[新製品・サービス]

セキュリティチップでファームウェアの改竄を検知─HPEの新世代サーバー「Gen10」

2017年7月20日(木)日川 佳三(IT Leaders編集部)

日本ヒューレット・パッカード(HPE)は2017年7月20日、「HPE ProLiant」を中心とするPCサーバー製品群の新世代版「HPE Generation10」(Gen10)を発表した。Gen10では、ハードウェアレベルでセキュリティを向上させた。システム監視用チップの新版「iLO 5」を搭載したことによって、ファームウェアの改竄を検出/復旧できるようになった。モデルにもよるが、7月20日以降順次出荷する。

 日本ヒューレット・パッカード(HPE)のPCサーバーの特徴は、独立した専用コンピュータとしてふるまうシステム監視用チップ「iLO」(Integrated Lights-Out)を搭載していることである。同チップが、PCサーバーを構成する個々のハードウェア部品の稼働状況や健康状態を監視し、監視データを専用のフラッシュメモリーに蓄積する。システム障害の予兆を検知できるほか、システム障害時に原因を突き止めやすくなる。

写真1:HPE Generation10(Gen10)のPCサーバー群の外観写真1:HPE Generation10(Gen10)のPCサーバー群の外観
拡大画像表示

 今回のGen10では、iLOの新版にあたるiLO 5を搭載した。最大の強化点は、iLO自身のファームウェアやサーバーのファームウェア(システムROM/UEFI BIOS)の改竄を検証し、改竄前のファームウェアに戻す機能を搭載したことである(図1)。iLO 5のファームウェアがサーバーのファームウェアを検証し、iLO 5のハードウェアに組み込まれたロジックがiLO 5のファームウェアを検証する。

図1:iLO 5では、iLO自身のファームウェアやサーバーのファームウェアの改竄を検証し、改竄前のファームウェアに戻す図1:iLO 5では、iLO自身のファームウェアやサーバーのファームウェアの改竄を検証し、改竄前のファームウェアに戻す
拡大画像表示

 iLO 5には、利用する機能に応じて3種類のライセンスがある。標準のライセンスでは、サーバー起動時にのみファームウェアの改竄を検証する。改竄されていた場合、サーバーを起動させないことでセキュリティを守る。対話型のコンソール画面から手動で改竄前のファームウェアに戻すことにより、サーバーを起動できるようになる。

 iLO 5の最上位ライセンス「iLO Advanced Premium Security Edition」を使うと、サーバー起動時だけでなく、OS起動後もファームウェアの改竄を検証し、これを復元できる(図2)。任意のタイミングで即時検証できるほか、スケジュールに則って検証し、自動で復元させられる。最上位ライセンスの価格(税別、以下同)は、1年ライセンスの場合にサーバー1台当たり7万8000円。

図2:iLO 5の最上位ライセンス「iLO Advanced Premium Security Edition」を使うと、サーバー起動時だけでなく、OS起動後も任意のタイミングでファームウェアの改竄を検証し、これを復元できる図2:iLO 5の最上位ライセンス「iLO Advanced Premium Security Edition」を使うと、サーバー起動時だけでなく、OS起動後も任意のタイミングでファームウェアの改竄を検証し、これを復元できる
拡大画像表示

 ファームウェアの改竄を検証/復元するセキュリティ機能を追加した背景について同社は、サイバー攻撃の活性化にともない、ファームウェアを改竄する攻撃が増えることを挙げている。「ハードウェアやファームウェアはセキュリティ対策や監視が手薄となるので、攻撃者に狙われやすい」(同社)。同社によると、ファームウェアを改竄する攻撃はPDoS(Permanent Denial of Service)と呼ばれる。

 「PDoSはDDoSよりも攻撃者から見て費用対効果が高い」と、日本ヒューレット・パッカードのテクノロジーコンサルティング事業統括ITセキュリティ&アシュアランスでジャパンカントリーリード兼セキュリティエバンジェリストを務める増田博史氏は指摘する(図3)。DDoSと異なり大量アクセスが不要で、一時的なサービス停止ではなく永続的にサービスを停止させることができる。「マルウェアに感染することを前提に、感染を検知して元通りに復旧させる仕組みが重要になる。事業継続型のセキュリティだ」(増田氏)。

図3:PDoSはDDoSと異なり大量アクセスが不要で、かつ永続的にサービスを停止させられる
拡大画像表示

 Gen10の代表的なPCサーバー製品の価格は以下のとおり。ラックマウント型のHPE ProLiant DL360 Gen10は、66万5000円から。ブレードサーバーのHPE ProLiant BL460c Gen10は、62万5000円。物理リソースを動的に組み替えられるHPE Synergy 480 Gen10は、74万7000円から。

関連キーワード

HPE / 改竄検知 / PCサーバー / ProLiant

関連記事

トピックス

[Sponsored]

セキュリティチップでファームウェアの改竄を検知─HPEの新世代サーバー「Gen10」日本ヒューレット・パッカード(HPE)は2017年7月20日、「HPE ProLiant」を中心とするPCサーバー製品群の新世代版「HPE Generation10」(Gen10)を発表した。Gen10では、ハードウェアレベルでセキュリティを向上させた。システム監視用チップの新版「iLO 5」を搭載したことによって、ファームウェアの改竄を検出/復旧できるようになった。モデルにもよるが、7月20日以降順次出荷する。

PAGE TOP