コミュニティ
HPE Blog, Japan
1752716 メンバー
5572 オンライン
108789 解決策
新規ポスト
 
RSS フィードを購読する
|
HPE_Japan

CTOが必要とする革新的なサーバーセキュリティとは

‎01-29-2018 10:12 AM

今回は、HPEデータセンターインフラストラクチャセキュリティのチーフテクノロジストとして、サーバー、ストレージ、ネットワークのセキュリティに関連するテクノロジーやアーキテクチャーを担当しているShiva Dasariのブログをご紹介します。

Shiva_Dasari | 2017年8月1日 AM07:30

業界標準に従うことはサーバーを防御するうえで大切ですが、サイバー攻撃のリスクが非常に高まっているなか、それだけで十分と言えるでしょうか。HPEは、Gen10サーバープラットフォームの安全性をより一層強化するために、シリコンベースのセキュリティによるファームウェアの保護を実現しています。

medium.jpg世界中で1日あたり7億2,000万件ものハッキングが試みられていますが、何らかの悪意のある存在が自社のITインフラストラクチャ内に潜んでいることに気付いていない企業は数多くあります。企業が悪意のあるコードを検出するまでにかかる平均の期間は99日間です。サイバー犯罪により企業が被る損失額が年平均900万ドルに達していることを考えると、こうした不正コードの潜伏は非常に深刻な問題です。

また、セキュリティを取り巻く状況が絶え間なく変化しているという点も、CTOにとってデジタル資産の保護をより一層難しくしています。ハッカーは最も注意が少ないところを狙ってくるため、ITセキュリティ管理ツールもそれに応じた変化を求められます。現在の防御策ではソフトウェアの保護に重点が置かれているため、サイバー犯罪者は標的をファームウェアやハードウェアに変え始めています。

業界標準のレベルを超えるセキュリティ対策が必要

ハードウェアを保護するためには業界のセキュリティ標準に従うことが不可欠です。サイバー攻撃のリスクが非常に高まるなか、より革新的な手法によるサーバーセキュリティの強化が求められています。その1つが、ファームウェアを保護するためのシリコンレベルのセキュリティです。

ファームウェアの乗っ取りに成功した攻撃者は、システム内のあらゆるリソースにアクセスし、デバイス上にあるすべてを操ることができるようになります。標準的なスキャンツールではこの状態の検知が難しく、ファームウェアの改ざんは何か月にもわたって見過ごされがちです。このようにシステム内に潜伏しつつあらゆるリソースにアクセスするための手段として、ファームウェアは高度な攻撃者の格好の標的となっています。

ファームウェアの包括的な保護のために、サーバーベンダーはファームウェアのサプライチェーン全体にわたる監視の厳格化が求められています。ファームウェアは顧客のデータセンターに到着するまでの間、あらゆる段階で攻撃を受ける可能性があります。そのためHPE Gen10サーバープラットフォームでは、組み込みのテクノロジーを使用することで、あらゆるファームウェアサプライチェーン攻撃を防御しています。これによりセキュアな開発ライフサイクルプロセスにもかかわらず、何らかの問題が発生した場合は確実に検知して修復できます。こうした対策に加えて、ファームウェアを保護するためには、サーバーが起動される都度ファームウェアを検証し、万一改ざんされた場合は既知の正常な状態に復旧できる機能も求められます。

 さらにサーバーのOSが侵害された場合に備えて、ファームウェアを適切に保護・構成し、OSベースの攻撃による影響を受けることがないよう隔離することも必要です。

ファームウェアのセキュリティライフサイクル全体にわたる完全な保護

HPEではITインフラストラクチャのセキュリティ強化策として、すべてのHPE Gen10サーバープラットフォームに独自のシリコンチップを搭載し、変更不能な「署名」となるSilicon Root of Trust (シリコンレベルの信頼性) を構築しています。この署名の働きにより、ファームウェアが改ざんされた場合は、サーバーの起動が阻止されます。

Silicon Root of Trustは、HPE iLO管理コントローラーを出発点として開発されました。HPE iLOには、他社製の汎用的なコントローラーよりはるかに高度なHPE独自の設計が採用されています。HPE iLOの知的財産は、HPEがすべて単独で所有しています。またファームウェアもHPEが所有しており、ファームウェアへのアクセスおよび変更承認には厳格なプロセスが設けられています。

HPE Gen10サーバープラットフォームは、HPEが推進・推奨している業界標準をベースに構築されています。さらに標準が未だ確立されていない領域に関しても、HPEはお客様のITインフラストラクチャを保護し、攻撃者の先手を打つために、Silicon Root of Trust、ファームウェアサプライチェーン攻撃の検出、セキュアなリカバリ、ファームウェアの定期的な検証、ファームウェアの隔離などのイノベーションを牽引しています。同様にオペレーティングシステムについても、起動前の検証を実施しています。

HPEはこのような何重ものセキュリティ対策を通じて、ファームウェアのライフサイクル全体にわたるデータ保護を実現しています。

コストを抑制しつつインフラストラクチャを保護

成功した攻撃は過去5年間で着実に増加しており、その影響はあらゆる規模の企業に及んでいます。そのためインフラストラクチャに重点を置いたセキュリティ対策の重要性が増しています。しかしながら企業にとっては、セキュリティ対策と同様に、コストの抑制も重要な課題です。

コストを抑制し、業務に役立つ先進的なツールを従業員に提供しながら、デジタル資産を保護する最も効果的な方法は何でしょうか。まずはこのPonemon Instituteのレポートで、企業におけるITセキュリティの展開ペースを鈍らせているいくつかの誤解についてご確認ください。万全なセキュリティ対策を講じるためには、このレポートに示されている誤解を解消することが必要です。攻撃者は至る所に潜んでおり、常に攻撃の機会をうかがっています。

参照リンク

著者について: Shiva_Dasari

image.png

 HPEデータセンターインフラストラクチャセキュリティのチーフテクノロジストとして、サーバー、ストレージ、ネットワークのセキュリティに関連するテクノロジー、アーキテクチャー、および戦略を担当。Trusted Computing Group (TCG) 取締役。30以上の特許を取得し、認定情報システムセキュリティプロフェッショナル (CISSP)、認定情報セキュリティマネージャー (CISM)、および認定クラウドセキュリティプロフェッショナル (CCSP) の資格も保有しています。また各種の業界カンファレンスで頻繁に講演し、政府の諮問機関にも参加しているほか、プラットフォームセキュリティに関する数多くの論文も発表しています。

 

ラベル:
0 感謝
作者について

HPE_Japan

日本ヒューレット・パッカード合同会社マーケティング統括本部公式アカウントです。

上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります