HPE Blog, Japan
tatsuma_noi

【連載】HPE ProLiantがハイブリッドクラウドのインテリジェントなコンピューティング基盤となる10の理由②:全方位的なセキュリティ

こんにちは、HPEサーバー製品本部所属、野井辰真(のいたつま)です。

私も第1回を担当した髙木と同じく4月で2年目を迎えます。担当業務は営業支援活動、社内サイト運営、セキュリティ関連の主に3つを担当しており、今回セキュリティ関連の業務として「 HPE ProLiantがハイブリッドクラウドのインテリジェントなコンピューティング基盤となる10の理由」の第2回「全方位的なセキュリティ」を紹介させていただきます。

なお本投稿内容もHPE ProLiant Gen10以降を対象とした説明になります。

 
 

画像1.png

 

全方位的なセキュリティ

全方位的なセキュリティがなぜ必要なのか?

近年サイバー攻撃の脅威は急激に増加しており、ハッカーの手口は年々巧妙化しています。そのためソフトウェアとネットワークの保護だけではセキュリティ対策は万全とは言えません。これまであまり注目されていなかった、ハードウェアの基幹となるファームウェアを標的としたサイバー攻撃が増加しているのです。実際、最近のマイクロソフトの調査によると、企業の80%が過去2年間に少なくとも1回のファームウェア攻撃を経験しています1。だからこそソフトウェア、ネットワークに加えてハードウェアにもセキュリティ対策を施す、全方位的なセキュリティが求められているのです。

全方位的なセキュリティが求められることをお話したところで、危険の迫っているハードウェアに対して、HPEが提供しているセキュリティ強化に役立つ4つの機能とHPEが選ばれる理由を合わせてこれから紹介します。

 

理由4 移動中でもシステムの安全性を確保する

HPE サーバー構成ロックは、近年日本でも多くの方々に知られるようになったサプライチェーンリスク等に備えて、サーバー構成の変更を検知する機能です。この機能はHPEが独自開発している管理プロセッサーIntegrated Lights-Out 5 (iLO 5)とファームウェアで実現しています。サーバーの構成設定時にオプション類及びファームウェア等の「デジタルフィンガープリント」を生成して、下図のようにサーバー起動時にサーバー構成情報に変更がないかチェックします。

MicrosoftTeams-image (9).png

 

MicrosoftTeams-image (8).png

 

「デジタルフィンガープリント」とはサーバーの構成が改ざんされていないかチェックするためのいわば “指紋“のようなデジタルデータです。

本機能はお客様ご自身でいつでも有効化することができます。悪意を持った侵入者に不正にサーバーを利用されないように、正しいパスワードをご存知のお客様のみがサーバーを起動できるように設定することも可能です。

サーバー構成ロックを使用する場面としては、①サーバーを物理的に移動させるときや、②IoT等で近年増えているエッジ・拠点など、管理者が常駐しておらず必ずしも安全ではない環境において使用するときに、意図しない構成の変更がされていないかを常時監視する、という二点が主に挙げられます。

 

理由5  BIOSおよびファームウェアの比類のない検証機能

HPE Silicon Root of Trust(シリコンレベルの信頼性)は認定された製造施設でHPEが開発したiLO (Integrated Lights-Out)に正常性確認ロジックを埋め込むことで、起動時と稼働中両方でBIOSとすべての基本ファームウェアを検証する機能です。Silicon Root of Trustではサーバーの起動前に完全に一致することが求められる、変更不可能な「デジタルフィンガープリント」をiLOシリコンチップ上に作成します。これ により、悪意のあるコードが阻止され、サーバーの安全性を維持 できます。下図にある他社比較のように、ファームウェアをサーバー起動時にiLOを起点とする一連のチェーンで検証しているのはHPE Silicon Root of Trustならではの特長です。

画像4.png

 

またこの機能は保険ブローカーのMarsh 社により運営される、世界的な保険会社8社が6つの観点(サイバーリスク低減・パフォーマンス・脆弱性・有効性・柔軟性・差別化)からソリューションを評価し、最低6社の得票をもって選出する“Cyber Catalyst Designations”2にも選出されています。サイバーリスクを低減するテクノロジーとして外部プログラムにおいてもお墨付きをもらっているセキュリティ技術です。

 

理由6 セキュリティ侵害を受けたサーバーを最速でオンラインに復旧させる

HPEサーバーシステムリストアはセキュリティ侵害からの自動リカバリを提供する機能です。通常ファームウェアのリストアは手動で行いますが、この機能を使用することで自動化することができます。またHPEではiLO 5とiLO Amplifier Packが連携することでファームウェアの復元だけでなく、システム構成の復元、OSのリカバリも行うことができ、短時間でサーバーをオンラインに戻してくれます。ファームウェアが破損した時にセキュアスタートで検知し、発見されたインシデントを決められたルールに従って自動的に、あるいは手動でも復旧できます。このサーバーシステムリストアとSilicon Root of Trustによって、比類なきセキュアなファームウェアやシステム構成を実現します。

画像5.png

※OS、アプリケーション、データをリストアする環境およびISOイメージは別途ご用意ください。

 

理由7 再利用または廃棄するサーバーからデータをシンプルかつ安全な方式で削除する

One-buttonセキュア消去は機能名の通りワンボタンでデータを消去できる機能です。サーバーの廃棄や再利用等で初期化が必要な場合に、作業を手動で行うと大量の煩雑な手順を実施する必要がありますが、One-buttonセキュア消去を使用すれば、それをワンボタンで簡単に行い工場出荷時のデフォルトに戻すことができます。最近HDD転売・情報流出事件などのサイバー犯罪を耳にしたことがある方もいらっしゃると思いますが、この機能を使用することで、そのような犯罪被害に遭うリスクを低減することができます。

MicrosoftTeams-image (6).png

 

 

 

以上「全方位的なセキュリティ」に関連する4つのポイントと機能を紹介してきました。4つの機能の中でHPEサーバー構成ロック、HPEサーバーシステムリストア、One-buttonセキュア消去の3つはiLO Advancedのライセンスをご購入いただくことで、お使いいただけます。HPE Silicon Root of Trustは標準機能として搭載されています。

HPE ProLiantサーバーは今回紹介したHPE サーバー構成ロック、HPE Silicon Root of Trust 、One-buttonセキュア消去、HPEサーバーシステムリストアなどサーバーをセキュアにお使い頂くための機能が充実していることで、お客様が導入後も安心してお使いいただけることもあり、国内市場でも継続してトップレベルのシェアを実現しております。

次回ラストの第3回では、第1回を担当した髙木にバトンを返したいと思います。第3回は「インテリジェントな自動化」に関する3つのポイントです。楽しみにお待ちいただければと思います。

第2回を最後まで読んでいただきありがとうございました。

1Threat Post, “80% of Global Enterprises Report Firmware Cyberattacks,” April 2021.

²the Cyber Catalyst by Marsh® program

https://www.marsh.com/us/services/cyber-risk/products/cyber-catalyst.html 

 

 

 

参考資料

HPE サーバー構成ロック

https://support.hpe.com/hpesc/public/docDisplay?docId=a00018320ja_jp&page=GUID-1AD22221-A36A-48A8-8E0D-445164A9A2E4.html 

 

HPE Silicon Root of Trust

https://support.hpe.com/hpesc/public/docDisplay?docId=a00018320ja_jp&page=GUID-8D98A576-E52D-4C5B-A733-471CE9EDF90B.html 

 

HPE Silicon Root of Trust動画

https://youtu.be/mSCm2VifWnY 

 

HPEサーバーシステムリストア

https://www.hpe.com/support/ilo-ap-ug-ja 

 

One-buttonセキュア消去

https://support.hpe.com/hpesc/public/docDisplay?docId=a00018320ja_jp&docLocale=ja_JP&page=ref-secure-system-erase.html 

 

One-buttonセキュア消去動画

https://youtu.be/Se_ajYF_xK8 

 

HPEセキュリティソリューションWebページ

https://www.hpe.com/jp/server-security 

 

作者について

tatsuma_noi

日本ヒューレット・パッカード合同会社で営業支援活動、社内サイト運営、セキュリティ関連を担当しています。 最近の趣味は筋トレです!!