Special
» 2019年10月24日 10時00分 公開

ゼロトラストセキュリティの実現:NISTも警鐘、サーバハードウェアを狙う攻撃にどう備える?

サイバー犯罪は日に日に巧妙化し、輸送中のサーバハードウェアにマルウェアを仕込む手法すら存在する。従業員はおろか、新しいハードウェアも信頼しない──ゼロトラストセキュリティを実現する方法とは。

[PR/@IT]
PR

企業の資産であるデータを狙う巧妙な犯罪

 ビジネスにおいてデータは重要な資産であり、データをいかに脅威から保護するかということに多くの企業が頭を悩ませている。

 Hewlett Packard Enterprise(HPE)のボブ・ムーア氏(サーバーソフトウェアおよび製品セキュリティ担当ディレクター)は、Cybersecurity Venturesによる「2021年までにサイバー犯罪は世界経済に6兆ドル(約650兆円)の損害を与える」(注)という予測を取り上げた。この金額は日本のGDPよりも大きく、米国のGDPの3分の1に達する。既存の麻薬犯罪による被害額よりも大きな数字だ。

HPE ボブ・ムーア氏

 ムーア氏によれば、中小企業の約60%がサイバー犯罪の被害に遭い、被害から6カ月以内にビジネス存続の危機に陥っている。セキュリティ侵害を受けると、ビジネスを復旧するには多大なコストがかかることが影響している。中でも、ランサムウェアの被害件数は過去2年で15倍にも膨れ上がり、2019年は15秒に1つの割合で新種が登場しているという。ランサムウェアがもたらす被害は甚大で、ビジネスの復旧に2500万ドル(約27億円)かかった例もある。

 激化するサイバー犯罪からデータ資産を守るには、旧来のデータ保護の手法では十分とは言えないとムーア氏は指摘する。

 「ファイアウォールをはじめとする境界防御の手法は、境界から内部を守るという考えが前提にありました。しかし現在は、フィッシング詐欺、サイドチャネル攻撃、物理的な侵入に代表されるように、境界の内部でも脅威が発生し得ます。またモバイルデバイスやクラウドサービスの普及によって、明確な境界も消失しつつあります。そこで重要なのが『ゼロトラスト』──つまり信頼せず、常に検証することです」(ムーア氏)

従来のファイアウォールによる境界防御とゼロトラストセキュリティ(出典:日本ヒューレット・パッカード)

ハードウェアを狙った攻撃、AIを活用した攻撃が急増

 ムーア氏は、新しい攻撃手法について注意を促す。GDPRなどの規制も強化されており、企業が実施しなければならない取り組みが増えている。

 例えば、ファームウェアやBIOS/UEFIのようなOSよりも下のレイヤーやハードウェアを狙った攻撃が増えている。低いレイヤーを狙った攻撃は、ユーザーが気付きにくく、既存のセキュリティ製品でも検出しにくいため、攻撃者の格好の「狙い目」になっている。対策が不十分なサプライチェーンを狙い、データセンター内部で保護される前のハードウェアを侵害する攻撃も増えた。

 ムーア氏は、AIを活用した巧妙な攻撃が増えていることも指摘した。例えば、AIを活用することで攻撃者は、Web認証手法の一つであるCAPTCHAを回避できるようになった。同様に、AIを使ってターゲットを高度に分析し、フィッシング詐欺を効率化するケースも報告されている。セキュリティ製品による検知を回避するため、人間が機械を操作しているかのように見せるマルウェアも登場した。

 このトレンドを受けて「HPEは連邦捜査局(以下、FBI)と協力し、サイバー犯罪の研究や新しい対抗手段の開発を共同で行っています。こうした協業は、大変珍しいと言えるでしょう」とムーア氏は述べる。

改ざんを許さず、自動的に復旧するHPE Gen10サーバー

 HPEは、多様なサイバー犯罪に対してエンドツーエンドの保護を提供する。具体的には、サプライチェーン攻撃に対するファームウェア保護機能や暗号化機能、攻撃を受けた際の検知・復旧を実現する機能、AIを駆使して潜在的なリスクを特定する監視ツール、ハードウェアの廃棄や除去時に必要なデータ消去や機器再利用の機能などが挙げられる。

 製品ポートフォリオも、サーバやネットワーク、ストレージ、サービスなど多岐にわたる。中でも「HPE Gen10 サーバー プラットフォーム」は、独自のセキュリティ技術によってハードウェアを狙う攻撃を確実に防げることで注目されている。

 上述したように、ファームウェアはサイバー犯罪者にとって魅力的な攻撃対象だ。既存の手法では対策が難しく、アクセスして悪意のあるコードを仕込めれば多様な攻撃に悪用でき、ROIも高い。そのため米国国立標準技術研究所(以下、NIST)のガイドライン「NIST SP800」も、ファームウェアを保護する対策の必要性を指摘している。

日本ヒューレット・パッカード 阿部 敬則氏

 「HPE Gen10 サーバー プラットフォームは、ファームウェアの改ざんを検知して自動で復旧する『Silicon Root of Trust』の仕組みを搭載しています。HPEが自社開発・管理を行っているシリコンチップiLO 5の内部に正常性確認ロジックを組み込み、ファームウェアが改ざんされていないかどうかを検証してから安全にサーバを起動する仕組みです。特長的なのは、サーバ起動時だけではなく、稼働中も定期的にチェックすることができ、もしファームウェアが改ざんされていれば、それを検知して、サーバを稼働させたまま自動で復旧することです」と、日本ヒューレット・パッカードの阿部敬則氏(ハイブリッドIT製品統括本部 カテゴリーマネージャー)は説明する。

 この機能は、世界中の第三者機関のテストでも有効性が認められている。国内ではサイバーディフェンス研究所がハッキングテストを行い、「iLOチップにコードや鍵が格納されており手が出せない。IoT機器への搭載を想定しても理想の設計」と高く評価した。

 HPE Gen10 サーバー プラットフォームには、移送中の物理的なリスクからサーバを守る「サーバー構成ロック」という機能も新たに搭載された。例えば不正なPCIeカードが組み込まれたりパーツが取り外されたりすると、起動時にチェックして検知できる。工場出荷時はもちろん、拠点間移動などにも活用でき、安全性に不安のある環境に展開するときにも役立つ。

 管理画面でサーバの初期化をワンボタンで実施する「One-buttonセキュア消去」機能も、ライフサイクルマネジメントとして有効だ。NISTのSP800-88 Revision1に準拠した機能で、廃棄や再利用を効率良く安全に実施できる。

 阿部氏のセッションでは、HPE Gen10サーバーの実機を用いてハードウェア侵害を検知するデモンストレーションが披露された。このサーバは、事前にサーバー構成ロックが設定されている。サーバの移送中に悪意を持った犯罪者がそのサーバの上蓋を開け、マルウェアを仕込んだSSDカードを挿入するという筋書きだ。

 移送後、HPE Gen10サーバーの電源を入れると、電源オン自己診断テスト(POST)中に不正なSSDカードが自動的に検知され、メッセージが表示された。HPE Gen10サーバーの筐体には電源が抜かれていても上蓋の開閉を検知する機能が搭載可能で、そのメッセージも併せて表示される。これらの情報はiLO 5の管理コンソール画面でも確認でき、次にどのようなアクションを取るべきなのかを確かめられる。

HPE Gen10サーバーのハードウェア侵害検知の模様(出典:日本ヒューレット・パッカード)

セキュリティ対策に必要なHPEの総合力

 近年のサイバー犯罪者は、従来の手法に加えてファームウェアやハードウェアを狙うサプライチェーン攻撃などを駆使し、ターゲットを執拗(しつよう)に追って巨額な利益の獲得を目指す。

 サイバー犯罪に対抗するには、従来の境界から内部を守るセキュリティ対策では不十分だ。しかし一方で、多様な対策を実施するための人材やスキルを十分に確保できる企業は多くない。総合的で効率的、確実なセキュリティ対策を選ぶことが重要だ。ムーア氏は日本市場に向けて以下のようなメッセージで締めくくった。

 「HPEは、FBIやNISTなどと強力に連携し、セキュリティ専門家と専門研究機関を整備して、NISTのセキュリティフレームワークに記された防御・検知・復旧の全てを実現するソリューションを提供したいと考えています。この総合力がHPEのユニークな点であり、当社のセキュリティソリューションの強みだと考えています」(ムーア氏)

注:Cybersecurity Ventures Official Annual Cybercrime Report:Cybercrime Damages $6 Trillion By 2021,2018年12月7日,Steve Morgan.

こちらもお薦め「サーバ管理と購入」に関するアンケート実施中
【特典】抽選でiPhone 11(1名)アマゾンギフト券5000円(10名)プレゼント

※本稿は、TechTargetジャパンからの転載記事です。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本ヒューレット・パッカード株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年11月18日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。