コミュニティ
HPE Blog, Japan
1819792 メンバー
3094 オンライン
109607 解決策
新規ポスト
 
RSS フィードを購読する
|
ryo_takagi

【連載】導入前のアドバイス - HPE ProLiant Gen10 Plusからのセキュリティ新機能:プラットフォーム証明書

‎08-10-2022 04:11 PM

皆様こんにちは、日本ヒューレット・パッカードでサーバーハードウェアと管理・監視ソフトウェアのプリセールスをしております髙木です。

 

今回は、既に多くの方にご愛読いただいている「導入前アドバイス」シリーズのセキュリティトピック拡張版、HPE ProLiant Gen10 Plusから新たに追加されたセキュリティのオプション機能である「プラットフォーム証明書(デバイス証明)」についてご紹介いたします!

本題に入る前に、HPEのサーバーセキュリティについてさらに情報を収集したい場合はこちらのページをご確認ください!

プラットフォーム証明書の開発背景

サーバーの導入や運用に関して、セキュリティはこれまで以上に大きな懸念点になっていることは確かです。情報処理推進機構の「情報セキュリティ10大脅威2022  組織版」 (https://www.ipa.go.jp/security/vuln/10threats2022.html) によれば、「サプライチェーンの弱点を悪用した攻撃」が第3位に挙げられています。昨年順位は第4位となっており、今年となって順位がさらに上がっていることから、サプライチェーン段階でのセキュリティリスクは非常に注意していかなければならないところだという事が理解できます。

HPEではライフサイクルの段階全てにおいてセキュリティに注視するというゴールを持っており、ライフサイクルの初めの導入段階に当てはまるサプライチェーンのリスクに対応する機能の一つとして、「プラットフォーム証明書」という機能を開発しました。

 

プラットフォーム証明書とは何なの?

昨今、政府系のサイバーセキュリティ対策に関わる文書でも“機器のライフサイクルにおいて不正な変更が加えられない管理”の重要性について言及されていますが、プラットフォーム証明書は、端的に言えば輸送中の物理的な攻撃からサーバーを守る機能になります。X.509属性証明書を利用して、サーバーが製造時からお客様の元へ届くまで改ざんされていないことを検証する仕組みになります。プラットフォーム証明書には、マザーボード、ハードウェアコンポーネント、ファームウェアに関する情報が含まれています。このプラットフォーム証明書に含まれるハードウェアは、証明の際に正規品として認識されます。

Picture7.png

※GitHubでも公開済み(https://github.com/HewlettPackard/PCVT

 

プラットフォーム証明書が機能する流れ

流れとしては、以下の3段階に分けて解説させていただきます。下記の図もご覧ください。

1. HPEの工場

初めに、サーバーに関する基本的なハードウェアやファームウェアの情報が製造元の工場でTrusted Platform Module (TPM) というセキュリティの各種機能を備えたハードウェアチップに埋め込まれます。この段階で、サーバーに各サーバー固有のプラットフォーム証明書が格納されます。

2. 輸送中

工場からお客様先までのプロセスで、例えば集荷センターでの荷物の載せ替え時に悪意を持った攻撃者に狙われたとします。サーバーが開けられ、出荷された純正品のSSDから、マルウェアが仕込まれたSSDに交換され、その後サーバーを開けていないかのように外見は元に戻します。

3. お客様先

サーバーがお客様先に到着した際、お客様は輸送中の過程で何が起きているかは把握できません。そこで、念のため「プラットフォーム証明書検証ツール」を実行すると、プラットフォーム証明書に書かれたコンポーネント情報と現在のサーバーに入っているコンポーネントと一致していないことが分かります。ここでサーバー出荷時のSSDから、別のものに差し替えられたという事実が判明します。

Picture8.png

 

マルウェアの入ったSSDが入ったままサーバーを起動してしまうと、様々な脅威を侵入させてしまうことになりますが、ここで起動をする前に検知をすることで侵入の被害を防ぐことができるのです。

 

プラットフォーム証明書検証ツール(PCVT) の活用例

こちらの内容は、参考資料に記載した「プラットフォーム証明書解説動画(英語)」をもとに説明しております。動画の視聴と併用していただくことお勧めします。

 

1. 改ざんされていない場合の例

PCVTはISO形式のため、仮想メディアとしてマウントしてブートを行います。イメージをロードし、起動が完了すると自動的に以下の項目がダウンロードされます。

  • IAK (Initial Attestation Key)
  • IDevID
  • プラットフォーム証明書(iLOから)
  • 現在のサーバーハードウェアのコンテンツ状態を表したハードウェアマニフェスト
  • PCVT実行ファイル(現在のハードウェアのコンテンツ状態と、プラットフォーム証明書のコンテンツを比較するためのもの)

結果

改ざんを行っていない状態(工場出荷時の状態)の場合、検証ツールの結果として以下のように出力されます。

Picture9.png

 

  • “Platform Components Verification Status” は、プラットフォーム証明書の検証結果です。( 工場出荷時のコンポーネントと現在入っているコンポーネントを比較した結果)
  • “Platform certificate Trust Chain Status” は、プラットフォーム証明書のトラストチェーン検証
  • “Platform Certificate Signature Status は、証明書の署名検証
  • “IAK Certificate Trust Chain Status” は、IAK証明書のトラストチェーン検証と署名の検証
  • “IDevID Certificate Trust Chain Status” は、IDevID証明書のトラストチェーン検証と署名の検証

 

2. 改ざんされている場合の例

次に、ハードディスクを入れ替えた際の結果を見てみましょう。

Picture10.png

先ほどとは異なり、 “Platform Components Verification Status”には複数列に渡るストリングが並んでおります。

“Warning: The following component(s) of the Platform Certificate are currently absent from the platform” は、工場で出荷された状態のハードディスクが入っていないことを表示しております。

“Warning: The following component(s) from the platform are not listed in the Platform Certificate” は、工場出荷時には不在だったハードディスクが発見されたと表示しております。

プラットフォーム証明書検証ツールコード、ブータブルISO、ドキュメントは、以下より入手可能です。https://github.com/HewlettPackard/PCVT

 

以上、今回はHPE ProLiant Gen10 Plusから新たに追加されたセキュリティ機能である「プラットフォーム証明書(デバイス証明)」について解説させていただきました。同じく、ProLiant Gen10 Plusサーバーから追加された新たなセキュリティ機能である、「セキュア ゼロタッチオンボーディング」についてのブログも用意しておりますので、ぜひご確認ください!

本機能を含む、HPE ProLiant サーバーによる「サイバー攻撃のリスクを低減する“4つの視点”」をわかりやすく解説したサーバーセキュリティハンドブックを公開いたしましたので、こちらもぜひチェックしてみてください! 本機能に対応する対象サーバー表も記載しています。https://h50146.www5.hpe.com/doc/catalog/proliant/#general

 

 

 

参考情報

TCG (Trusted Computing Group) Platform Certificate Profile

https://trustedcomputinggroup.org/resource/tcg-platform-certificate-profile/

 

プラットフォーム証明書解説動画(英語)

https://www.youtube.com/watch?v=hhVVn1iEcSM

ラベル:
0 感謝
作者について

ryo_takagi

日本ヒューレット・パッカード合同会社でサーバーと管理ソフトウェアのプリセールスを担当しています。 旅行と写真が趣味です!

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります