編集部 本日は、HPEが発表したHPE Gen10サーバーの搭載機能の中でも、特にセキュリティにフォーカスして議論していただくということで、三輪さんにお越しいただきました。今回、HPE Gen10サーバーではセキュリティ面の強化、主にファームウェアレベルの攻撃への対応を掲げています。しかし、ファームウェアへの脅威については、まだあまり知られていないのが現状です。まずは、ファームウェアへの脅威について、三輪さんから解説していただけますか?
今後はファームウェアに対する脅威が拡大
代表取締役社長 三輪信雄氏
三輪 攻撃者にとって攻撃の対象というのは、マルウェアが自由に自分で動けて、長期間潜むことができて、目的を簡単に達成できればなんでもいいんです。そうするとOSやアプリケーションなどの脆弱性の方が楽だったのですね。
しかし、Windows 10の特にエンタープライズエディションのように、最近ではOSのセキュリティ機能が充実し、堅牢になっています。そうなってくるとマルウェア側では、今まで簡単に侵入できたコンピューターに対して侵入とか長期間潜むとかいったことがだんだん難しくなってきていて、特に権限昇格が非常に難しくなっています。これはLinux OSでも同様です。
そうすると、次にターゲットになるのがBIOSなどのファームウェアです。ほとんどのファームウェアはアップデートされていません。もともとユーザー側に、アップデートするものという認識が希薄ですし、実際のアップデート作業もわかりづらい。最近では、ベンダーやセキュリティ関連組織による注意喚起などによって、サーバーも含めたOSやアプリケーション、セキュリティ対策ソフトの定義ファイルなどはアップデートするものという認識が浸透しつつあります。しかし、ファームウェアはそうではありません。
サイバー攻撃者からすれば、ファームウェアは一度侵入に成功すれば、何年かはそこに居続けることが可能で、再起動するたびにマルウェアを立ち上げることができる。OSからはBIOSのスキャンはできないので、ウイルススキャナーでは見つけることができません。また、企業では同じハードウェア機種を使っているケースが多いですよね。サーバーもパソコンも、それぞれ同じメーカーである可能性が高い。そうすると、ターゲットさえ絞れば、そのBIOS、あるいはUEFIのファームウェアに侵入することは非常に効果が高いわけです。
ただ、ファームウェアに感染するマルウェアは、現在よく注意喚起されているような、Excelのマクロを悪用するマルウェアや、JavaScriptで感染するランサムウェアなどは使えません。サイバー攻撃者はファームウェアを狙うために、新たなマルウェアを開発する必要があります。それにはお金も労力もかかりますが、例えば標的型攻撃やサイバーテロといった、バックに国家機関がいるようなサイバー攻撃を行う場合、重要な情報や役割を持つサーバーのファームウェアは格好の標的となります。サイバーテロの増加など攻撃する側のモチベーションも高まっている現在、ファームウェアへの対策はとても大事だと思います。
HPE Gen10サーバーが生まれた背景
編集部 なるほど。攻撃者はどんどん隙のあるところを突こうとしていて、次の標的はファームウェアである可能性が非常に高いというわけですね。そこで今回、ファームウェアをしっかり守ることをミッションとするHPE Gen10サーバーの話をうかがえればと、HPEの阿部さんにお越しいただきました。まずは、HPE Gen10サーバーが生まれた経緯について教えていただけますか?
サーバー製品本部 カテゴリーマネージャー 阿部 敬則氏
阿部 私たちは21年もの間、x86サーバー業界において世界ナンバーワンのシェアを持つ会社です。いわゆるWindows、Linuxが稼働する標準サーバーを、約2年半の周期で更新し、今回第10世代となる「HPE Gen 10(ジェネレーション10)サーバープラットフォーム」を発表しました。
HPEは「ハイブリッドIT」を戦略として掲げています。これは、今のクラウド時代に管理性、コスト、セキュリティの観点からパブリックだけでなくオンプレミス、プライベートクラウドも最適な形で組み合わせて使っていこうというものです。
私たちは、よりいいものを作ってお客様に喜んでいただくために、日本も含めたグローバルでお客様の声を常に聞いています。そしてHPE Gen10サーバーについて言えば、今回、セキュリティに対する要望が一番強かったのです。
こうした経緯から、サーバーベンダーとしてセキュリティ上の脅威からお客様のシステムをどう守れるかというところに注力することになりました。それによって世界中のお客様、ひいては世の中に役立つべく、セキュリティ機能を最も強化した「世界標準の安心サーバー」としてHPE Gen10サーバーを開発しました。
なぜファームウェアか。セキュリティは長らくのテーマですが、私たちはサーバーベンダーとしてハードウェアの観点でいかに守るかという上で、OS層やアプリケーション層ではなく、これから標的となることが予測されるハードウェアやファームウェア、BIOSといったところに注力しました。
三輪 BIOSやファームウェアはアップデートといっても難しいですよね。必ず再起動が必要になりますし、何かしらのトラブルが発生する予感もします。アップデートの途中でファームウェアが飛んでしまったら、ハードウェアも飛んでしまい、復旧できないことも多いですよね。だからといって、Windows Updateのようなことをユーザーに義務づけるのは、何か違うと思うんです。やはりハードウェアベンダーが責任を持って脅威から守るべく、がんばっていただきたい。
阿部 おっしゃる通りだと思います。HPEとしても、サーバーをお客様に気持ちよく使っていただくために、できる限り運用面でお客様の手をわずらわせないよう気を使ってきました。たとえば2世代前のHPE Gen8サーバーでは、自ら働くサーバーということで「自働サーバー」と名付けています。それを実現したのが「iLO」という、当社自身が自社で設計、開発をしている管理チップです。
iLOを使うことで、たとえば管理情報を自ら取りに行ったり、ログをHPEのサポートセンターに届けてアラートを出すといった「自働化」を実現しています。HPE Gen10サーバーでは、ファームウェアの改ざんをiLOが自働で検出して復旧までします。三輪さんのおっしゃる通り、ハードウェアベンダーの責務としてユーザーに手をかけさせず、きっちり運用からセキュリティまで対応できていると思います。
三輪 ファームウェアはメジャーなものからマイナーなものまで、ベンダーごとにお持ちですよね。攻撃する側の視点では、セキュリティ対策の弱いところを狙おうとします。そうすると、セキュリティ機能が十分でなく、かつ普及しているファームウェアがまずターゲットになり、そこから広がっていくと思います。そこでしっかりコストをかけてセキュリティ対策機能の開発に取り組むことは、狙われる可能性自体を下げられる抑止効果が働くと思うのです。
阿部 HPEの「世界標準の安心サーバー」というコンセプトを大々的に謳うことで逆に標的にされてしまうのではないかという懸念もあったのですが、逆なのですね。攻撃者も最近は昔のような単なる遊びではなく、ビジネスになってきている。
三輪 最近では、ビジネスも超えて国家レベルのサイバー犯罪集団も存在します。そうした組織は、腕試しのような暇なことはしませんし、資金も豊富で100人くらいの規模の部隊を持っていたりします。それがファームウェアを狙おうとしたときに、対策されたファームウェアであったら狙う価値は下がります。対策していることを前面に押し出すことによって、ユーザーを守ることになると思います。
◎ファームウェアへの脅威に対し、唯一の有効手段であるサーバーレベルのセキュリティとは?
――HPE Gen 10が実現するシリコンベースのセキュリティ
ドキュメント公開中!
HPE Gen10サーバーがファームウェアへの攻撃を防げる理由
阿部 HPE Gen10サーバーにおいて、もうひとつ私たちが自信を持って提供している機能は、サーバーが稼働している状態でも、そこに潜んでいるマルウェアを検出して、健全なファームウェアに正しく復旧する機能を搭載している点です。
三輪 マルウェアがファームウェアを改ざんしようとするとき、そのルートはOSからか、あるいはオフラインでユーザーが持ち込んだUSBメモリからというケースがあると思うのですが、たとえファームウェアの改ざんに成功したとしても、サーバーが再起動されない限りは読み込まれません。HPE Gen10サーバーでは、どういうタイミングでスキャンをかけるのでしょうか。
阿部 起動時のスキャンはもちろんですが、それに加えオンライン、つまりOS稼働中にもスキャンが可能です。オンラインスキャンは二通りの方法があります。ひとつは、ユーザーや管理者がコマンドボタンを使って任意のタイミングで手動で行う方法です。もうひとつ、スケジュールで、自動的にスキャンを実行する設定も用意しています。最も短くて1日単位で設定できます。
三輪 スキャンによって改ざんが検知されたときは、どういう動作をするんですか?
阿部 先ほどお話ししたiLOという管理チップですが、これはミニコンピューターのようなもので、専用のNANDを持っていまして、そこに出荷時など、改ざんのない健全な状態のファームウェアを保管しておくことができます。iLOは、iLO自身やUEFIなど各コンポーネントのファームウェアが改ざんされていないかチェックして、仮にファームウェアの改ざんがiLOにより検出された場合には、そのNAND領域にある健全な状態のファームウェアを使用して各コンポーネントのファームウェアを上書き(フラッシング)することによって、改ざんから自動で復旧をしてくれるのです。改ざんのあったこと、そして復旧されたことがiLOのログに残されますので、夜中にそれが起きたとしてもファームウェアは自動で復旧されます。管理者は朝、出社後に管理画面でファームウェアの改ざんがあったこと、そしてそれが自動復旧されていることを確認できるのです。
三輪 気づいた頃にはもう元に戻っているわけですね。
阿部 そうです。あとはその原因となったマルウェアなり不正アクセスを調べていけばいいのです。今は全てをガチガチに、100%防御するというよりは、やはり何かが起こってもきちんと復旧してくれて、ユーザーへの影響を最小限に抑えて回復するというところが大事だと思っています。
このようなご時世ですから、よく似た機能やメッセージを耳にすることがあるかもしれません。しかし、iLOのような管理チップを自社開発して、そこに製造段階において、変更不可能なセキュリティのデジタル署名を自ら埋め込んで、サーバーの起動時はもちろん稼働中でも自動検出・自動復旧ができるようになっているのは、HPE Gen10サーバーしかありません。
三輪 これは、たとえば工場の中にあるオフライン環境のサーバーや、インターネットとは切り離された金融系の基幹サーバーなどでも動作するのですか?
阿部 もちろんです。管理チップの中で完結しているので、スタンドアローンのサーバーであっても動作します。
三輪 iLOという名前には、なにか由来があるんですか?
阿部 「Integrated Lights-Out」という意味があります。Lights-Outというのは、サーバーが自ら働いてくれるため、管理者の方にはサーバールームの明かりを切って早くご自宅に帰ってゆっくり休んでいただきたい、という意味が込められています。
三輪 それはユニークですね。
阿部 x86サーバーといっても、いろいろなところから安いパーツを集めてきてできましたというようなベンダーもあります。BMCと呼ばれる管理チップも同様です。しかし私たちはこういうところこそ肝だと思っていて、そこへの投資は開発を始めた当時からやってきていることです。iLOは今回第5世代に進化しているのですが、HPE自身がさまざまな特許を取得している、HPEが誇るコアテクノロジーのひとつです。
三輪 今、サプライチェーンリスクが問題視されていますよね。これは製品の製造過程における「何か」の混入ということで、その結果アイロンが家庭を監視していたという冗談のようなことも起きています。それは日本政府も重視していて、経済産業省が出しているセキュリティ経営ガイドラインにもサプライチェーンリスクが記述されています。そういった製造過程のリスクに対して、HPEが取り組んでいることはあるのでしょうか。
阿部 HPEでは、まさしくサプライチェーンリスクをいかに低減するかということで、例えばそういう業界標準品を集めてできたいわゆるx86サーバーの中でも、このiLOはHPEが自社開発をして自社サーバーに組み込んでいる、HPEの中で全て完結しているものです。
サプライチェーンリスクは私たちも非常に重視しておりまして、その中でもセキュリティの肝になるこの管理チップは自社で全て開発しております。これは他社ではなかなかできないことですし、投資が伴うことです。私たちは世界標準を築いていくミッションを持ったサーバーベンダーという自負を持って、この投資を行っているのです。
三輪 HPE Gen10サーバーのスペックにある二要素認証が気になったのですが、これはどのような時に発動するのですか?
阿部 これは、主に海外の政府系や軍事系などで標準的に求められる機能です。
三輪 国家安全保障局(NSA)や、国防情報システム局(DISA)などの要求の中にファームウェアの保護が入っているのですね。これはいつ頃から要望として調達仕様書に入っているのですか?
阿部 HPE Gen10サーバーの開発を始めたのが、HPE Gen9サーバーが出た後、2年半ほど前です。もちろんその前から要望はあったのではないかと思うのですが、HPE Gen10サーバーで実装できたということは2年3年前から具体的にファームウェアレベルの防御とともに二要素認証のニーズが増えてきているとみています。そういった最上位レベルのリスクからも守れますし、中堅・中小企業のお客様もカバーします。もっとも、日本では二要素認証まではいらないというお客様も多いですね。
三輪 日本人は、事故が起きていないのならいらないというケースがとても多いですね。たとえば、他社も導入している、あるいは他社が大きな被害に遭ったとなれば導入しますが、誰も被害に遭っていないのなら導入しなくていいと。セキュリティの話をすると「それは本当に起きていることなのか」とか、結局は統計情報に頼りがちでウイルスの被害を増やしてしまう。
セキュリティ対策は、後付けで入れるものではないと僕は思っています。アメリカではどんどん先取りして、ファームウェアへの対策を考えています。実際に過去に発生した攻撃ですし、最初に申し上げたようにWindowsやLinuxが堅牢になって、次の標的はファームウェアと考えられています。侵入されても気づかないですし、スキャンもできません。そろそろファームウェアへの攻撃も現実になると思いますし、特に大規模な攻撃もあり得ると思います。
特に、ファームウェアを狙うマルウェアがワームになったときは、本当に怖いと思います。ランサムウェア「WannaCry」の亜種が基幹サーバーに入り込んで、丸ごと陥落したようなケースもありました。企業や組織はサーバーなどを一括購入しますから、同じ攻撃で丸ごと落とせるわけです。それをWannaCry亜種でサイバー攻撃者は気づいてしまった。ファームウェアがワームで狙われるということもシャレにならない脅威ですので、それに対して備えるということは自然の流れです。その攻撃は明日にも来るかもしれません。
◎ファームウェアへの脅威に対し、唯一の有効手段であるサーバーレベルのセキュリティとは?
――HPE Gen 10が実現するシリコンベースのセキュリティ
ドキュメント公開中!
長年使うサーバーには、脅威を見越した対応が必要
阿部 セキュリティの脅威は、規模や業種を問わず今後も企業にとって大きなリスクになって来るでしょうね。
三輪 見方はいろいろありますが、WannaCry亜種的なものであれば、いつ流れ弾が飛んで来るかもしれないですし、本当にいろいろなところから入り込んできます。基幹系が全て感染したケースは少なからずありますし、そこにはパッチを当てることもできません。それでもインターネットとは隔離されているから安全という定義になっています。
また中小企業などでは、普通のセキュリティですらまだ浸透していません。対策していないということは、攻撃のしがいがあるということです。そういったところのファームウェアも、当然狙われるでしょう。
阿部 流れ弾的に感染する可能性は考えられますね。
三輪 サーバーは必ず買い換えが発生します。買い換えるということは、システムの改修を伴う可能性もありますし、気が遠くなるような作業工程が必要になります。ですからサーバーに関しては、特に先取りをしていくことはとても正しくて、今起きている被害だけを見ていてはいけません。
サーバーは10年使うこともありますし、普通に償却を考えても短くて3年、5年は普通ですよね。そういうスパンもある中で、今そんな攻撃は起きてないからいらないとHPE Gen10サーバー以外のものを買ってしまったら、来年攻撃があったとしても買い換えられません。やはり、サーバーに一歩先のセキュリティ機能を実装していくことは正しい考えです。こういうところに関してはアメリカでの先取りの対策はさすがだなと思いますね。
HPEでは、もう国防レベルのセキュリティ対策が基準になっているということですね。国防が世界最先端を先取りすることは決まっていますが、次に来るのは金融ですとか、そのあとに製造ですとか、クリティカルな現場に入っていくと思います。それから世界的に広まっていく。HPEはその先取りをしたと思います。
阿部 ありがとうございます。そういう意味では私たちもサーバーベンダーの責務として、起きる前に対処していく。世の中全体、お客様の社会インフラを守っていくためにはこういう流れが標準化していくべきだとも思っています。ですからゆくゆくは他のサーバーベンダーにも追随してきていただきたいなと思っております。
