EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

HPEセキュリティ担当ディレクターが解説 シリコンレベルのゼロトラスト防御で信頼できるインフラ構築を

edited by Security Online   2020/04/15 14:00

もはやファイアウォールでは防ぎきれない――信頼せず、常に検証する“ゼロトラスト”への転換

 このような事態を受け、HPEでは、新しいセキュリティ戦略である“ゼロトラスト”という考え方を推進している。Moore氏は、城塞をファイアウォールのイメージとした図を示しながら「組織や関係者のネットワークの外側にファイアウォールを設けても、その内側を守ることがとても難しくなっています。ファイアウォールの内側にいる関係者が、フィッシングメールをクリックしてしまったとします。あるいは、ハードウェアがUSBメモリなどを通じた物理的な攻撃を受けたとします。すると、ファイアウォール内部のほかの場所まで影響を及ぼしてしまうのです」と述べた。

たとえファイアウォールで守られていたとしても、その内側にはさまざまな脅威が潜んでいる
たとえファイアウォールで守られていたとしても、その内側にはさまざまな脅威が潜んでいる

 Moore氏は新たなサイバーセキュリティ対策として、内側から外への防御を推進しているとし「HPEのサーバー製品は、ハードウェアの中のシリコンチップのなかにファームウェアを監視・検証する仕組みを搭載することで、サーバーの内側から、外部につながるクラウドまで守っていくようなアプローチをとるのです」とハードウェアを中心とした防御について説明を加えた。

〝ゼトロラスト〟は、信頼をせず、常に検証していくという考え方。検証の中心はHPEのハードウェアだ
“ゼロトラスト”は、信頼をせず、常に検証していくという考え方。検証の中心はHPEのハードウェアだ

独自のアーキテクチャーによるハードウェア根幹の防御で、耐攻撃性・可用性を担保

 コンピューターには、BIOS(Basic Input/Output System)と呼ばれる、基盤となるファームウェアがあり、ハードウェアの初期化プロセスや、ハイパーバイザーやOSに制御を渡す役割を果たしている。

 このBIOSが侵害されてしまうと、OSのセキュリティ機能やアンチウイルスソフトウェアからは検出が難しく、OSの制御も奪われてしまい、復旧も困難となる。この課題に対して、HPEでは、シリコンレベルでハードウェアを防御する「iLO(Integrated Lights-Out)」と呼ばれる小型コンピューターを搭載し、BIOSの監視をおこなうアプローチをとっている。

 Moore氏は「ファームウェアは起動時におよそ40万行のコードを実行していますので、このセキュリティを担保することが重要です。HPEのSilicon Root of Trustはファームウェアへの侵害があった場合に、その変更情報をとらえてユーザーに通知する仕組みを持っています。ファームウェアのコピーを内部に保存しているので、侵害や改ざんがあった場合もすぐに復旧できます。監視は起動時だけでなく24時間おきに行います。他社製品もBIOSを監視するものはありますが、起動時のみです」とそのメカニズムについて解説した。

コンピューターのリソースからは独立したチップによって、異常なふるまいを監視・検知・復旧する
コンピューターのリソースからは独立したチップによって、異常なふるまいを監視・検知・復旧する

 他社製品とのアーキテクチャーの違いを説明したMoore氏はこのあと、その違いが如実にあらわれた米国のヘルスケア企業の事例を紹介した。ある日従業員が受信したフィッシングメールが原因で、“SamSam”と呼ばれるランサムウェアのコードが発動・展開して組織内の全サーバーに対して消去される処理がなされた。

 その侵入から8時間後、組織内の8割のサーバーは使用不能となったが、HPEのサーバーは全く被害を受けなかった。その後感染したサーバーをすべてHPE製品にリプレイスし、その費用は加入していたサイバーセキュリティ保険によって賄われたという。

 HPE製品以外はすべて侵害されてしまったので、すべてのサーバーがHPE製品にリプレイスされた
HPE製品以外はすべて侵害されてしまったので、すべてのサーバーがHPE製品にリプレイスされた

 「この被害を受け、この企業の担当者は、ハードウェアメーカーとしっかりパートナーを組むということと、サイバーセキュリティ保険へ加入し、被害にあった後も速やかに代替の機器を購入できることを教訓として学んだといいます」とMoore氏はサイバーセキュリティ保険の重要性を説いた。

確かな技術での防御と、サイバー保険の備えによって、インフラの信頼性を高めていく

 Moore氏は、最近多くの企業がサイバーセキュリティ保険に加入しており、保険業界でも成長分野であると説明した。ある保険会社の関係者との話では、自動車保険のカテゴリの保険商品のシェアが、サイバーセキュリティ保険に移行しているという。この背景には、自動車の自動運転の普及があり、保証の対象が人から自動運転のソフトウェアやシステムにも及ぶようになっていくと予測されているのだ。

 そんな中、保険仲介とリスク管理のグローバルリーダーであるMarsh社は「2019 Cyber Catalyst Designations」というプログラムを開始した。これは、Marsh社および大手保険会社がサイバーセキュリティのリスクを軽減するソリューションを選定することで、その認定製品を利用する顧客はより有利なサイバーセキュリティ保険契約条件を得られるというもの。

 Moore氏は「HPE製品では、今回紹介した『HPE Silicon Root of Trust』と、モビリティ向けのネットワークセキュリティ製品『Aruba Policy Enforcement Firewall』の2つが選定されました。サーバー製品で選定された企業はHPEだけです」と紹介した。

「2019 Cyber Catalyst Designations」プログラムでは、大手保険会社8社による投票で150の製品・ソリューションの中から17が選定された
「2019 Cyber Catalyst Designations」プログラムでは、
大手保険会社8社による投票で150の製品・ソリューションの中から17が選定された

 「2019 Cyber Catalyst Designations」プログラムは北米で始まったものであるが、グローバルに展開する保険会社が参画していることもあって、これらの企業が日本でもサイバーセキュリティ保険を促進していくであろうとMoore氏は話した。

 今回の選定による具体的な補償内容の優位性などについてMoore氏に聞くと、「保険会社の商品内容次第であるため定量化されたものはない」としたものの、「たとえば、火災報知器が十分な数ある設備なら、より少ない設備よりも火災保険において優遇されるはずです。同じようにデータセンター内でHPE製品を多くの割合で導入していれば、より高い補償を得られるでしょう」との見解を示した。

 最後に、Moore氏に今後の展望を聞くと、「ゼロトラスト防御の考え方をファームウェアだけでなくOSや仮想マシン、コンテナレベルまで広げていきます。マルウェアやランサムウェアの攻撃があったとしてもアプリケーションやソフトウェア、クラウドなどすべて検知・復旧できるようになるのです。HPEは昨年、”Everything as a Service”という戦略を発表しました。すべての製品をサービスとして展開していくのですが、どのサービスもセキュアな形で提供できるようにしていきたいです」と語った。



関連リンク

著者プロフィール

  • 森 英信(モリ ヒデノブ)

    スマホアプリやWebサイト、出版物といったコンテンツの企画制作を手がける株式会社アンジーの代表。写真加工アプリ「MyHeartCamera」「PicoSweet」など、提供するアプリは1100万以上のインストールを獲得。2019年にはAR(拡張現実)プログラムに関する特許を取得。自身はITやHRなどの取材記事ライター・編集者としても活動。趣味は英語学習(TOEIC L&Rスコア845)。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5