でんりょく管理かんりシステムの事故じこがある。このシステムは警報けいほう装置そうちに競合きょうごう状態じょうたいを発生はっせいする問題もんだいがあった。3本ほんのたるんだ送電そうでん線せんが同時どうじに外はずされたとき、競合きょうごう状態じょうたいが発生はっせいして監視かんし要員よういんに警報けいほうが届とどかなかった。このソフトウェア上じょうの問題もんだいによって2003年ねん北きたアメリカ大だい停電ていでんが発生はっせいした。

コンピュータセキュリティ

述語じゅつご（例たとえば認証にんしょうのための真理しんり値ちを返かえす演算えんざん子こか関数かんすう）のチェックと使用しようにかかわる競合きょうごう状態じょうたいというものがある。チェック時点じてんと使用しよう時点じてんで状態じょうたいを変更へんこうできるなら、競合きょうごう状態じょうたいが発生はっせいする。このような競合きょうごう状態じょうたいを発生はっせいさせるバグがコンピュータセキュリティに関かかわるコードに存在そんざいすると、セキュリティホールになる可能かのう性せいがある。例たとえば、ファイルのアクセス権けんをチェックした後のちで実際じっさいのファイルオープンをする場合ばあい（あくまでもオペレーティングシステム内うちのこと）、チェックとオープンの間あいだにファイルをすりかえる（例たとえばシンボリックリンクにする）と通常つうじょうアクセスできないファイルにアクセスできる（これは、オペレーティングシステムにバグがある場合ばあいの話はなしであって、一般いっぱんに可能かのうという話はなしではない）。

非同期ひどうき有限ゆうげん状態じょうたい機械きかい

常つねに1ビットだけ入力にゅうりょくが変化へんかすると仮定かていしている非同期ひどうき有限ゆうげん状態じょうたい機械きかいは、同時どうじに複数ふくすうの入力にゅうりょくビットが変化へんかすると障害しょうがいが発生はっせいする。これに対たいする解決かいけつ策さくとしては、マシンを設計せっけいする際さいに各かく状態じょうたいが検知けんちする入力にゅうりょくビットの変化へんかを1ビットに限定げんていすることである。

種別しゅべつ

静的せいてき競合きょうごう状態じょうたい: ある信号しんごうとその否定ひてい信号しんごうが入力にゅうりょくとして与あたえられるときに発生はっせいする可能かのう性せいがある。
動的どうてき競合きょうごう状態じょうたい: 一回いっかいの遷移せんいが期待きたいされているときに多重たじゅう遷移せんいが発生はっせいする。これはゲート間あいだの相互そうご作用さようで発生はっせいする。2段階だんかいより多おおいゲートを使つかわないことで防ふせぐことができる。
基本きほん競合きょうごう状態じょうたい: 全体ぜんたいのフィードバック伝播でんぱ時間じかんより短みじかい間隔かんかくで2回かい入力にゅうりょくが変化へんかすると発生はっせいする。入力にゅうりょく信号しんごうに何なんらかの遅延ちえん要素ようそを取とり入いれることで解決かいけつする場合ばあいがある。

脚注きゃくちゅう

[脚注きゃくちゅうの使つかい方かた]

^ 競合きょうごう状態じょうたい（レースコンディション）とは - 意味いみをわかりやすく - IT用語ようご辞典じてん e-Words
^ Anomalous behavior due to unexpected critical dependence on the relative timing of events. FOLDOC. (2002) race condition.
^ In this idiom, the code first checks a condition, and then acts based on the result of the condition. Yu Lin, et al.. (2013) CHECK-THEN-ACT Misuse of Java Concurrent Collections. 10.1109/ICST.2013.41
^ Secure programs must determine if a request should be granted, and if so, act on that request. There must be no way for an untrusted user to change anything used in this determination before the program acts on it. This kind of race condition is sometimes termed a time of check - time of use (TOCTOU) race condition. Secure Programming HOWTO
^ 「史上しじょう最悪さいあくのソフトウェアバグ」ワースト10を紹介しょうかい(上うえ) | WIRED.jp
^ History's Worst Software Bugs | WIRED
^ ソフトウェアのバグによって6件けんの重大じゅうだいな放射線ほうしゃせん事故じこが引ひき起おこされた「セラック25事故じこ」とは？ - GIGAZINE

外部がいぶリンク

IPA セキュア・プログラミング講座こうざ
- レースコンディションの一般いっぱん的てき対策たいさく C/C++言語げんご編へん
- synchronized とレースコンディションセキュアJavaプログラミング
- Unix のレースコンディションセキュアUnix/Linuxプログラミング

参考さんこう文献ぶんけん

bmurphy1976, et al.. (2008). What is a race condition? Stack Overflow
David A. Wheeler. (2015). Avoid Race Conditions. Secure Programming HOWTO, 7:11.

Article "Secure programmer: Prevent race conditions—Resource contention can be used against you" by David A. Wheeler

[1] 競合きょうごう状態じょうたい（レースコンディション）とは - 意味いみをわかりやすく - IT用語ようご辞典じてん e-Words

[2] Anomalous behavior due to unexpected critical dependence on the relative timing of events. FOLDOC. (2002) race condition.

[3] In this idiom, the code first checks a condition, and then acts based on the result of the condition. Yu Lin, et al.. (2013) CHECK-THEN-ACT Misuse of Java Concurrent Collections. 10.1109/ICST.2013.41

[4] Secure programs must determine if a request should be granted, and if so, act on that request. There must be no way for an untrusted user to change anything used in this determination before the program acts on it. This kind of race condition is sometimes termed a time of check - time of use (TOCTOU) race condition. Secure Programming HOWTO

[5] 「史上しじょう最悪さいあくのソフトウェアバグ」ワースト10を紹介しょうかい(上うえ) | WIRED.jp

[6] History's Worst Software Bugs | WIRED

[7] ソフトウェアのバグによって6件けんの重大じゅうだいな放射線ほうしゃせん事故じこが引ひき起おこされた「セラック25事故じこ」とは？ - GIGAZINE

[1]

[2]

[3]

[4]

[5]

[6]

[7]