SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2021レポート(AD)

DX時代の要請に応える“シリコンレベル”のセキュリティとは 4領域を柱としたHPEのDX支援戦略

製造から廃棄まで、製品ライフサイクルを通じたHPE独自のセキュリティ対策

ファームウェア攻撃から保護する「Silicon Root of Trust」

 構築・運用フェイズでは、ファームウェアの保護がハードウェアベンダーであるHPEの特徴となる。

 デバイスには、ハードウェア、その上のOS、そしてアプリケーションと3つのレイヤーがあるが、ファームウェアはハードウェアに含まれる。OSが起動する前に立ち上がり、ハードウェア出荷後もバグ修正や機能追加のためにアップデートされる。

欠かせないファームウェアの安全性
欠かせないファームウェアの安全性
[画像クリックで拡大]

 そのファームウェアに対する攻撃が増えていると橘氏はいう。例として、UEFI(Unified Extensible Firmware Interface)のルートキットを使った攻撃である「LoJax」「MosaicRegressor」の2つを紹介した。ファームウェアが攻撃されると、OSを再インストールしても、ストレージを初期化しても排除ができない。システムのUEFIファームウェアのリフレッシュが求められるため、「中長期的なシステムダウンが発生する可能性があります」と橘氏はいう。

 このようなファームウェア攻撃に対して、HPEが進めるのが「Silicon Root of Trust」――シリコンレベルの信頼性だ。サーバー内に独自開発のASIC(Application Specific Integrated Circuit)を埋め込み、このASICが起点となって上位レイヤーのファームウェア(「iLO 5」)、System ROM/UEFI BIOS、そしてシステムブートローダーへと認証をつなげていく。「認証の輪を下から上につなげることで、デバイスの正当性、ファームウェアの正当性を担保します」(橘氏)。メリットは、物理的に組み込まれていること。「ソフトウェア的に実装されている場合はロジックの改ざんが可能だが、物理的に組み込むことでこれが不可能になるのです」と説明する。

HPEは真の「Silicon Root of Trust」を実現
HPEは真の「Silicon Root of Trust」を実現
[画像クリックで拡大]

 UEFIセキュアブートとしてシリコンレベルのセキュリティをうたうベンダーは他にもある。橘氏は、HPEの差別化を「自社開発」と説明する。他社の多くではUEFIファームウェアを自社開発しておらず、「UEFIファームウェアが攻撃されると、Root of Trustとして無力な状態になる」とのこと。HPEは、iLO 5ハードウェア、ファームウェア、System ROMを自社開発しているので、改ざんができないという。さらには、“セキュアリカバリー”として、サーバー稼働中のファームウェアチェックも同時に行い、万が一問題が見つかった場合にも、iLO 5内に保存されている元のファームウェアに復元する機能も備える

ワンボタンでサーバー初期化――廃棄も安全に

 このようなHPEのSilicon Root of Trust技術の優位性を認めた保険会社のMarshは、2019年の「Cyber Catalyst Designated Solution」(サイバーリスク軽減に効果のあるソリューション)として、同技術と「HPE Aruba Policy Enforcement Firewall」の2つのHPE技術を選んでいる。

 サイバー保険の認知が広がりつつある中、Silicon Root of Trustのように保険会社に認定されている技術を使うことは、安心感につながりそうだ。

 なお、橘氏はデバイスにある3レイヤーのOSについても短く触れた。ここでは、米Microsoftが2021年9月にサーバーOSの最新版となる「Windows Server 2022」を一般公開(GA)にしているが、「Windows Serverは25年にわたって進化しており、安心感のある製品。セキュリティについても、Secured-coreサーバーなど力を入れています」と橘氏。その1つとして、ハードウェアベースのセキュリティ関連機能を提供する「TPM(Trusted Platform Module) 2.0」が必須になったことに触れた。「MicrosoftとHPEなどのサーバーベンダーがガイドラインに沿ったテストを通過したプラットフォームサーバーを、お墨付きとして販売します」と橘氏は説明する。

 また、ライフサイクルの最後となる廃棄段階では、「One-buttonセキュア消去」という機能を紹介した。サーバーの各種設定や接続しているストレージも含めて、簡単な操作で初期化できるもので、GUI画面またはAPI経由で実行できる。消去は、米国のガイドライン(NIST SP 800-88, Revision 1)に準拠しているので安心だ。

サーバーの初期化をワンボタンでセキュアに実行
サーバーの初期化をワンボタンでセキュアに実行
[画像クリックで拡大]

 さらに安心したいというニーズに対しては、有償の保守サービスオプションとして、顧客(またはパートナー)自身で破壊・廃棄できる返却不要サービスオプション、HPEにデータ消去を依頼するオプションも用意しているという。

「選べる」有償オプションも用意
「選べる」有償オプションも用意
[画像クリックで拡大]

次のページ
Edge to Cloud時代に向けハードウェアセキュリティも進化

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2021レポート連載記事一覧

もっと読む

この記事の著者

末岡 洋子(スエオカ ヨウコ)

フリーランスライター。二児の母。欧州のICT事情に明るく、モバイルのほかオープンソースやデジタル規制動向などもウォッチしている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15006 2021/11/09 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング