ファームウェア改ざんを防ぐ鍵 HPE独自開発チップのiLO 5
セキュリティ対策としてハードウェアそのものの防御にも注目が高まり、HPE Gen10サーバーではセキュリティを大幅に強化している。阿部氏は「Gen10サーバー開発では、サーバーセキュリティ強化がNo.1プライオリティでした。HPE Gen10サーバーは防御、検知、復旧まで全ライフサイクルに渡りお客様の大切なサーバーを保護することができる、『世界標準の安心サーバー』です」と話す。
Gen10サーバーでは製造段階で自社シリコンチップ(iLO 5)に物理的に「Root of Trust」を埋め込んでいるため、その健全性を保証されている。そのiLO 5が信頼の起点となり、その後に読み込まれるファームウェア群の信頼性も定期的に検証を行い、万一改ざんがあった場合にも自動でそのことを検知しファームウェアを安全に自動復旧する。
鍵となるのがiLO 5(Integrated Lights-Out)。HPE Gen10サーバーに内蔵されている小型コンピューターで、実体は切手よりも小さいサイズのチップだ。CPUやメモリなどサーバーのリソースとは独立した専用ASICで、サーバーのライフサイクル全般をカバー。縁の下の力持ちのような存在として22年にわたって、HPEによって投資が行われ開発され続けている、HPEのコアテクノロジーとも言うべき存在だ。
一般的なCPUベースのファームウェア検証プロセスでは、BIOS以上のファームウェアをブート時のみ検証するようになっている。そのため低い層にあるマザーボードのコントローラーやファームウェアが攻撃されると対処できない。一方、HPE Gen10サーバーではハードウェアやファームウェアを検証できるようにできている。それも起動時だけではなく、稼働時も毎日自動的に検証し、自動的に復旧できるような仕組みを確立している。ここが他社サーバーとの明確な違いだ。
HPE Gen10サーバーの場合のファームウェア検証&復旧プロセス[画像クリックで拡大表示]
自社製カスタムシリコンチップにファームウェアを検証する不変のアルゴリズムを直接焼き付けて組み込んでいることは、自社開発を行うHPE独自の他社にはない強みだ。外部機関のペネトレーションテストでも、複数のベンダーの比較においてNo.1を獲得するなど、高いセキュリティを実現している。またHPE Gen10サーバーはOEM版Windows Server OSを一括提供しており、サポート面でも価格面でもメリットがある。セキュリティ更新プログラムの提供でOSレイヤーも安心して使える。最新のOSとセキュリティに優れたHPE Gen10サーバーにより、HWからOSまでをセキュアに保つことができるのだ。
