サーバーやIoT機器のファームウェアを狙う脅威が高まっている
HPEの最新戦略は「Data is the New Currency」。データはこれからの通貨であり、価値を生み出す源泉になるという考えだ。そのためにデータセンターだけではなく、クラウドやエッジに至るまで、どこまでもデータをシームレスに扱えるコンピューティング環境を提供することを目指している。
もちろん価値の源泉となるデータを保護することも欠かせない。HPEにおけるセキュリティ戦略ではゼロトラストを主軸にしている。一般的にこれまでのセキュリティはファイアウォール(境界)で外側の脅威から防御し、内側は信頼するという考えだった。しかし今では侵入された後も考える必要があり、内部不正もある。そのため「信頼しない、常に検証する」ことを大前提としたゼロトラストをセキュリティの根幹に据えている。
近年ではサイバーセキュリティの脅威は増大している。「2021年までにサイバー犯罪は世界経済に6兆米ドルの損害を与える」という予測もある(Cyber Security Ventures Researchより)。日本のGDPが約5兆米ドルなので、相当な規模だ。
今やサイバー攻撃はビジネス化しており、攻撃者はROIを考え、コストが少ないところを狙っている。それは対策があまり施されてなく、攻撃しやすいところとなる。サーバーならファームウェアだ。OSよりも先に起動するため検知されにくく、マルウェアを埋め込めばハードウェア制御ができて高い成果が得られるためだ。
ファームウェア保護の重要性はNIST(米国国立標準技術研究所)のSP800ガイドラインでも指摘されている。2018年5月に改訂されたガイドラインではファームウェアの保護や(破損や改ざんの)検知に加え、復旧すること(回復能力)の重要性が強調されている。
HPE Gen10 セキュリティの要 iLO 5とは
まさにこれを実現しているのがHPEのサーバー群だ。HPEの最新サーバーシリーズは「HPE ProLiant Gen10サーバー」(以下、HPE Gen10サーバー)である。従来の世代と比較して大幅にセキュリティを強化しているのが特徴だ。その柱となるのが特殊なセキュリティアルゴリズムをチップに焼き付けた「iLO(Integrated Lights-Out)5だ」。
HPE Gen10サーバーにはiLO 5が搭載されており、サーバーの電源を入れるとBIOS起動前にiLO 5が正常性確認を行い、もし改ざんなど異常があれば自動復旧する。「Root of Trust」と呼ばれる仕組みは他社製品でもあるが、管理プロセッサーを起点としてBIOSだけではなくシステムファームウェアも含めてチェックするのはHPE製品だけである。また、阿部氏は「HPE製品では起動時だけではなく、毎日自動的にチェックするところが他社と決定的に違います」と強調する。
管理画面からはファームウェア検証結果を確認できる。阿部氏はデモとしてファームウェア検証の流れを示した。スキャンの結果、System ROMに異常を検知すると、iLOのNAND領域に保管されている健全なファームウェアに書き換える。検知から復旧までの処理はログに記録され、OSが稼働中でも、全て自動で実行される。
阿部氏は事例を紹介した。海外のあるヘルスケア企業のデータセンターでは、複数ベンダーのサーバーを混在させて運用していた。ある日、巧妙に作られたメールがきっかけで、ランサムウェアの発動と展開を許してしまい、侵入から8時間後には80%のサーバーが「文鎮化(サーバーとして機能しない状態に)」してしまった。ただしHPEサーバーだけはランサムウェアの影響を受けることはなかった。この企業はサイバーセキュリティ保険をかけていたので、保険金を活用して、被害を受けたサーバーを全てHPEサーバーにリプレースしたという。
国内でも、2018年8月にセキュリティ専業企業の株式会社サイバーディフェンス研究所がHPE Gen10サーバーに対してペネトレーションテストを実施している。その結果、iLOへの改ざんも試したものの、iLOが改ざんを検知して元の状態に戻してしまうため「完全性を担保するためのコードや鍵はiLOチップに格納されており、手を出せない」と白旗を揚げた。
最新版iLO 5セキュリティ機能を実機でデモ
2019年4月、HPEはiLO 5 v1.40を発表し、さらなるセキュリティ強化を打ち出した。なかでも特徴的な機能を辻氏が解説した。
まずは「ワンボタンセキュア消去」。サーバーは一定の期間が過ぎると更改する。廃棄や交換時の初期化も管理者にはそれなりの手間となる。そこで管理画面から初期化が行える機能が追加された。日本企業ユーザーからは好評だという。サーバーのハードディスクやSSDなど接続されている全てのストレージにあるデータを消去し、各種設定を工場出荷時のデフォルトに初期化する。なお初期化はNISTのガイドラインに準拠した形で実施される。
続いて機能拡張した「HPE Smart Array Secure Encryption」。一般的にハードディスクやSSDの暗号化はドライブの機能で実施されるところ、HPEではRAIDコントローラー(Smartアレイコントローラー)で暗号化するため制限が少ない。暗号化キーの管理はローカルとリモートから選択可能。今回新しく外部のキー管理(SafeNet AT KeySecureとGemalto SafeNet KeySecure)にも対応した。
セキュリティダッシュボードも新機能となる。iLOを中心としたセキュリティに関する現状と推奨事項を一目で確認できる。セキュリティ対策として重要となるのがファームウェアダウングレード保護だ。せっかくファームウェアを最新版にしたとしても、ファームウェアをダウングレードした上で脆弱性をつかれてしまうことも考えられる。デフォルトではファームウェアのダウングレードが可能だが、「ダウングレードを永遠に不許可」を選択することができる。
加えて「サーバー構成ロック」。サーバーを別の拠点に移動する時や、サーバー設置場所が安全な場所ではない時、変更を防止するのに有効だ。サーバー構成をロックしておくと、システムボード、CPU、メモリ、PCIeスロット、セキュリティ構成、システムファームウェアの”デジタル指紋”がシステムに記憶され、変更があると検知できるようになっている。
実際に変更が検知されるとどうなるかを辻氏が壇上で実機デモした。サーバーは売れ筋のHPE ProLiant DL360 Gen10、あらかじめサーバー構成ロックが設定されているとする。そこに辻氏が悪者役となり、輸送中のサーバーの蓋を開け、マルウェアが仕込まれたカードに交換する。
このように物理的に部品ごと交換されたらどうなるか。輸送先に届いたとして電源を入れるとシステムが起動し、カードが交換されたことが通知される。iLOにアクセスすれば、より詳細な情報や推奨アクションを参照可能だ。さらに、サーバー侵入検知センサーオプションがあると、電源ケーブルが接続されていない状態でも蓋が開けられたことが検知される。
なおこれらの新機能はファームウェアをアップデートすれば利用可能だ。辻氏は「実際に部品を交換されるという脅威は日本においては現実味がないかもしれません。しかし、サーバーは長く使うものです。今後どのような脅威が現れるかわかりません。部品やファームウェアが変更されても検知して元に戻す機能を備えていることは安全を保つ上で重要です」と話す。
再び壇上に阿部氏が戻り、あらためて「HPE Gen10サーバーの最新ハードウェアにはサプライチェーンリスクに備えるセキュリティ機能があらかじめ備わっています」と強調した。セキュリティリスクがファームウェアなど深い領域にまで及んでいることを考えると、iLOで書き換えを検知し、復旧できる機能は頼もしい。しかも自動で復旧するため利便性とのトレードオフにもならないところも大きな強みとなるだろう。
