Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

セキュリティの「死角」ファームウェア改ざんを防ぐ――HPE Gen10サーバーの強み 独自開発チップiLO 5が鍵

edited by Security Online   2018/10/31 06:30

ライフサイクル全体でサーバーセキュリティ向上、事業継続を確実に

 ファームウェアの改ざん検知と復旧について、もう少し具体的に見ていこう。サーバー稼働中のファームウェア検証はiLO 5によりバックグラウンドで実行される。手動で即時、あるいは事前設定により最短日次間隔での定期実行も可能だ。正規のファームウェアには署名がしてあり、iLO 5がそれらのサーバーのファームウェアが改ざんされたものかどうかを検証する。もし不正なファームウェアを検知した場合には、サーバー内のNAND領域に格納された正常な状態のファームウェアリカバリーセットによって自動で復旧される。

セキュアリカバリー:検知・復旧までを実装[画像クリックで拡大表示]

 先述した海外での外部ペネトレーションテストとは別に、日本では国内のサイバーセキュリティ専門企業の分析官によって、HPE Gen10サーバーのBIOS改ざんを試みるというペネトレーションテストも実施している。最終的にはHPEが守り抜き、専門家は「全て検知されてしまうので、検知機構の迂回をあきらめた」とした。HPE Gen10サーバーでは、重要なコードや鍵はiLO 5チップの中に物理的に焼き付けられている。よって、攻撃者からは手を出せない。改ざんを試みた分析官は「ファームウェアの完全性を十分に意識して作られている、理想の設計だ」と舌を巻く。

 阿部氏は「これからはSecure Compute Lifecycleへ」と話す。サーバーのライフサイクル全体にわたりセキュリティを高めることで、事業継続を完全なものにしていくという。サーバーはサプライチェーンレベルで信頼性を確保し、暗号化や多要素認証などで保護し、ファームウェアやソフトウェア検証、SIEM連携も活用して常時検知できるようになった。もし改ざんや攻撃があれば信頼された状態に即座に自動復旧する。どの段階でも隙なく安全性を高めていくことで、事業が停止することを防ぐ。

 将来、ファームウェアを狙うマルウェアがワームとなり、拡散することも考えられる。ファームウェアへの攻撃が増えている現在、こうした脅威はひたひたと現実味を帯びてきている。HPE Gen10サーバーはこうした将来の脅威に十分に対抗できる。やすやすとファームウェアが改ざんできない仕組みになっているため、ファームウェアへの攻撃が効力を発揮することは難しい。

 最後に阿部氏は「サーバーとファームウェアはシステムの根幹です。迫りくる脅威に今から備える必要があります。HPE Gen10サーバーにはHPEが独自に開発したチップ(iLO 5)が標準搭載されています。このチップでファームウェア改ざんを自動検出し、復旧します。これにより手軽に安心を実現できます」と、HPE Gen10サーバーの強みを強調して締めくくった。



著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day 2018 イベントレポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5