編集部 本日は、HPEが発表したHPE Gen10サーバーの搭載機能の中でも、特にセキュリティにフォーカスして議論していただくということで、三輪さんにお越しいただきました。今回、HPE Gen10サーバーではセキュリティ面の強化、主にファームウェアレベルの攻撃への対応を掲げています。しかし、ファームウェアへの脅威については、まだあまり知られていないのが現状です。まずは、ファームウェアへの脅威について、三輪さんから解説していただけますか?
今後はファームウェアに対する脅威が拡大
代表取締役社長 三輪信雄氏
三輪 攻撃者にとって攻撃の対象というのは、マルウェアが自由に自分で動けて、長期間潜むことができて、目的を簡単に達成できればなんでもいいんです。そうするとOSやアプリケーションなどの脆弱性の方が楽だったのですね。
しかし、Windows 10の特にエンタープライズエディションのように、最近ではOSのセキュリティ機能が充実し、堅牢になっています。そうなってくるとマルウェア側では、今まで簡単に侵入できたコンピューターに対して侵入とか長期間潜むとかいったことがだんだん難しくなってきていて、特に権限昇格が非常に難しくなっています。これはLinux OSでも同様です。
そうすると、次にターゲットになるのがBIOSなどのファームウェアです。ほとんどのファームウェアはアップデートされていません。もともとユーザー側に、アップデートするものという認識が希薄ですし、実際のアップデート作業もわかりづらい。最近では、ベンダーやセキュリティ関連組織による注意喚起などによって、サーバーも含めたOSやアプリケーション、セキュリティ対策ソフトの定義ファイルなどはアップデートするものという認識が浸透しつつあります。しかし、ファームウェアはそうではありません。
サイバー攻撃者からすれば、ファームウェアは一度侵入に成功すれば、何年かはそこに居続けることが可能で、再起動するたびにマルウェアを立ち上げることができる。OSからはBIOSのスキャンはできないので、ウイルススキャナーでは見つけることができません。また、企業では同じハードウェア機種を使っているケースが多いですよね。サーバーもパソコンも、それぞれ同じメーカーである可能性が高い。そうすると、ターゲットさえ絞れば、そのBIOS、あるいはUEFIのファームウェアに侵入することは非常に効果が高いわけです。
ただ、ファームウェアに感染するマルウェアは、現在よく注意喚起されているような、Excelのマクロを悪用するマルウェアや、JavaScriptで感染するランサムウェアなどは使えません。サイバー攻撃者はファームウェアを狙うために、新たなマルウェアを開発する必要があります。それにはお金も労力もかかりますが、例えば標的型攻撃やサイバーテロといった、バックに国家機関がいるようなサイバー攻撃を行う場合、重要な情報や役割を持つサーバーのファームウェアは格好の標的となります。サイバーテロの増加など攻撃する側のモチベーションも高まっている現在、ファームウェアへの対策はとても大事だと思います。
HPE Gen10サーバーが生まれた背景
編集部 なるほど。攻撃者はどんどん隙のあるところを突こうとしていて、次の標的はファームウェアである可能性が非常に高いというわけですね。そこで今回、ファームウェアをしっかり守ることをミッションとするHPE Gen10サーバーの話をうかがえればと、HPEの阿部さんにお越しいただきました。まずは、HPE Gen10サーバーが生まれた経緯について教えていただけますか?
サーバー製品本部 カテゴリーマネージャー 阿部 敬則氏
阿部 私たちは21年もの間、x86サーバー業界において世界ナンバーワンのシェアを持つ会社です。いわゆるWindows、Linuxが稼働する標準サーバーを、約2年半の周期で更新し、今回第10世代となる「HPE Gen 10(ジェネレーション10)サーバープラットフォーム」を発表しました。
HPEは「ハイブリッドIT」を戦略として掲げています。これは、今のクラウド時代に管理性、コスト、セキュリティの観点からパブリックだけでなくオンプレミス、プライベートクラウドも最適な形で組み合わせて使っていこうというものです。
私たちは、よりいいものを作ってお客様に喜んでいただくために、日本も含めたグローバルでお客様の声を常に聞いています。そしてHPE Gen10サーバーについて言えば、今回、セキュリティに対する要望が一番強かったのです。
こうした経緯から、サーバーベンダーとしてセキュリティ上の脅威からお客様のシステムをどう守れるかというところに注力することになりました。それによって世界中のお客様、ひいては世の中に役立つべく、セキュリティ機能を最も強化した「世界標準の安心サーバー」としてHPE Gen10サーバーを開発しました。
なぜファームウェアか。セキュリティは長らくのテーマですが、私たちはサーバーベンダーとしてハードウェアの観点でいかに守るかという上で、OS層やアプリケーション層ではなく、これから標的となることが予測されるハードウェアやファームウェア、BIOSといったところに注力しました。
三輪 BIOSやファームウェアはアップデートといっても難しいですよね。必ず再起動が必要になりますし、何かしらのトラブルが発生する予感もします。アップデートの途中でファームウェアが飛んでしまったら、ハードウェアも飛んでしまい、復旧できないことも多いですよね。だからといって、Windows Updateのようなことをユーザーに義務づけるのは、何か違うと思うんです。やはりハードウェアベンダーが責任を持って脅威から守るべく、がんばっていただきたい。
阿部 おっしゃる通りだと思います。HPEとしても、サーバーをお客様に気持ちよく使っていただくために、できる限り運用面でお客様の手をわずらわせないよう気を使ってきました。たとえば2世代前のHPE Gen8サーバーでは、自ら働くサーバーということで「自働サーバー」と名付けています。それを実現したのが「iLO」という、当社自身が自社で設計、開発をしている管理チップです。
iLOを使うことで、たとえば管理情報を自ら取りに行ったり、ログをHPEのサポートセンターに届けてアラートを出すといった「自働化」を実現しています。HPE Gen10サーバーでは、ファームウェアの改ざんをiLOが自働で検出して復旧までします。三輪さんのおっしゃる通り、ハードウェアベンダーの責務としてユーザーに手をかけさせず、きっちり運用からセキュリティまで対応できていると思います。
三輪 ファームウェアはメジャーなものからマイナーなものまで、ベンダーごとにお持ちですよね。攻撃する側の視点では、セキュリティ対策の弱いところを狙おうとします。そうすると、セキュリティ機能が十分でなく、かつ普及しているファームウェアがまずターゲットになり、そこから広がっていくと思います。そこでしっかりコストをかけてセキュリティ対策機能の開発に取り組むことは、狙われる可能性自体を下げられる抑止効果が働くと思うのです。
阿部 HPEの「世界標準の安心サーバー」というコンセプトを大々的に謳うことで逆に標的にされてしまうのではないかという懸念もあったのですが、逆なのですね。攻撃者も最近は昔のような単なる遊びではなく、ビジネスになってきている。
三輪 最近では、ビジネスも超えて国家レベルのサイバー犯罪集団も存在します。そうした組織は、腕試しのような暇なことはしませんし、資金も豊富で100人くらいの規模の部隊を持っていたりします。それがファームウェアを狙おうとしたときに、対策されたファームウェアであったら狙う価値は下がります。対策していることを前面に押し出すことによって、ユーザーを守ることになると思います。
