HPE Blog, Japan
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

サーバーのあらゆる側面にセキュリティを組み込む

今回は、HPE サーバーソフトウェア・製品セキュリティ部門責任者、ボブ・ムーアのブログをご紹介します。ボブはHPEが開発する最新セキュリティテクノロジーの製品化の責任者であり、世界標準の安心サーバーと言われるHPE Gen 10 プラットフォームの製品化にも深く携わっています。

 以下、ボブのブログ記事をご紹介します。

 

サーバーのあらゆる側面にセキュリティを組み込む

Bob Moore | 2017年6月5日 PM02:00

「世界標準の安心サーバー」とどのように構築しているのか、HPE Discover 2017でのご紹介です。

medium.jpg

サーバーのあらゆる側面にセキュリティを組み込んでいるHPEは、セキュリティに対するお客様の懸念を理解し、「世界標準の安心サーバー」の構築に力を注いでいます。製品の生産からサプライチェーンの管理に至るまで、HPEはお客様を保護し、サーバーインフラストラクチャのセキュリティを確保します。

規制の遵守と規格への準拠

国際標準規格とベストプラクティス、およびTAAと規制の遵守に基づくサプライチェーンのリスク管理と製品の保護について

以下の通り、HPEのサプライチェーンリスク管理フレームワークは、国際標準規格とベストプラクティスに基づいています。

- 偽造が疑われる部品を監視、調査、報告するため、長年にわたり政 府・ 企業間データ交換計画 (GIDEP)に参加しています。

- 米国のERAI, Inc.と英国のAnti-Counterfeiting Forum (旧ESCO) の会員です。 偽造が疑われる部品や偽造が確認された部品を報告するため、HPEはSAE国際航空宇宙規格AS5553 Rev Bの推奨事項に従って、他の信頼できる情報源を監視および調査しています。

- クローズドループの是正プロセス (HPE CFITトラッキングシステム) でインシデントを最後まで追跡しています。

- 必要とされるプログラムとプロセス、トレーニング、テスト、トレーサビリティ、およびフローダウンに関するすべての要件に対応しています。

  •  現在、HPEのサプライチェーンはSafeguarding Covered Defense Information and Cyber Incident Reporting (保護対象防衛情報の保全とサイバーインシデントの報告) に基づく評価を受けており、2017年12月までにControlled Unclassified Information (管理指定された非機密扱いの情報) (CUI) を含む機密データの保護に関する規制に完全に準拠する見込みです。

  •  現在、HPEのサプライチェーンでは、規制に従ってサイバーリスクの特定、評価、対応を行うNISTサイバーセキュリティフレームワーク (CSF) に基づいたリスクアセスメントを実施しています。

  •  HPEでは、NIST 800-53 Rev. 4 (Security and Privacy Controls for Federal Information Systems and Organizations (連邦政府の情報システムと情報組織を対象としたセキュリティおよびプライバシー規制) への適合を支援するため、中間レベルのターゲットプロファイルに関するドキュメントとベストプラクティスを作成しており、2017年12月までにこれらの作業が完了すると見込んでいます。また、この他にも以下のような規制を採用しています。

-ISO IEC 27001:2013/27002:2013

- ISACA COBIT 5

- 国際計測制御学会 (ISA) ISA 62443-2-1:2009/ISA 62443-3-3:2013

- Centers for Internet Security社:  Critical Security Controls 

コンポーネントの供給元、調達、原産国、トレーサビリティ

image.png供給元のドキュメント、適合証明書、および原産国を含めるための、プログラム可能な内蔵コンポーネントのトレーサビリティについて

  •  HPEは、供給元のドキュメント、適合証明書 (CoC)、および原産国 (CoC) の情報を含めるための、ロジック内蔵コンポーネント (LBC) などのコンポーネントに関する (サプライヤーの名前や所在地といった) 製品と部品のトレーサビリティの証拠を連邦政府や企業のお客様に提供できます。

  •  HPEパートナーは、各サプライチェーンのサプライヤーにトレーサビリティに関する同等の規制を適用しなければなりません。
  •  HPEでは、製品の部品表 (BOM) と認定ベンダーリスト (AVL) に記載されていない材料を受け入れておらず、別の供給元から材料を調達する必要が生じた場合は、管理の行き届いたプロセスでその材料の認定と承認を行います。BOMとAVLに記載される材料の管理もHPEが行います。

  •  HPEでは、製造元に戻される部品を追跡し、電子部品が個別の部品として提供されるのか、製品に組み込まれるのかを確認することが可能な (アイテム識別ID (IUID) やその他の独自の手法といった) 電子部品のトレーサビリティを維持するためのプロセスの構築と維持を信頼できるサプライヤーに求めています。

TAAの準拠

small.png

GSAスケジュール契約に記載されている製品はすべて、米国政府が製品やサービスを購入する際に適用される制限条項と制限事項に従って、「指定された国」で製造または大幅に改変する必要があります。 これらの制限条項と制限事項は、原産国 (CoO) で決定されます。 また、米国の政府機関に販売するHPE製品の大幅な改変は、TAAの対象国で行わなければなりません。TAAは、競争に対応するための要件であり、 安全対策とはみなされていません。

  •  HPEは、通商協定法またはバイ・アメリカン法で規定される認定に準拠した製品を確実に提供できます。

  •  HPEは、商用の型番とTAAに準拠したSKUを定義する二重のSKUメカニズムを実装しています。
  •  HPEは、TAAに準拠した製品のみを購入する必要があるお客様に対し、製品がTAAに準拠していることを保証しています。

製品のセキュリティを確保するための対策、規制、機能

small.png

HPEサーバーのBIOSはファームウェア保護の規格に準拠しており、感染、破損、マルウェア、置換、および偽造のリスクが大幅に軽減されます。

  • ファームウェアに対する攻撃のリスクを軽減するため、HPEサーバーのBIOSはNIST SP800-147B (BIOS Protection Guidelines for Servers (サーバーのBIOSを保護するためのガイドライン)) を満たす設計となっています。

  • HPEでは、暗号化アルゴリズムが連邦情報処理標準 (FIPS) 140-2の認証を、また (該当する場合は) 特定のHPE製品がCommon Criteria (CC) の認定を取得できるようにするためのプログラムを継続的に実施しています。

  •  HPEでは、すでにCommon Criteria (CC) の認定を取得している複数の事業部門から特定のソリューションを提供してもらっています。

  • HPEは、市場で最もセキュアなサーバーをお客様に確実に提供できるよう、今後発売する製品に関してもこれらの認定を取得していきます。


- ISO 28000:2007 サプライチェーンのためのセキュリティマネジメントシステムの仕様

- ISO/IEC 15026-4:2012 システム及びソフトウェア技術 - システム及びソフトウェアアシュアランス - 第4部: ライフサイクルにおけるアシュアランスとその他の規格

- テロ行為防止のための税関産業界提携プログラム (C-TPAT) Tier III認定

- HPE内部の工場とパートナー/サプライヤーの施設でリスクベースのセキュリティ監査を行っています。

お客様/サプライヤーの認証

small.png製品の購入時とライフサイクルを通じて部品の認証を行うことができる、高度なクラウドベースの偽造検出機能。 ヒューレット・パッカード エンタープライズが提供する正規のソフトウェア、スペア部品、およびオプションを使用することにより、お客様のインフラストラクチャを脅威から保護するとともに、最高のパフォーマンスを保証します。

 

セキュリティラベル、パッケージ、および偽造防止

small.png

偽造部品や偽造製品を積極的に追跡してHPEとお客様を保護する、世界最高レベルの偽造防止調査およびインテリジェンス機能を搭載。先端技術を取り入れたセキュリティ機能でリスクの高い特定の部品を保護します。

HPEは、ディスクドライブやメモリといった、市場で偽造されるリスクの高い部品のそれぞれにセキュリティラベルを貼ることによって偽造防止対策を強化しています。 これらのラベルには、偽造者による複製を困難にする先端技術を取り入れたセキュリティ機能が数多く組み込まれており、HPEとサプライヤーがセキュリティラベルの検査と認証を行います。 またHPEでは、セキュリティを強化し、ラベルが偽造されないようにするために、定期的にラベルに変更やエンハンスを加えています。

HPEは、現場で調査や監査を行う倉庫の荷受人とHPEの従業員の両方に適用可能な自動化された新しい検査システムを展開しています。

詳細については、HPEにおけるセキュリティのイノベーションをご覧ください。

参照リンク

 

著者について
Bob Moore
0,33,692,725.jpgBobおよびBobのチームは、HPEの新しいセキュリティテクノロジーを製品化し、すべてのソリューションをカバーする包括的なセキュリティのアプローチを実現する責任を負っています。

 

 

0 感謝
作者について

Japan_Marketing

日本ヒューレット・パッカード株式会社マーケティング統括本部公式アカウントです。