EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ゼロトラストのハードウェアでサプライチェーンリスクを根絶 HPE Gen10とiLO 5の最新機能

edited by Security Online   2019/10/18 11:00

HPE Gen10 セキュリティの要 iLO 5とは

 まさにこれを実現しているのがHPEのサーバー群だ。HPEの最新サーバーシリーズは「HPE ProLiant Gen10サーバー」(以下、HPE Gen10サーバー)である。従来の世代と比較して大幅にセキュリティを強化しているのが特徴だ。その柱となるのが特殊なセキュリティアルゴリズムをチップに焼き付けた「iLO(Integrated Lights-Out)5だ」。

 HPE Gen10サーバーにはiLO 5が搭載されており、サーバーの電源を入れるとBIOS起動前にiLO 5が正常性確認を行い、もし改ざんなど異常があれば自動復旧する。「Root of Trust」と呼ばれる仕組みは他社製品でもあるが、管理プロセッサーを起点としてBIOSだけではなくシステムファームウェアも含めてチェックするのはHPE製品だけである。また、阿部氏は「HPE製品では起動時だけではなく、毎日自動的にチェックするところが他社と決定的に違います」と強調する。

 管理画面からはファームウェア検証結果を確認できる。阿部氏はデモとしてファームウェア検証の流れを示した。スキャンの結果、System ROMに異常を検知すると、iLOのNAND領域に保管されている健全なファームウェアに書き換える。検知から復旧までの処理はログに記録され、OSが稼働中でも、全て自動で実行される。

 阿部氏は事例を紹介した。海外のあるヘルスケア企業のデータセンターでは、複数ベンダーのサーバーを混在させて運用していた。ある日、巧妙に作られたメールがきっかけで、ランサムウェアの発動と展開を許してしまい、侵入から8時間後には80%のサーバーが「文鎮化(サーバーとして機能しない状態に)」してしまった。ただしHPEサーバーだけはランサムウェアの影響を受けることはなかった。この企業はサイバーセキュリティ保険をかけていたので、保険金を活用して、被害を受けたサーバーを全てHPEサーバーにリプレースしたという。

iLO 5チップを掲げる阿部氏

 国内でも、2018年8月にセキュリティ専業企業の株式会社サイバーディフェンス研究所がHPE Gen10サーバーに対してペネトレーションテストを実施している。その結果、iLOへの改ざんも試したものの、iLOが改ざんを検知して元の状態に戻してしまうため「完全性を担保するためのコードや鍵はiLOチップに格納されており、手を出せない」と白旗を揚げた。


関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • 丸毛透(マルモトオル)

    インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。  

バックナンバー

連載:Security Online Day 2019レポート
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5