【特別対談】拡大するファームウェアへの脅威を語る!――セキュリティに特化した「HPE Gen10サーバー」とは (1/3):EnterpriseZine(エンタープライズジン)
Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

【特別対談】拡大するファームウェアへの脅威を語る!――セキュリティに特化した「HPE Gen10サーバー」とは

2017/11/02 06:00

 日本ヒューレット・パッカード(以下、HPE)は2017年7月、「世界標準の安心サーバー」HPE Gen10サーバープラットフォーム(HPE Gen10サーバー)を発表した。HPE Gen10サーバーでは、業界標準サーバーにシリコンベースのセキュリティを導入している。その目的は、ファームウェアレベルへの攻撃に対応することだ。ファームウェアレベルへの攻撃とはどのようなものなのか、HPE Gen10サーバーではどのように攻撃を防ぐのか。今回、HPE サーバー製品本部 カテゴリーマネージャーの阿部敬則氏と、S&J 代表取締役社長の三輪信雄氏をお招きし、現状分析と対策について対談を行っていただいた。

編集部 本日は、HPEが発表したHPE Gen10サーバーの搭載機能の中でも、特にセキュリティにフォーカスして議論していただくということで、三輪さんにお越しいただきました。今回、HPE Gen10サーバーではセキュリティ面の強化、主にファームウェアレベルの攻撃への対応を掲げています。しかし、ファームウェアへの脅威については、まだあまり知られていないのが現状です。まずは、ファームウェアへの脅威について、三輪さんから解説していただけますか?

今後はファームウェアに対する脅威が拡大

cap
S&J
代表取締役社長 三輪信雄氏

三輪 攻撃者にとって攻撃の対象というのは、マルウェアが自由に自分で動けて、長期間潜むことができて、目的を簡単に達成できればなんでもいいんです。そうするとOSやアプリケーションなどの脆弱性の方が楽だったのですね。

 しかし、Windows 10の特にエンタープライズエディションのように、最近ではOSのセキュリティ機能が充実し、堅牢になっています。そうなってくるとマルウェア側では、今まで簡単に侵入できたコンピューターに対して侵入とか長期間潜むとかいったことがだんだん難しくなってきていて、特に権限昇格が非常に難しくなっています。これはLinux OSでも同様です。

 そうすると、次にターゲットになるのがBIOSなどのファームウェアです。ほとんどのファームウェアはアップデートされていません。もともとユーザー側に、アップデートするものという認識が希薄ですし、実際のアップデート作業もわかりづらい。最近では、ベンダーやセキュリティ関連組織による注意喚起などによって、サーバーも含めたOSやアプリケーション、セキュリティ対策ソフトの定義ファイルなどはアップデートするものという認識が浸透しつつあります。しかし、ファームウェアはそうではありません。

 サイバー攻撃者からすれば、ファームウェアは一度侵入に成功すれば、何年かはそこに居続けることが可能で、再起動するたびにマルウェアを立ち上げることができる。OSからはBIOSのスキャンはできないので、ウイルススキャナーでは見つけることができません。また、企業では同じハードウェア機種を使っているケースが多いですよね。サーバーもパソコンも、それぞれ同じメーカーである可能性が高い。そうすると、ターゲットさえ絞れば、そのBIOS、あるいはUEFIのファームウェアに侵入することは非常に効果が高いわけです。

 ただ、ファームウェアに感染するマルウェアは、現在よく注意喚起されているような、Excelのマクロを悪用するマルウェアや、JavaScriptで感染するランサムウェアなどは使えません。サイバー攻撃者はファームウェアを狙うために、新たなマルウェアを開発する必要があります。それにはお金も労力もかかりますが、例えば標的型攻撃やサイバーテロといった、バックに国家機関がいるようなサイバー攻撃を行う場合、重要な情報や役割を持つサーバーのファームウェアは格好の標的となります。サイバーテロの増加など攻撃する側のモチベーションも高まっている現在、ファームウェアへの対策はとても大事だと思います。

HPE Gen10サーバーが生まれた背景

編集部 なるほど。攻撃者はどんどん隙のあるところを突こうとしていて、次の標的はファームウェアである可能性が非常に高いというわけですね。そこで今回、ファームウェアをしっかり守ることをミッションとするHPE Gen10サーバーの話をうかがえればと、HPEの阿部さんにお越しいただきました。まずは、HPE Gen10サーバーが生まれた経緯について教えていただけますか?

cap
日本ヒューレット・パッカード株式会社
サーバー製品本部 カテゴリーマネージャー 阿部 敬則氏

阿部  私たちは21年もの間、x86サーバー業界において世界ナンバーワンのシェアを持つ会社です。いわゆるWindows、Linuxが稼働する標準サーバーを、約2年半の周期で更新し、今回第10世代となる「HPE Gen 10(ジェネレーション10)サーバープラットフォーム」を発表しました。

 HPEは「ハイブリッドIT」を戦略として掲げています。これは、今のクラウド時代に管理性、コスト、セキュリティの観点からパブリックだけでなくオンプレミス、プライベートクラウドも最適な形で組み合わせて使っていこうというものです。

 私たちは、よりいいものを作ってお客様に喜んでいただくために、日本も含めたグローバルでお客様の声を常に聞いています。そしてHPE Gen10サーバーについて言えば、今回、セキュリティに対する要望が一番強かったのです。

 こうした経緯から、サーバーベンダーとしてセキュリティ上の脅威からお客様のシステムをどう守れるかというところに注力することになりました。それによって世界中のお客様、ひいては世の中に役立つべく、セキュリティ機能を最も強化した「世界標準の安心サーバー」としてHPE Gen10サーバーを開発しました。

 なぜファームウェアか。セキュリティは長らくのテーマですが、私たちはサーバーベンダーとしてハードウェアの観点でいかに守るかという上で、OS層やアプリケーション層ではなく、これから標的となることが予測されるハードウェアやファームウェア、BIOSといったところに注力しました。

三輪 BIOSやファームウェアはアップデートといっても難しいですよね。必ず再起動が必要になりますし、何かしらのトラブルが発生する予感もします。アップデートの途中でファームウェアが飛んでしまったら、ハードウェアも飛んでしまい、復旧できないことも多いですよね。だからといって、Windows Updateのようなことをユーザーに義務づけるのは、何か違うと思うんです。やはりハードウェアベンダーが責任を持って脅威から守るべく、がんばっていただきたい。

阿部 おっしゃる通りだと思います。HPEとしても、サーバーをお客様に気持ちよく使っていただくために、できる限り運用面でお客様の手をわずらわせないよう気を使ってきました。たとえば2世代前のHPE Gen8サーバーでは、自ら働くサーバーということで「自働サーバー」と名付けています。それを実現したのが「iLO」という、当社自身が自社で設計、開発をしている管理チップです。

iLO
iLOチップ

 iLOを使うことで、たとえば管理情報を自ら取りに行ったり、ログをHPEのサポートセンターに届けてアラートを出すといった「自働化」を実現しています。HPE Gen10サーバーでは、ファームウェアの改ざんをiLOが自働で検出して復旧までします。三輪さんのおっしゃる通り、ハードウェアベンダーの責務としてユーザーに手をかけさせず、きっちり運用からセキュリティまで対応できていると思います。

三輪 ファームウェアはメジャーなものからマイナーなものまで、ベンダーごとにお持ちですよね。攻撃する側の視点では、セキュリティ対策の弱いところを狙おうとします。そうすると、セキュリティ機能が十分でなく、かつ普及しているファームウェアがまずターゲットになり、そこから広がっていくと思います。そこでしっかりコストをかけてセキュリティ対策機能の開発に取り組むことは、狙われる可能性自体を下げられる抑止効果が働くと思うのです。

阿部 HPEの「世界標準の安心サーバー」というコンセプトを大々的に謳うことで逆に標的にされてしまうのではないかという懸念もあったのですが、逆なのですね。攻撃者も最近は昔のような単なる遊びではなく、ビジネスになってきている。

三輪 最近では、ビジネスも超えて国家レベルのサイバー犯罪集団も存在します。そうした組織は、腕試しのような暇なことはしませんし、資金も豊富で100人くらいの規模の部隊を持っていたりします。それがファームウェアを狙おうとしたときに、対策されたファームウェアであったら狙う価値は下がります。対策していることを前面に押し出すことによって、ユーザーを守ることになると思います。

 ◎ファームウェアへの脅威に対し、唯一の有効手段であるサーバーレベルのセキュリティとは?
 ――HPE Gen 10が実現するシリコンベースのセキュリティ
 ドキュメント公開中!

著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

  • 吉澤 亨史(ヨシザワ コウジ)

    元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5