HPE Blog, Japan
1748075 メンバー
5287 オンライン
108758 解決策
新規ポスト
HPE_Japan

包括的なサーバー保護のためにサプライチェーンセキュリティを確立

前回に引き続き、HPE サーバーソフトウェア・製品セキュリティ部門責任者、ボブ・ムーアのブログをご紹介します。ボブはHPEが開発する最新セキュリティテクノロジーの製品化の責任者であり、世界標準の安心サーバーと言われるHPE Gen 10 プラットフォームの製品化にも深く携わっています。

以下、ボブのブログ記事をご紹介します。

包括的なサーバー保護のためにサプライチェーンセキュリティを確立

Bob Moore | 2017年7月17日 AM10:30

ソフトウェアレベルでサーバーを保護するだけでは、もはや十分とは言えません。今日のITセキュリティは、ハードウェア資産の保護により重点を置くことが必要です。HPE Gen10サーバー プラットフォームでは、このニーズに応えて、ファームウェアレベルからの徹底したセキュリティが実現されています。

image.png

エンタープライズITセキュリティは、侵入者を阻止すればそれで済むというものではなく、デジタル資産をいかに保護するかが重要になります。サイバー犯罪コストに関するPonemon Instituteレポートによると、2016年には毎日7億2,000万件のハッキングが試みられ、それに伴うコストはこの年だけで総額4,550億ドルに達しています。

驚くべきことに、サイバー攻撃の被害に遭った小規模企業の60%が、6ヶ月以内に​廃業に追い込まれています。インシデントに伴う平均コストは年950万ドルに達しており、主としてサービス拒否(Dos)攻撃、悪意のあるコード、およびWebサイト攻撃の増加によって、前年比21%の勢いで上昇し続けています。

これらの脅威の進化も進んでおり、「ショーウインドー破り (Smash-and-Grab)」と呼ばれる比較的単純な単発の手法に代わって、より組織だった長期的な攻撃が増えており、数週間から時には数ヶ月間にわたって企業を侵害し続けるケースも少なくありません。また、より大規模かつ高度な犯罪組織が関与するようになり、犯罪集団のよるサイバー犯罪も増加しています。

ソフトウェアレベルでサーバーを保護するだけでは脅威に対抗できない

脅威を取り巻く状況も変わりつつあります。モノのインターネット (IoT)、モビリティ、クラウドとオンプレミスのデータセンターを組み合わせて活用するハイブリッドIT環境のような新しいテクノロジーは、新たなビジネスチャンスを提供するだけでなく、新たなリスクももたらします。

こうした変化はビジネスにとって何を意味するでしょうか。ソフトウェアレベルでサーバーを保護するだけでは、もはや十分とは言えません。確かなセキュリティを実現するためには、ビジネスパートナーとして、物理的なシステムレベルまで掘り下げたセキュリティをサプライチェーン全体にわたって展開しているサーバーベンダーを選択することが必要です。

セキュアなサプライチェーンは、サイバーセキュリティに欠かせない要素です。サーバーベンダーは、個々のハードウェアコンポーネントの接合点における侵害を阻止するために、偽造品、悪意のある組み込みソフトウェア、信頼できないコンポーネントなどの脅威を排除することを求められています。これを実現するには、コンポーネントベンダーを偽造防止法に照らして審査するとともに、調達先をTAA (貿易協定法) 指定国に限定することが重要です。

サーバーベンダーがサプライチェーンパートナーと協力してエンドツーエンドのITセキュリティインフラストラクチャを構築するためには、ITセキュリティハードウェアに対するこうしたアプローチを、さまざまなレベルにわたって展開する必要があります。またサードパーティ製のデバイスを購入してサーバーに組み込む場合であっても、製品とプロセスを安全に管理するために、独自のソフトウェアとドライバーを開発することが重要です。

このことはアップデート時に、すべてのデバイスドライバーにデジタル署名を付与する必要があることを意味しています。またOSベンダーパートナーと連携して、各サプライチェーンパートナーに各自のソフトウェアとドライバーに確実に署名させることも必要です。さらにサプライチェーンのセキュリティをより確かなものとするために、自身のサプライチェーン全体にわたる検証テスト (侵入テストを含む) を実施可能なサードパーティ組織とのみ連携することが推奨されます。

ITセキュリティ管理をファームウェアレベルにまで拡張することが必要

何よりも大切な点として、サーバーサプライチェーンの保護は、適切な保護、検出、およびリカバリがとりわけ重要なファームウェアコードのレベルにまで達するものでなければなりません。すなわち厳格な内部プロセスにより、ファームウェアにアクセスできる人物、ファームウェアに署名する人物、ファームウェアの取り扱い方法などを規定する必要があります。広範囲にわたるサーバーコンポーネントを自身で開発しているベンダーは、サプライチェーンの脆弱性を軽減し、サーバープラットフォームのセキュリティを強化するうえで、より有利な立場にあります。

HPEはこれらの要件をHPE Gen10サーバープラットフォームですべて実現しています。このサーバーは、マザーボード上のシリコンにRoot of Trust (信頼の起点) を焼き付けることで、侵害を文字通り不可能にしています (この回路なしにシステムを起動することはできません)。システム起動時にはファームウェアによって特定のシリコンチップがチェックされ、システムが改ざんされていると判断された場合は初期状態に戻されます。これはサイバー犯罪者にサーバーの制御権を握られるのを阻止するうえで非常に効果的な手法です。

HPE Gen10サーバーには、ファームウェアのセキュリティを保証するために、その他にもいくつかの重要な機能が搭載されています。

  • Commercial National Security Algorithm (CNSA): サーバーに組み込まれたデータ保護セキュリティ機能で、悪意のある操作が行われていないことを (リアルタイムで) 保証します。
  • インテル・トラステッド・エグゼキューション・テクノロジー: ハードウェアが適正なオペレーティングシステムと組み合わされていることを保証します。
  • サプライチェーンの所有: HPEは広範なテクノロジーを自社開発することで、サーバーインフラストラクチャセキュリティの管理性を高めています。

さらにHPEは、マザーボード上にセキュリティシリコンとファームウェアをインストールするプロセスを管理しているほか、独自のBIOSも自社開発しています。これらのセキュリティ対策が一体となることで、信頼性の高いサーバーファームウェア保護が実現されます。

サイバー攻撃コストを削減し、IT資産を保護するために、HPEがサーバーとITインフラストラクチャのセキュリティをどのように強化しているかについて、Moor Insights & Strategyのホワイトペーパーをぜひご覧ください。

参照リンク

著者について: Bob Moore

image.pngBobは、サーバー部門のパートナーソフトウェア組織を率いています。またBobのチームは、HPEの新しいセキュリティテクノロジーを製品化し、すべてのソリューションをカバーする包括的なセキュリティのアプローチを実現する責任を負っています。

 

0 感謝
作者について

HPE_Japan

日本ヒューレット・パッカード合同会社マーケティング統括本部公式アカウントです。