ライフサイクル全体でサーバーセキュリティ向上、事業継続を確実に
ファームウェアの改ざん検知と復旧について、もう少し具体的に見ていこう。サーバー稼働中のファームウェア検証はiLO 5によりバックグラウンドで実行される。手動で即時、あるいは事前設定により最短日次間隔での定期実行も可能だ。正規のファームウェアには署名がしてあり、iLO 5がそれらのサーバーのファームウェアが改ざんされたものかどうかを検証する。もし不正なファームウェアを検知した場合には、サーバー内のNAND領域に格納された正常な状態のファームウェアリカバリーセットによって自動で復旧される。
先述した海外での外部ペネトレーションテストとは別に、日本では国内のサイバーセキュリティ専門企業の分析官によって、HPE Gen10サーバーのBIOS改ざんを試みるというペネトレーションテストも実施している。最終的にはHPEが守り抜き、専門家は「全て検知されてしまうので、検知機構の迂回をあきらめた」とした。HPE Gen10サーバーでは、重要なコードや鍵はiLO 5チップの中に物理的に焼き付けられている。よって、攻撃者からは手を出せない。改ざんを試みた分析官は「ファームウェアの完全性を十分に意識して作られている、理想の設計だ」と舌を巻く。
阿部氏は「これからはSecure Compute Lifecycleへ」と話す。サーバーのライフサイクル全体にわたりセキュリティを高めることで、事業継続を完全なものにしていくという。サーバーはサプライチェーンレベルで信頼性を確保し、暗号化や多要素認証などで保護し、ファームウェアやソフトウェア検証、SIEM連携も活用して常時検知できるようになった。もし改ざんや攻撃があれば信頼された状態に即座に自動復旧する。どの段階でも隙なく安全性を高めていくことで、事業が停止することを防ぐ。
将来、ファームウェアを狙うマルウェアがワームとなり、拡散することも考えられる。ファームウェアへの攻撃が増えている現在、こうした脅威はひたひたと現実味を帯びてきている。HPE Gen10サーバーはこうした将来の脅威に十分に対抗できる。やすやすとファームウェアが改ざんできない仕組みになっているため、ファームウェアへの攻撃が効力を発揮することは難しい。
最後に阿部氏は「サーバーとファームウェアはシステムの根幹です。迫りくる脅威に今から備える必要があります。HPE Gen10サーバーにはHPEが独自に開発したチップ(iLO 5)が標準搭載されています。このチップでファームウェア改ざんを自動検出し、復旧します。これにより手軽に安心を実現できます」と、HPE Gen10サーバーの強みを強調して締めくくった。
この記事は参考になりましたか?
- Security Online Day 2018 イベントレポート連載記事一覧
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
