ハードウェアだけじゃない！　“全システムの一貫性”を担保するHPE流セキュリティ展開戦略

顧客の“概念”からともに策定する、HPEの企業変革支援とは

――HPEは、現在どのようなビジネス戦略を展開しているのでしょうか。

橘 孝祐氏（以下、橘氏）：グローバルでは、主に3つの柱を掲げています。まず、1つ目は「Age of Insight（洞察の時代）」、次に2つ目として、エッジからクラウドまでのデータを利活用できる基盤となる「Edge to Cloud Platform」。そして3つ目には、「as-a-service（アズ・ア・サービス）カンパニー化」の実現を目指しています。

　「Age of Insight（洞察の時代）」とは、データを蓄積した先にある“データをどのように活用するか”というステージを見据えた戦略の柱となります。その実現に向けた「Edge to Cloud Platform」とは、データが生成される場所として重要性が高まっているエッジから、ハイブリッド／プライベート／パブリックと様々なクラウドまで、シームレスにデータを活用できるプラットフォームです。

　そして、「as-a-serviceカンパニー化」に関する取り組みですが、HPEのソリューションを“サービスとして”提供するためのブランドとして、2017年末に「HPE GreenLake」を立ち上げました。このブランドが持つビジネスモデルにより、お客様はこれまでのようにサーバーなどの機器を手元に持ちながら、クラウドサービスのように使った分だけ、あるいは月額で支払いを行うことができるのです。

　また、我々は「2022年までにすべてをas-a-serviceで提供する」という戦略を発表しており、現在GreenLakeを急ピッチで拡大させているところです。既にインフラストラクチャだけでなく、PaaS、SaaSにもas-a-service化が及んでいます。

――では、そのような戦略やビジネスモデルに基づき、日本ではどのように展開していくのでしょうか。

橘氏：日本のお客様特有のDX状況を考慮して、5G／IoT、デジタルワークプレイス、データマネジメントとAI、ハイブリッドクラウドといった4つの領域を持つDXプラットフォームを提供します。

　これまでは、各領域のプラットフォームをサーバー、ストレージなどハードウェアの種類に合わせた”縦割り”で提供していました。しかし、お客様のビジネス変革を完全にサポートするためには不十分です。そこで、ユースケース主導のサービスとして我々の技術をご利用いただくために、4つのソリューションに関する横断的なタスクフォース組織を新設しました。これにより、すべてのソリューションをEdge to Cloud Platformとして、そしてas-a-serviceとして提供できます。

　たとえば、私が所属するデジタルワークプレイスでは、コロナ禍で増えている働き方改革の支援にあたって、「VDIやハードウェアを用いてどのようにテレワークを実現するか」という進め方ではなく、働き方に対しての固定概念や制約を取り払い、あるべき姿に対して社内の様々な部署の人と一緒に考えながら、VDIやテレワークのみならず、お客様のITプラットフォーム全体に対して最適なソリューションを提案させていただきます。そしてこの取り組みには、コロナ禍以前から先進的にリモートワークを取り入れていた我々自身の経験も活かしています。

「いつのまにか守られていた」を提供するHPEのセキュリティ観

――HPEが新しいビジネス戦略やDXプラットフォームの提供を推進する上で、サイバーセキュリティはどのような位置付けになるのでしょうか。

橘氏：たとえば、5G／IoTならエッジセキュリティやIoTセキュリティ、デジタルワークプレイスならゼロトラストセキュリティなどといったように、セキュリティは4領域のすべてにおいて根底の部分に存在しています。

　HPEは、“セキュリティ・バイ・デザイン”という言葉の下、設計段階から製造・流通、構築・運用、そして製品を廃棄する段階まで、「製品ライフサイクルを守る」という発想でセキュリティに取り組んでいます。セキュリティ機能のみを切り出して前面に押すということはありませんが、セキュリティが当然のように担保されていることが我々のプラットフォームの強みだと考えています。

　この強みは、これまでハードウェアベンダーとして、規模も業界も異なる世界中のお客様と接してきた経験からきています。たとえ汎用サーバー1台であっても、インフラにセキュリティを備えることは責務だと認識しているのです。そこで、HPEでは標準機能としてセキュリティ機能を搭載しています。お客様には、特別な意識や追加コスト無しに「実は保護されていた」と、実感していただくことができるでしょう。

---

クラス最高水準の性能と拡張性を持つ第3世代インテル® Xeon® スケーラブル・プロセッサー・ファミリーを搭載するHPE ProLiantサーバーが、お客様のビジネスにとって重要なインフラをセキュアに守ることをお手伝いします。

サプライチェーンリスクに対応するHPE製品の独自技術

――近年、サプライチェーン攻撃が増加しており、サイバーセキュリティのトレンドとなっています。HPEはこの分野で、どのような取り組みを行っているのでしょうか。

橘氏：サプライチェーン攻撃について、日本企業の中からは、「本当にそのようなリスクがあるのか」という声も聞かれます。ですが、グローバルでは深刻な問題となっており、IPA（情報処理推進機構）が発行した「情報セキュリティ10大脅威 組織編」では、2年連続で4位にランクインしています。

　HPEはグローバルで展開をしているので、この問題にいち早く対応しました。具体的には「サーバー構成ロック」という、サーバー構成の変更をサーバー起動時に検知する機能を備えており、製品ごとにデジタルフィンガープリントを発行することで、出荷時から一切の変更がないことを担保しています。この機能は、システムボード／CPU／メモリ／PCIe（PCI Express）スロット／セキュリティ構成／システムファームウェアを対象に実装されています。また、工場からお客様への出荷だけでなく、お客様が製品を別の環境へ移送する際など、使用中の状態でも利用できます。

　これ以外にも、HPEは製品ライフサイクル全体でセキュリティ機能を提供しています。

　たとえばサーバー使用中は、ハードウェアセキュリティとして、ファームウェアより下の部分から安全性を担保する機能「Silicon Root of Trust」があります。iLO5ハードウェアが起点となって、ファームウェア、System ROMへと認証をつないでいくというものです。HPEがiLO5などを自社開発しているからこそ実現した機能といえるでしょう。

　そして廃棄段階では、サーバー初期化をワンボタンで実行して、工場出荷時と同じ状態に戻す「One-button セキュア消去」があります。オプションとして、使い終わった機器を顧客自身で廃棄することができたり、廃棄をHPEに依頼することができたりといったサービスも用意しています。

――日本企業からは、どのような機能が特に評価されているのでしょうか。

橘氏：セキュリティ機能はどれも喜ばれていますが、その中でもSilicon Root of Trustはかなりの評価をいただいています。

　ファームウェアを狙った攻撃が増加傾向にありますが、もしファームウェアが改ざんされてしまうとシステムレベルでの障害につながります。改ざん部分を見抜く、そして万が一改ざんがあれば元のファームウェアへ戻すという点で、HPEのSilicon Root of Trustは業界に先駆けた技術です。他社の場合、起点がシリコンレベルまでさかのぼっていないことが多いほか、認証のループ数が少ないケースもあります。このことからも、iLO5を起点とする点はHPE独自の強みだと考えています。

業種・規模に関係なく“グローバルレベル”のセキュリティを提供

――具体的には、顧客のセキュリティにおけるニーズに対し、どのように応えているのでしょうか。

橘氏：たとえば洋菓子メーカーのモンテール様では、社内の情報システム担当者が少なく、セキュリティリスクへの対策を自社で隅々まで実施することはできないと考え、採用するサーバーに対してはセキュリティと信頼性を重視されていました。そんな中で採用されたのが、クラス最高水準の性能と拡張性を持つインテル® Xeon® スケーラブル・プロセッサー・ファミリーを搭載したHPEの「HPE ProLiant DL360 Gen10」です。このときは、セキュリティ機能が標準で組み込まれている点を高く評価していただきました。

　より大きな規模の企業では、中電シーティーアイ様があります。プライベートクラウドの基盤として、同じく「HPE ProLiant DL360 Gen10」を導入していただきましたが、現在はHPE GreenLakeを利用して、as-a-serviceで運用していただいています。

　中電シーティーアイ様は、ファイアウォールなど多層防御を中心としたセキュリティ対策を講じていらっしゃいます。しかし、それらが突破された際に、そこから下のレイヤーにおける対策が不十分という課題がありました。そこで、HPEのProLiantサーバーはファームウェアレベルでの攻撃にも対応でき、未知のリスク対策になるとされ、標準機として選定していただいたのです。

　これらをはじめとする多くの経験からわかることは、組織の規模や業種に関係なく、皆様がセキュリティに同じような機能を求めているということです。HPEは、グローバルレベルのセキュリティ対策を標準で提供するという点で、様々な規模・業種のニーズに応えることができると自負しています。

---

Edge to Cloudで提供する“ゼロトラストの輪”

――HPEのセキュリティは、今後どのように進化していくのでしょうか。

橘氏：先に、新たな取り組みとして「Project Aurora」を打ち出しました。戦略の柱の1つである「Edge to Cloud Platform」でゼロトラストセキュリティアーキテクチャを実現する取り組みで、サプライチェーン、インフラストラクチャ、OS／ハイパーバイザー、プラットフォーム、ワークロードという5つのレイヤーに分かれています。

　このうちサプライチェーンとインフラストラクチャは、従来我々が推進してきたハードウェアセキュリティに当たりますが、今後は、さらにその上となるOS、プラットフォーム、ワークロードまで一貫したセキュリティを提供します。この取り組みに向けて、社内で様々な準備が行われていますが、ほかにもクラウドネイティブセキュリティ技術を持つ企業であるSkytail社を買収するなど、外部の技術やノウハウを吸収することも積極的におこなっているところです。

――DXプラットフォームとの関係はどのようになっていくのでしょうか。

橘氏：DXプラットフォームは業界ごとに領域が分かれていますが、根底には共通して「Edge to Cloud Platform」があります。Project Auroraは、ここのセキュリティ部分を担うものとなります。

　今後は、継続的な認証機能を活用して、サプライチェーンから上位に向けて1つずつ検証していきます。OS／ハイパーバイザーでは、カーネルやドライバー、OSファイルシステム、そのほかの重要なOSプロセスの改ざんを防ぎ、OSの起動と実行状態を検証。プラットフォームでは、ミドルウェアレベルで主要なプラットフォームプロセスが変更していないことを検証し、ワークロードでも同様に開始時、実行中に変更がないことを継続的に検証します。これにより、“ゼロトラストの輪”をレイヤーをまたがって提供することができるのです。

――Project Auroraは、日本ではどのように展開していくのでしょうか。

橘氏：HPEは、6月に「HPE GreenLake Lighthouse」を発表しました。複数のクラウドサービスをオンデマンドで実行できる、クラウドネイティブなプラットフォームとなっており、これにProject Auroraが組み込まれています。まもなく日本でも正式に発表する予定です。

システム全体の一貫性を重視したセキュリティ支援へ

――サイバーセキュリティ分野における、今後の展望や計画をお聞かせください。

橘氏：ハードウェアとソフトウェアは分離されがちですが、どちらでインシデントが起こってもシステムは影響を受けます。もちろん、現場担当者レベルでは分ける必要がありますが、今後は「ハードウェア／ソフトウェア」と分けるのではなく、トータルで考える必要があるでしょう。つまり、“全体としてセキュリティの考え方が一致しているかどうか”が重要になっていくと考えています。

　この考えに基づき、HPEのProject Auroraは一貫性のある形で、ハードウェアからワークロードまでのセキュリティを担保・支援します。よって、今後はハードウェアにとどまらずプラットフォーム全体としてのセキュリティを提供していくつもりです。

　最後に、HPEはTrusted Computing Group 技術委員会をはじめとする、様々なワーキンググループに所属しています。これまでに紹介した独自の技術を独占するのではなく、業界全体としてサイバーセキュリティの水準を底上げしていきたいと考えています。

---