[新製品・サービス]

セキュリティチップでファームウェアの改ざんを検知――HPEの新世代サーバー「Gen10」

2017年7月20日(木)日川 佳三(IT Leaders編集部)

日本ヒューレット・パッカードは2017年7月20日、「HPE ProLiant」を中心とするPCサーバー製品群の新世代版に当たる「HPE Generation10」(Gen10)を発表した。Gen10では、ハードウェアレベルでセキュリティを向上させた。システム監視用チップの新版「iLO 5」を搭載したことによって、ファームウェアの改ざんを検出/復旧できるようになった。モデルにもよるが、7月20日以降順次出荷する。

 同社のPCサーバーの特徴の1つは、独立した専用コンピュータとしてふるまうシステム監視用チップ「iLO」(Integrated Lights-Out)を搭載していることである。同チップが、PCサーバーを構成する個々のハードウェア部品の稼働状況や健康状態を監視し、監視データを専用のフラッシュメモリーに蓄積する。システム障害の予兆を検知できるほか、システム障害時に原因を突き止めやすくなる。

写真1●HPE Generation10(Gen10)のPCサーバー群の外観写真1●HPE Generation10(Gen10)のPCサーバー群の外観
拡大画像表示

 今回のGen10では、iLOの新版にあたるiLO 5を搭載した。最大の強化点は、iLO自身のファームウェアやサーバーのファームウェア(システムROM/UEFI BIOS)の改ざんを検証し、改ざん前のファームウェアに戻す機能を搭載したことである(図1)。iLO 5のファームウェアがサーバーのファームウェアを検証し、iLO 5のハードウェアに組み込まれたロジックがiLO 5のファームウェアを検証する。

図1●iLO 5では、iLO自身のファームウェアやサーバーのファームウェアの改ざんを検証し、改ざん前のファームウェアに戻すことができる図1●iLO 5では、iLO自身のファームウェアやサーバーのファームウェアの改ざんを検証し、改ざん前のファームウェアに戻すことができる
拡大画像表示

 iLO 5には、利用する機能に応じて3種類のライセンスがある。標準のライセンスでは、サーバー起動時にのみファームウェアの改ざんを検証する。改ざんされていた場合、サーバーを起動させないことでセキュリティを守る。対話型のコンソール画面から手動で改ざん前のファームウェアに戻すことにより、サーバーを起動できるようになる。

 iLO 5の最上位ライセンス「iLO Advanced Premium Security Edition」を使うと、サーバー起動時だけでなく、OS起動後もファームウェアの改ざんを検証し、これを復元できる(図2)。任意のタイミングで即時検証できるほか、スケジュールに則って検証し、自動で復元させられる。最上位ライセンスの価格(税別、以下同)は、1年ライセンスの場合にサーバー1台当たり7万8000円。

図2●iLO 5の最上位ライセンス「iLO Advanced Premium Security Edition」を使うと、サーバー起動時だけでなく、OS起動後も任意のタイミングでファームウェアの改ざんを検証し、これを復元できる図2●iLO 5の最上位ライセンス「iLO Advanced Premium Security Edition」を使うと、サーバー起動時だけでなく、OS起動後も任意のタイミングでファームウェアの改ざんを検証し、これを復元できる
拡大画像表示

 ファームウェアの改ざんを検証/復元するセキュリティ機能を追加した背景には、サイバー攻撃の活性化にともない、ファームウェアを改ざんする攻撃が増えるという状況がある。ハードウェアやファームウェアはセキュリティ対策や監視が手薄となるので、攻撃者に狙われやすい。同社によると、ファームウェアを改ざんする攻撃はPDoS(Permanent Denial of Service)と呼ばれる。

 「PDoSはDDoSよりも攻撃者から見て費用対効果が高い」と、日本ヒューレット・パッカードのテクノロジーコンサルティング事業統括ITセキュリティ&アシュアランスでジャパンカントリーリード兼セキュリティエバンジェリストを務める増田博史氏は指摘する(図3)。DDoSと異なり大量アクセスが不要で、一時的なサービス停止ではなく永続的にサービスを停止させることができる。「マルウェアに感染することを前提に、感染を検知して元通りに復旧させる仕組みが重要になる。事業継続型のセキュリティだ」(増田氏)。

図3●PDoSはDDoSと異なり大量アクセスが不要で、かつ永続的にサービスを停止させられる図3●PDoSはDDoSと異なり大量アクセスが不要で、かつ永続的にサービスを停止させられる
拡大画像表示

 Gen10の代表的なPCサーバー製品の価格は以下の通り。ラックマウント型のHPE ProLiant DL360 Gen10は、66万5000円から。ブレードサーバーのHPE ProLiant BL460c Gen10は、62万5000円。物理リソースを動的に組み替えられるHPE Synergy 480 Gen10は、74万7000円から。
 

関連記事

Special

-PR-

セキュリティチップでファームウェアの改ざんを検知――HPEの新世代サーバー「Gen10」日本ヒューレット・パッカードは2017年7月20日、「HPE ProLiant」を中心とするPCサーバー製品群の新世代版に当たる「HPE Generation10」(Gen10)を発表した。Gen10では、ハードウェアレベルでセキュリティを向上させた。システム監視用チップの新版「iLO 5」を搭載したことによって、ファームウェアの改ざんを検出/復旧できるようになった。モデルにもよるが、7月20日以降順次出荷する。

PAGE TOP