ライフサイクル全体でサーバーセキュリティ向上、事業継続を確実に
ファームウェアの改ざん検知と復旧について、もう少し具体的に見ていこう。サーバー稼働中のファームウェア検証はiLO 5によりバックグラウンドで実行される。手動で即時、あるいは事前設定により最短日次間隔での定期実行も可能だ。正規のファームウェアには署名がしてあり、iLO 5がそれらのサーバーのファームウェアが改ざんされたものかどうかを検証する。もし不正なファームウェアを検知した場合には、サーバー内のNAND領域に格納された正常な状態のファームウェアリカバリーセットによって自動で復旧される。
先述した海外での外部ペネトレーションテストとは別に、日本では国内のサイバーセキュリティ専門企業の分析官によって、HPE Gen10サーバーのBIOS改ざんを試みるというペネトレーションテストも実施している。最終的にはHPEが守り抜き、専門家は「全て検知されてしまうので、検知機構の迂回をあきらめた」とした。HPE Gen10サーバーでは、重要なコードや鍵はiLO 5チップの中に物理的に焼き付けられている。よって、攻撃者からは手を出せない。改ざんを試みた分析官は「ファームウェアの完全性を十分に意識して作られている、理想の設計だ」と舌を巻く。
阿部氏は「これからはSecure Compute Lifecycleへ」と話す。サーバーのライフサイクル全体にわたりセキュリティを高めることで、事業継続を完全なものにしていくという。サーバーはサプライチェーンレベルで信頼性を確保し、暗号化や多要素認証などで保護し、ファームウェアやソフトウェア検証、SIEM連携も活用して常時検知できるようになった。もし改ざんや攻撃があれば信頼された状態に即座に自動復旧する。どの段階でも隙なく安全性を高めていくことで、事業が停止することを防ぐ。
将来、ファームウェアを狙うマルウェアがワームとなり、拡散することも考えられる。ファームウェアへの攻撃が増えている現在、こうした脅威はひたひたと現実味を帯びてきている。HPE Gen10サーバーはこうした将来の脅威に十分に対抗できる。やすやすとファームウェアが改ざんできない仕組みになっているため、ファームウェアへの攻撃が効力を発揮することは難しい。
最後に阿部氏は「サーバーとファームウェアはシステムの根幹です。迫りくる脅威に今から備える必要があります。HPE Gen10サーバーにはHPEが独自に開発したチップ(iLO 5)が標準搭載されています。このチップでファームウェア改ざんを自動検出し、復旧します。これにより手軽に安心を実現できます」と、HPE Gen10サーバーの強みを強調して締めくくった。
