SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2021レポート(PR)

DX時代の要請に応える“シリコンレベル”のセキュリティとは 4領域を柱としたHPEのDX支援戦略

 ハードウェアベンダーとして、セキュリティを重要な柱に掲げて取り組んでいるのがヒューレット・パッカード・エンタープライズ(HPE)だ。「Security Online Day 2021」では、日本ヒューレット・パッカード合同会社 プリセールスエンジニアリング統括本部の橘孝祐氏が、シリコンレベルのセキュリティ機構「Silicon Root of Trust」をはじめ、製品のライフサイクルを通じたHPEのセキュリティ対策を紹介した。

年15%で増加、増えるサイバー犯罪

日本ヒューレット・パッカード プリセールスエンジニアリング統括本部 橘孝祐氏
日本ヒューレット・パッカード合同会社 プリセールスエンジニアリング統括本部 橘孝祐氏

 1939年にシリコンバレーで誕生したHewlett-Packardを前身とするHPEは、企業向けにサーバーやストレージなどのシステムを提供するベンダーだ。

 コンピューティングトレンドの変遷を受け、グローバルレベルでは、データから洞察を得る「洞察の時代」、エッジからクラウドまでシームレスにデータを利活用するための横断的なプラットフォーム「Edge to Cloud Platform」、プラットフォーム全体でサービスとして提供する「as-a-serviceカンパニー化の実現」と3つの方向で戦略を進めている。

 この方向性を踏まえ、日本では「顧客のチャレンジを支えるDXプラットフォームの提供を目指しています」と橘氏は説明する。そこで、「5G/IoT」「デジタル・ワークプレイス」「データマネジメントとAI」「ハイブリッド・クラウド」と4領域をカバーする全社横断的なタスクチームを発足させた。セキュリティの観点から見ると、「IoT/OTセキュリティ」「ゼロトラスト・セキュリティ」「Edge to Cloudセキュリティ」の3つに分類できる。「どの領域にとっても、セキュリティは重要です」と橘氏は説明する。

DXプラットフォームを最適な形で実現へ
DXプラットフォームを最適な形で実現へ
[画像クリックで拡大]

 HPEがこのようにセキュリティを重視する背景にあるのは、ランサムウェアなどサイバー犯罪や攻撃の増加だ。「今後5年でサイバー犯罪は年率15%で増加し、サイバー犯罪の被害額は2025年までに年10.5兆ドルになると予想されています。また、ランサムウェアによる経済的損失は2021年に200億ドルを超えるなど深刻化しているのです」(橘氏)。

ますますサイバー脅威は巧妙化
ますますサイバー脅威は巧妙化
[画像クリックで拡大]

 セキュリティの取り組みとしてHPEは、NIST(米国国立標準技術研究所)のセキュリティガイドライン策定に参画している。製品側では、2017年より「HPE Silicon Root of Trust」としてハードウェアセキュリティの機構をサーバーに標準搭載してきた。橘氏によると、ハードウェアセキュリティ機構を標準搭載するというのは業界初という。

製品ライフサイクルでセキュリティを担保

 HPEが実現するハードウェアセキュリティとはどのようなものなのか? 橘氏は、製造・流通――構築・運用――廃棄という製品のライフサイクルになぞって説明した。

 製造段階の脅威として橘氏があげるのが、「サプライチェーンリスク」だ。サプライチェーンの弱点を悪用した攻撃で、情報処理推進機構(IPA)が作成した2021年の「情報セキュリティ10大脅威(組織編)」(PDF)でも、2年連続で4位に入っている。

 橘氏によると、HPE製品は「サーバー構成ロック」「プラットフォーム証明書」などの技術で、これに備えることができるという。

 サーバー構成ロックは、デジタルフィンガープリントの生成により、サーバーの構成の変更を起動時にチェックするもの。システムボード、CPU、メモリ、PCIeスロット、セキュリティ構成、システムファームウェアが対象で、HPEの工場から顧客先への出荷、顧客が拠点間で移送する際などでの利用を想定している。

「サーバー構成ロック」でサプライチェーンリスクなどに備える
「サーバー構成ロック」でサプライチェーンリスクなどに備える
[画像クリックで拡大]

 プラットフォーム証明書は、製造時から改ざんが行われていないことを証明するもので、より強固なサプライチェーンリスク対策として提供するもの。こちらは、現在北米工場にて、一部の製品で開始しているという。

 橘氏はもう一つ、ゼロトラスト対応として顧客ネットワークへの安全な接続のための機能も紹介した。標準技術である「802.1 AR(Secure Device Identity)」を利用するもので、HPE工場でIDevID(Initial Device Identifier)をサーバーに格納する。これにより、各設置場所に専任の技術者を派遣することなく、ゼロタッチで安全な接続が確立するという。この機能も、北米工場の一部製品でスタートしている。

「ゼロタッチ」でネットワークへの安全な接続を確立
「ゼロタッチ」でネットワークへの安全な接続を確立
[画像クリックで拡大]

ファームウェア攻撃から保護する「Silicon Root of Trust」

 構築・運用フェイズでは、ファームウェアの保護がハードウェアベンダーであるHPEの特徴となる。

 デバイスには、ハードウェア、その上のOS、そしてアプリケーションと3つのレイヤーがあるが、ファームウェアはハードウェアに含まれる。OSが起動する前に立ち上がり、ハードウェア出荷後もバグ修正や機能追加のためにアップデートされる。

欠かせないファームウェアの安全性
欠かせないファームウェアの安全性
[画像クリックで拡大]

 そのファームウェアに対する攻撃が増えていると橘氏はいう。例として、UEFI(Unified Extensible Firmware Interface)のルートキットを使った攻撃である「LoJax」「MosaicRegressor」の2つを紹介した。ファームウェアが攻撃されると、OSを再インストールしても、ストレージを初期化しても排除ができない。システムのUEFIファームウェアのリフレッシュが求められるため、「中長期的なシステムダウンが発生する可能性があります」と橘氏はいう。

 このようなファームウェア攻撃に対して、HPEが進めるのが「Silicon Root of Trust」――シリコンレベルの信頼性だ。サーバー内に独自開発のASIC(Application Specific Integrated Circuit)を埋め込み、このASICが起点となって上位レイヤーのファームウェア(「iLO 5」)、System ROM/UEFI BIOS、そしてシステムブートローダーへと認証をつなげていく。「認証の輪を下から上につなげることで、デバイスの正当性、ファームウェアの正当性を担保します」(橘氏)。メリットは、物理的に組み込まれていること。「ソフトウェア的に実装されている場合はロジックの改ざんが可能だが、物理的に組み込むことでこれが不可能になるのです」と説明する。

HPEは真の「Silicon Root of Trust」を実現
HPEは真の「Silicon Root of Trust」を実現
[画像クリックで拡大]

 UEFIセキュアブートとしてシリコンレベルのセキュリティをうたうベンダーは他にもある。橘氏は、HPEの差別化を「自社開発」と説明する。他社の多くではUEFIファームウェアを自社開発しておらず、「UEFIファームウェアが攻撃されると、Root of Trustとして無力な状態になる」とのこと。HPEは、iLO 5ハードウェア、ファームウェア、System ROMを自社開発しているので、改ざんができないという。さらには、“セキュアリカバリー”として、サーバー稼働中のファームウェアチェックも同時に行い、万が一問題が見つかった場合にも、iLO 5内に保存されている元のファームウェアに復元する機能も備える

ワンボタンでサーバー初期化――廃棄も安全に

 このようなHPEのSilicon Root of Trust技術の優位性を認めた保険会社のMarshは、2019年の「Cyber Catalyst Designated Solution」(サイバーリスク軽減に効果のあるソリューション)として、同技術と「HPE Aruba Policy Enforcement Firewall」の2つのHPE技術を選んでいる。

 サイバー保険の認知が広がりつつある中、Silicon Root of Trustのように保険会社に認定されている技術を使うことは、安心感につながりそうだ。

 なお、橘氏はデバイスにある3レイヤーのOSについても短く触れた。ここでは、米Microsoftが2021年9月にサーバーOSの最新版となる「Windows Server 2022」を一般公開(GA)にしているが、「Windows Serverは25年にわたって進化しており、安心感のある製品。セキュリティについても、Secured-coreサーバーなど力を入れています」と橘氏。その1つとして、ハードウェアベースのセキュリティ関連機能を提供する「TPM(Trusted Platform Module) 2.0」が必須になったことに触れた。「MicrosoftとHPEなどのサーバーベンダーがガイドラインに沿ったテストを通過したプラットフォームサーバーを、お墨付きとして販売します」と橘氏は説明する。

 また、ライフサイクルの最後となる廃棄段階では、「One-buttonセキュア消去」という機能を紹介した。サーバーの各種設定や接続しているストレージも含めて、簡単な操作で初期化できるもので、GUI画面またはAPI経由で実行できる。消去は、米国のガイドライン(NIST SP 800-88, Revision 1)に準拠しているので安心だ。

サーバーの初期化をワンボタンでセキュアに実行
サーバーの初期化をワンボタンでセキュアに実行
[画像クリックで拡大]

 さらに安心したいというニーズに対しては、有償の保守サービスオプションとして、顧客(またはパートナー)自身で破壊・廃棄できる返却不要サービスオプション、HPEにデータ消去を依頼するオプションも用意しているという。

「選べる」有償オプションも用意
「選べる」有償オプションも用意
[画像クリックで拡大]

Edge to Cloud時代に向けハードウェアセキュリティも進化

 今後はどのようなセキュリティ機能が実現するのか――橘氏は最後に、進行中の取り組みについても触れた。

 最初に紹介したのは、ネットワークインターフェイス(NIC)側の処理能力をセキュリティに利用するものだ。この分野のスタートアップである米Pensando社と提携し、Pensando社の「Smart NIC」を活用することで、サーバー通信の暗号化、マイクロセグメンテーションとステートフルファイアウォールを構築するなどの取り組みを進めているという。このようなハードウェア的な制御のメリットについて橘氏は、「ソフトウェア的な制御よりもシンプルでわかりやすい」と説明する。また、CPUやメモリリソースの節約、責任分界点がわかりやすい、などの利点もあると述べた。

Pensandoとの提携でよりセキュアに
Pensando社との提携でよりセキュアに
[画像クリックで拡大]

 次に、Edge to Cloudを安全にするHPEの新プロジェクト「Project Aurora」も紹介した。HPEが進める「Edge to Cloud Platform」でゼロトラストのセキュリティアーキテクチャを実現するというプロジェクトだ。

 具体的には、「Edge to Cloud Platform」を「サプライチェーン」「インフラストラクチャ」「OS/ハイパーバイザー」「プラットフォーム」「ワークロード」と5つのレイヤーに分け、レイヤー間で異なる脅威に対して、下位レイヤーから上位レイヤーへの認証を通じて、環境全体の正当性を担保していくというもの。「一貫して検証し続けることでセキュリティを担保するものです」という。

一貫してセキュリティを担保
一貫してセキュリティを担保
[画像クリックで拡大]

 サプライチェーンとインフラストラクチャの2レイヤーについては、Silicon Root of Trustなどで既に対応できており、今後は上の3レイヤーに対して実現していく。既に、クラウドネイティブセキュリティの「SPIFFE(Secure Production Identity Framework For Everyone)」ベースのサービスを提供するScytale社を買収するなど、準備を進めていることも報告した。

 Project Auroraの一部技術は、まもなくサービスの一環として提供される予定だという。「今後もセキュリティを戦略の柱とする、HPEの最新の取り組みに注目してほしい」と橘氏は述べた。

HPE 橘孝祐氏が解説する「HPEサーバー導入前のアドバイス ― セキュリティ編」

 HPEが公式ブログで連載している「導入前のアドバイス」においても、登壇者の橘孝祐氏が「HPE ProLiant サーバー」のハードウェアセキュリティについて解説しています! ぜひ、本記事とあわせて、「HPEサーバー導入前のアドバイス ― セキュリティ編」はこちらからご一読ください。

Gen10サーバーにおける“ハードウェアセキュリティ”を網羅したガイドブック

 本記事でも紹介した、ハードウェアセキュリティの詳細を網羅している「リファレンスガイドブック」(英語)をご用意! 13項目から知りたい情報を参照し、より理解を深めることができます。「リファレンスガイドブック」の詳細はこちら

Windows Server 2019:
オンプレミスとクラウドを橋渡しするオペレーティングシステム
Windows Server 2019とHPE ProLiantサーバーによって、顧客体験を向上させることができます。Windows Serverのセキュリティとアプリのイノベーションを利用して、オンプレミスへの投資をクラウドに橋渡しできるように支援することでビジネスの成長を促進します。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15006 2021/11/09 10:00

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング