SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

HPEセキュリティ担当ディレクターが解説 シリコンレベルのゼロトラスト防御で信頼できるインフラ構築を

もはやファイアウォールでは防ぎきれない――信頼せず、常に検証する“ゼロトラスト”への転換

 このような事態を受け、HPEでは、新しいセキュリティ戦略である“ゼロトラスト”という考え方を推進している。Moore氏は、城塞をファイアウォールのイメージとした図を示しながら「組織や関係者のネットワークの外側にファイアウォールを設けても、その内側を守ることがとても難しくなっています。ファイアウォールの内側にいる関係者が、フィッシングメールをクリックしてしまったとします。あるいは、ハードウェアがUSBメモリなどを通じた物理的な攻撃を受けたとします。すると、ファイアウォール内部のほかの場所まで影響を及ぼしてしまうのです」と述べた。

たとえファイアウォールで守られていたとしても、その内側にはさまざまな脅威が潜んでいる
たとえファイアウォールで守られていたとしても、その内側にはさまざまな脅威が潜んでいる

 Moore氏は新たなサイバーセキュリティ対策として、内側から外への防御を推進しているとし「HPEのサーバー製品は、ハードウェアの中のシリコンチップのなかにファームウェアを監視・検証する仕組みを搭載することで、サーバーの内側から、外部につながるクラウドまで守っていくようなアプローチをとるのです」とハードウェアを中心とした防御について説明を加えた。

〝ゼトロラスト〟は、信頼をせず、常に検証していくという考え方。検証の中心はHPEのハードウェアだ
“ゼロトラスト”は、信頼をせず、常に検証していくという考え方。検証の中心はHPEのハードウェアだ

独自のアーキテクチャーによるハードウェア根幹の防御で、耐攻撃性・可用性を担保

 コンピューターには、BIOS(Basic Input/Output System)と呼ばれる、基盤となるファームウェアがあり、ハードウェアの初期化プロセスや、ハイパーバイザーやOSに制御を渡す役割を果たしている。

 このBIOSが侵害されてしまうと、OSのセキュリティ機能やアンチウイルスソフトウェアからは検出が難しく、OSの制御も奪われてしまい、復旧も困難となる。この課題に対して、HPEでは、シリコンレベルでハードウェアを防御する「iLO(Integrated Lights-Out)」と呼ばれる小型コンピューターを搭載し、BIOSの監視をおこなうアプローチをとっている。

 Moore氏は「ファームウェアは起動時におよそ40万行のコードを実行していますので、このセキュリティを担保することが重要です。HPEのSilicon Root of Trustはファームウェアへの侵害があった場合に、その変更情報をとらえてユーザーに通知する仕組みを持っています。ファームウェアのコピーを内部に保存しているので、侵害や改ざんがあった場合もすぐに復旧できます。監視は起動時だけでなく24時間おきに行います。他社製品もBIOSを監視するものはありますが、起動時のみです」とそのメカニズムについて解説した。

コンピューターのリソースからは独立したチップによって、異常なふるまいを監視・検知・復旧する
コンピューターのリソースからは独立したチップによって、異常なふるまいを監視・検知・復旧する

 他社製品とのアーキテクチャーの違いを説明したMoore氏はこのあと、その違いが如実にあらわれた米国のヘルスケア企業の事例を紹介した。ある日従業員が受信したフィッシングメールが原因で、“SamSam”と呼ばれるランサムウェアのコードが発動・展開して組織内の全サーバーに対して消去される処理がなされた。

 その侵入から8時間後、組織内の8割のサーバーは使用不能となったが、HPEのサーバーは全く被害を受けなかった。その後感染したサーバーをすべてHPE製品にリプレイスし、その費用は加入していたサイバーセキュリティ保険によって賄われたという。

 HPE製品以外はすべて侵害されてしまったので、すべてのサーバーがHPE製品にリプレイスされた
HPE製品以外はすべて侵害されてしまったので、すべてのサーバーがHPE製品にリプレイスされた

 「この被害を受け、この企業の担当者は、ハードウェアメーカーとしっかりパートナーを組むということと、サイバーセキュリティ保険へ加入し、被害にあった後も速やかに代替の機器を購入できることを教訓として学んだといいます」とMoore氏はサイバーセキュリティ保険の重要性を説いた。

確かな技術での防御と、サイバー保険の備えによって、インフラの信頼性を高めていく

 Moore氏は、最近多くの企業がサイバーセキュリティ保険に加入しており、保険業界でも成長分野であると説明した。ある保険会社の関係者との話では、自動車保険のカテゴリの保険商品のシェアが、サイバーセキュリティ保険に移行しているという。この背景には、自動車の自動運転の普及があり、保証の対象が人から自動運転のソフトウェアやシステムにも及ぶようになっていくと予測されているのだ。

 そんな中、保険仲介とリスク管理のグローバルリーダーであるMarsh社は「2019 Cyber Catalyst Designations」というプログラムを開始した。これは、Marsh社および大手保険会社がサイバーセキュリティのリスクを軽減するソリューションを選定することで、その認定製品を利用する顧客はより有利なサイバーセキュリティ保険契約条件を得られるというもの。

 Moore氏は「HPE製品では、今回紹介した『HPE Silicon Root of Trust』と、モビリティ向けのネットワークセキュリティ製品『Aruba Policy Enforcement Firewall』の2つが選定されました。サーバー製品で選定された企業はHPEだけです」と紹介した。

「2019 Cyber Catalyst Designations」プログラムでは、大手保険会社8社による投票で150の製品・ソリューションの中から17が選定された
「2019 Cyber Catalyst Designations」プログラムでは、
大手保険会社8社による投票で150の製品・ソリューションの中から17が選定された

 「2019 Cyber Catalyst Designations」プログラムは北米で始まったものであるが、グローバルに展開する保険会社が参画していることもあって、これらの企業が日本でもサイバーセキュリティ保険を促進していくであろうとMoore氏は話した。

 今回の選定による具体的な補償内容の優位性などについてMoore氏に聞くと、「保険会社の商品内容次第であるため定量化されたものはない」としたものの、「たとえば、火災報知器が十分な数ある設備なら、より少ない設備よりも火災保険において優遇されるはずです。同じようにデータセンター内でHPE製品を多くの割合で導入していれば、より高い補償を得られるでしょう」との見解を示した。

 最後に、Moore氏に今後の展望を聞くと、「ゼロトラスト防御の考え方をファームウェアだけでなくOSや仮想マシン、コンテナレベルまで広げていきます。マルウェアやランサムウェアの攻撃があったとしてもアプリケーションやソフトウェア、クラウドなどすべて検知・復旧できるようになるのです。HPEは昨年、”Everything as a Service”という戦略を発表しました。すべての製品をサービスとして展開していくのですが、どのサービスもセキュアな形で提供できるようにしていきたいです」と語った。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12828 2020/04/15 14:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング