Security Online Day 2021レポート（AD）

DX時代の要請に応える“シリコンレベル”のセキュリティとは　4領域を柱としたHPEのDX支援戦略

製造から廃棄まで、製品ライフサイクルを通じたHPE独自のセキュリティ対策

末岡洋子[著] / 関口達朗[写]

2021/11/09 10:00

通知

ファームウェア攻撃から保護する「Silicon Root of Trust」

　構築・運用フェイズでは、ファームウェアの保護がハードウェアベンダーであるHPEの特徴となる。

　デバイスには、ハードウェア、その上のOS、そしてアプリケーションと3つのレイヤーがあるが、ファームウェアはハードウェアに含まれる。OSが起動する前に立ち上がり、ハードウェア出荷後もバグ修正や機能追加のためにアップデートされる。

　そのファームウェアに対する攻撃が増えていると橘氏はいう。例として、UEFI（Unified Extensible Firmware Interface）のルートキットを使った攻撃である「LoJax」と「MosaicRegressor」の2つを紹介した。ファームウェアが攻撃されると、OSを再インストールしても、ストレージを初期化しても排除ができない。システムのUEFIファームウェアのリフレッシュが求められるため、「中長期的なシステムダウンが発生する可能性があります」と橘氏はいう。

　このようなファームウェア攻撃に対して、HPEが進めるのが「Silicon Root of Trust」――シリコンレベルの信頼性だ。サーバー内に独自開発のASIC（Application Specific Integrated Circuit）を埋め込み、このASICが起点となって上位レイヤーのファームウェア（「iLO 5」）、System ROM/UEFI BIOS、そしてシステムブートローダーへと認証をつなげていく。「認証の輪を下から上につなげることで、デバイスの正当性、ファームウェアの正当性を担保します」（橘氏）。メリットは、物理的に組み込まれていること。「ソフトウェア的に実装されている場合はロジックの改ざんが可能だが、物理的に組み込むことでこれが不可能になるのです」と説明する。

HPEは真の「Silicon Root of Trust」を実現
[画像クリックで拡大]

　UEFIセキュアブートとしてシリコンレベルのセキュリティをうたうベンダーは他にもある。橘氏は、HPEの差別化を「自社開発」と説明する。他社の多くではUEFIファームウェアを自社開発しておらず、「UEFIファームウェアが攻撃されると、Root of Trustとして無力な状態になる」とのこと。HPEは、iLO 5ハードウェア、ファームウェア、System ROMを自社開発しているので、改ざんができないという。さらには、“セキュアリカバリー”として、サーバー稼働中のファームウェアチェックも同時に行い、万が一問題が見つかった場合にも、iLO 5内に保存されている元のファームウェアに復元する機能も備える。

ワンボタンでサーバー初期化――廃棄も安全に

　このようなHPEのSilicon Root of Trust技術の優位性を認めた保険会社のMarshは、2019年の「Cyber Catalyst Designated Solution」（サイバーリスク軽減に効果のあるソリューション）として、同技術と「HPE Aruba Policy Enforcement Firewall」の2つのHPE技術を選んでいる。

　サイバー保険の認知が広がりつつある中、Silicon Root of Trustのように保険会社に認定されている技術を使うことは、安心感につながりそうだ。

　なお、橘氏はデバイスにある3レイヤーのOSについても短く触れた。ここでは、米Microsoftが2021年9月にサーバーOSの最新版となる「Windows Server 2022」を一般公開（GA）にしているが、「Windows Serverは25年にわたって進化しており、安心感のある製品。セキュリティについても、Secured-coreサーバーなど力を入れています」と橘氏。その1つとして、ハードウェアベースのセキュリティ関連機能を提供する「TPM（Trusted Platform Module） 2.0」が必須になったことに触れた。「MicrosoftとHPEなどのサーバーベンダーがガイドラインに沿ったテストを通過したプラットフォームサーバーを、お墨付きとして販売します」と橘氏は説明する。

　また、ライフサイクルの最後となる廃棄段階では、「One-buttonセキュア消去」という機能を紹介した。サーバーの各種設定や接続しているストレージも含めて、簡単な操作で初期化できるもので、GUI画面またはAPI経由で実行できる。消去は、米国のガイドライン（NIST SP 800-88, Revision 1）に準拠しているので安心だ。