年15%で増加、増えるサイバー犯罪
1939年にシリコンバレーで誕生したHewlett-Packardを前身とするHPEは、企業向けにサーバーやストレージなどのシステムを提供するベンダーだ。
コンピューティングトレンドの変遷を受け、グローバルレベルでは、データから洞察を得る「洞察の時代」、エッジからクラウドまでシームレスにデータを利活用するための横断的なプラットフォーム「Edge to Cloud Platform」、プラットフォーム全体でサービスとして提供する「as-a-serviceカンパニー化の実現」と3つの方向で戦略を進めている。
この方向性を踏まえ、日本では「顧客のチャレンジを支えるDXプラットフォームの提供を目指しています」と橘氏は説明する。そこで、「5G/IoT」「デジタル・ワークプレイス」「データマネジメントとAI」「ハイブリッド・クラウド」と4領域をカバーする全社横断的なタスクチームを発足させた。セキュリティの観点から見ると、「IoT/OTセキュリティ」「ゼロトラスト・セキュリティ」「Edge to Cloudセキュリティ」の3つに分類できる。「どの領域にとっても、セキュリティは重要です」と橘氏は説明する。
[画像クリックで拡大]
HPEがこのようにセキュリティを重視する背景にあるのは、ランサムウェアなどサイバー犯罪や攻撃の増加だ。「今後5年でサイバー犯罪は年率15%で増加し、サイバー犯罪の被害額は2025年までに年10.5兆ドルになると予想されています。また、ランサムウェアによる経済的損失は2021年に200億ドルを超えるなど深刻化しているのです」(橘氏)。
[画像クリックで拡大]
セキュリティの取り組みとしてHPEは、NIST(米国国立標準技術研究所)のセキュリティガイドライン策定に参画している。製品側では、2017年より「HPE Silicon Root of Trust」としてハードウェアセキュリティの機構をサーバーに標準搭載してきた。橘氏によると、ハードウェアセキュリティ機構を標準搭載するというのは業界初という。
製品ライフサイクルでセキュリティを担保
HPEが実現するハードウェアセキュリティとはどのようなものなのか? 橘氏は、製造・流通――構築・運用――廃棄という製品のライフサイクルになぞって説明した。
製造段階の脅威として橘氏があげるのが、「サプライチェーンリスク」だ。サプライチェーンの弱点を悪用した攻撃で、情報処理推進機構(IPA)が作成した2021年の「情報セキュリティ10大脅威(組織編)」(PDF)でも、2年連続で4位に入っている。
橘氏によると、HPE製品は「サーバー構成ロック」「プラットフォーム証明書」などの技術で、これに備えることができるという。
サーバー構成ロックは、デジタルフィンガープリントの生成により、サーバーの構成の変更を起動時にチェックするもの。システムボード、CPU、メモリ、PCIeスロット、セキュリティ構成、システムファームウェアが対象で、HPEの工場から顧客先への出荷、顧客が拠点間で移送する際などでの利用を想定している。
[画像クリックで拡大]
プラットフォーム証明書は、製造時から改ざんが行われていないことを証明するもので、より強固なサプライチェーンリスク対策として提供するもの。こちらは、現在北米工場にて、一部の製品で開始しているという。
橘氏はもう一つ、ゼロトラスト対応として顧客ネットワークへの安全な接続のための機能も紹介した。標準技術である「802.1 AR(Secure Device Identity)」を利用するもので、HPE工場でIDevID(Initial Device Identifier)をサーバーに格納する。これにより、各設置場所に専任の技術者を派遣することなく、ゼロタッチで安全な接続が確立するという。この機能も、北米工場の一部製品でスタートしている。
[画像クリックで拡大]
ファームウェア攻撃から保護する「Silicon Root of Trust」
構築・運用フェイズでは、ファームウェアの保護がハードウェアベンダーであるHPEの特徴となる。
デバイスには、ハードウェア、その上のOS、そしてアプリケーションと3つのレイヤーがあるが、ファームウェアはハードウェアに含まれる。OSが起動する前に立ち上がり、ハードウェア出荷後もバグ修正や機能追加のためにアップデートされる。
[画像クリックで拡大]
そのファームウェアに対する攻撃が増えていると橘氏はいう。例として、UEFI(Unified Extensible Firmware Interface)のルートキットを使った攻撃である「LoJax」と「MosaicRegressor」の2つを紹介した。ファームウェアが攻撃されると、OSを再インストールしても、ストレージを初期化しても排除ができない。システムのUEFIファームウェアのリフレッシュが求められるため、「中長期的なシステムダウンが発生する可能性があります」と橘氏はいう。
このようなファームウェア攻撃に対して、HPEが進めるのが「Silicon Root of Trust」――シリコンレベルの信頼性だ。サーバー内に独自開発のASIC(Application Specific Integrated Circuit)を埋め込み、このASICが起点となって上位レイヤーのファームウェア(「iLO 5」)、System ROM/UEFI BIOS、そしてシステムブートローダーへと認証をつなげていく。「認証の輪を下から上につなげることで、デバイスの正当性、ファームウェアの正当性を担保します」(橘氏)。メリットは、物理的に組み込まれていること。「ソフトウェア的に実装されている場合はロジックの改ざんが可能だが、物理的に組み込むことでこれが不可能になるのです」と説明する。
[画像クリックで拡大]
UEFIセキュアブートとしてシリコンレベルのセキュリティをうたうベンダーは他にもある。橘氏は、HPEの差別化を「自社開発」と説明する。他社の多くではUEFIファームウェアを自社開発しておらず、「UEFIファームウェアが攻撃されると、Root of Trustとして無力な状態になる」とのこと。HPEは、iLO 5ハードウェア、ファームウェア、System ROMを自社開発しているので、改ざんができないという。さらには、“セキュアリカバリー”として、サーバー稼働中のファームウェアチェックも同時に行い、万が一問題が見つかった場合にも、iLO 5内に保存されている元のファームウェアに復元する機能も備える。
ワンボタンでサーバー初期化――廃棄も安全に
このようなHPEのSilicon Root of Trust技術の優位性を認めた保険会社のMarshは、2019年の「Cyber Catalyst Designated Solution」(サイバーリスク軽減に効果のあるソリューション)として、同技術と「HPE Aruba Policy Enforcement Firewall」の2つのHPE技術を選んでいる。
サイバー保険の認知が広がりつつある中、Silicon Root of Trustのように保険会社に認定されている技術を使うことは、安心感につながりそうだ。
なお、橘氏はデバイスにある3レイヤーのOSについても短く触れた。ここでは、米Microsoftが2021年9月にサーバーOSの最新版となる「Windows Server 2022」を一般公開(GA)にしているが、「Windows Serverは25年にわたって進化しており、安心感のある製品。セキュリティについても、Secured-coreサーバーなど力を入れています」と橘氏。その1つとして、ハードウェアベースのセキュリティ関連機能を提供する「TPM(Trusted Platform Module) 2.0」が必須になったことに触れた。「MicrosoftとHPEなどのサーバーベンダーがガイドラインに沿ったテストを通過したプラットフォームサーバーを、お墨付きとして販売します」と橘氏は説明する。
また、ライフサイクルの最後となる廃棄段階では、「One-buttonセキュア消去」という機能を紹介した。サーバーの各種設定や接続しているストレージも含めて、簡単な操作で初期化できるもので、GUI画面またはAPI経由で実行できる。消去は、米国のガイドライン(NIST SP 800-88, Revision 1)に準拠しているので安心だ。
[画像クリックで拡大]
さらに安心したいというニーズに対しては、有償の保守サービスオプションとして、顧客(またはパートナー)自身で破壊・廃棄できる返却不要サービスオプション、HPEにデータ消去を依頼するオプションも用意しているという。
[画像クリックで拡大]
Edge to Cloud時代に向けハードウェアセキュリティも進化
今後はどのようなセキュリティ機能が実現するのか――橘氏は最後に、進行中の取り組みについても触れた。
最初に紹介したのは、ネットワークインターフェイス(NIC)側の処理能力をセキュリティに利用するものだ。この分野のスタートアップである米Pensando社と提携し、Pensando社の「Smart NIC」を活用することで、サーバー通信の暗号化、マイクロセグメンテーションとステートフルファイアウォールを構築するなどの取り組みを進めているという。このようなハードウェア的な制御のメリットについて橘氏は、「ソフトウェア的な制御よりもシンプルでわかりやすい」と説明する。また、CPUやメモリリソースの節約、責任分界点がわかりやすい、などの利点もあると述べた。
[画像クリックで拡大]
次に、Edge to Cloudを安全にするHPEの新プロジェクト「Project Aurora」も紹介した。HPEが進める「Edge to Cloud Platform」でゼロトラストのセキュリティアーキテクチャを実現するというプロジェクトだ。
具体的には、「Edge to Cloud Platform」を「サプライチェーン」「インフラストラクチャ」「OS/ハイパーバイザー」「プラットフォーム」「ワークロード」と5つのレイヤーに分け、レイヤー間で異なる脅威に対して、下位レイヤーから上位レイヤーへの認証を通じて、環境全体の正当性を担保していくというもの。「一貫して検証し続けることでセキュリティを担保するものです」という。
[画像クリックで拡大]
サプライチェーンとインフラストラクチャの2レイヤーについては、Silicon Root of Trustなどで既に対応できており、今後は上の3レイヤーに対して実現していく。既に、クラウドネイティブセキュリティの「SPIFFE(Secure Production Identity Framework For Everyone)」ベースのサービスを提供するScytale社を買収するなど、準備を進めていることも報告した。
Project Auroraの一部技術は、まもなくサービスの一環として提供される予定だという。「今後もセキュリティを戦略の柱とする、HPEの最新の取り組みに注目してほしい」と橘氏は述べた。
HPE 橘孝祐氏が解説する「HPEサーバー導入前のアドバイス ― セキュリティ編」
HPEが公式ブログで連載している「導入前のアドバイス」においても、登壇者の橘孝祐氏が「HPE ProLiant サーバー」のハードウェアセキュリティについて解説しています! ぜひ、本記事とあわせて、「HPEサーバー導入前のアドバイス ― セキュリティ編」はこちらからご一読ください。
Gen10サーバーにおける“ハードウェアセキュリティ”を網羅したガイドブック
本記事でも紹介した、ハードウェアセキュリティの詳細を網羅している「リファレンスガイドブック」(英語)をご用意! 13項目から知りたい情報を参照し、より理解を深めることができます。「リファレンスガイドブック」の詳細はこちら。
Windows Server 2019:
オンプレミスとクラウドを橋渡しするオペレーティングシステム
Windows Server 2019とHPE ProLiantサーバーによって、顧客体験を向上させることができます。Windows Serverのセキュリティとアプリのイノベーションを利用して、オンプレミスへの投資をクラウドに橋渡しできるように支援することでビジネスの成長を促進します。
