EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ゼロトラストのハードウェアでサプライチェーンリスクを根絶 HPE Gen10とiLO 5の最新機能

edited by Security Online   2019/10/18 11:00

最新版iLO 5セキュリティ機能を実機でデモ

 2019年4月、HPEはiLO 5 v1.40を発表し、さらなるセキュリティ強化を打ち出した。なかでも特徴的な機能を辻氏が解説した。

日本ヒューレット・パッカード株式会社 辻 寛之氏

 まずは「ワンボタンセキュア消去」。サーバーは一定の期間が過ぎると更改する。廃棄や交換時の初期化も管理者にはそれなりの手間となる。そこで管理画面から初期化が行える機能が追加された。日本企業ユーザーからは好評だという。サーバーのハードディスクやSSDなど接続されている全てのストレージにあるデータを消去し、各種設定を工場出荷時のデフォルトに初期化する。なお初期化はNISTのガイドラインに準拠した形で実施される。

 続いて機能拡張した「HPE Smart Array Secure Encryption」。一般的にハードディスクやSSDの暗号化はドライブの機能で実施されるところ、HPEではRAIDコントローラー(Smartアレイコントローラー)で暗号化するため制限が少ない。暗号化キーの管理はローカルとリモートから選択可能。今回新しく外部のキー管理(SafeNet AT KeySecureとGemalto SafeNet KeySecure)にも対応した。

 セキュリティダッシュボードも新機能となる。iLOを中心としたセキュリティに関する現状と推奨事項を一目で確認できる。セキュリティ対策として重要となるのがファームウェアダウングレード保護だ。せっかくファームウェアを最新版にしたとしても、ファームウェアをダウングレードした上で脆弱性をつかれてしまうことも考えられる。デフォルトではファームウェアのダウングレードが可能だが、「ダウングレードを永遠に不許可」を選択することができる。

 加えて「サーバー構成ロック」。サーバーを別の拠点に移動する時や、サーバー設置場所が安全な場所ではない時、変更を防止するのに有効だ。サーバー構成をロックしておくと、システムボード、CPU、メモリ、PCIeスロット、セキュリティ構成、システムファームウェアの”デジタル指紋”がシステムに記憶され、変更があると検知できるようになっている。

 実際に変更が検知されるとどうなるかを辻氏が壇上で実機デモした。サーバーは売れ筋のHPE ProLiant DL360 Gen10、あらかじめサーバー構成ロックが設定されているとする。そこに辻氏が悪者役となり、輸送中のサーバーの蓋を開け、マルウェアが仕込まれたカードに交換する。

 このように物理的に部品ごと交換されたらどうなるか。輸送先に届いたとして電源を入れるとシステムが起動し、カードが交換されたことが通知される。iLOにアクセスすれば、より詳細な情報や推奨アクションを参照可能だ。さらに、サーバー侵入検知センサーオプションがあると、電源ケーブルが接続されていない状態でも蓋が開けられたことが検知される。

 なおこれらの新機能はファームウェアをアップデートすれば利用可能だ。辻氏は「実際に部品を交換されるという脅威は日本においては現実味がないかもしれません。しかし、サーバーは長く使うものです。今後どのような脅威が現れるかわかりません。部品やファームウェアが変更されても検知して元に戻す機能を備えていることは安全を保つ上で重要です」と話す。

 再び壇上に阿部氏が戻り、あらためて「HPE Gen10サーバーの最新ハードウェアにはサプライチェーンリスクに備えるセキュリティ機能があらかじめ備わっています」と強調した。セキュリティリスクがファームウェアなど深い領域にまで及んでいることを考えると、iLOで書き換えを検知し、復旧できる機能は頼もしい。しかも自動で復旧するため利便性とのトレードオフにもならないところも大きな強みとなるだろう。



関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • 丸毛透(マルモトオル)

    インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。  

バックナンバー

連載:Security Online Day 2019レポート
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5