サーバーやパソコン自体に持つセキュリティー機能
作成日:2023/04/05
サーバーやパソコン自体に持つセキュリティー機能
情報化社会が進み、さまざまな情報に価値が見いだされてきました。
ディープラーニングなど、さまざまな業界での技術革新で利用されていく一方で、ファイルを故意に暗号化し、利用できない状態にしたうえで、身代金を要求するランサムウエアや個人情報を盗み取ろうとするフィッシングサイトなど悪意のある利用方法も目立ちます。
皆さまもそのような悪意から身を守るためにさまざまなソリューションの検討・導入を行ってきているのではないでしょうか。
本コラムでは、サーバーやパソコンメーカーが独自に出しているセキュリティーソリューションをご紹介します。
HPE ProLiant Gen11 に搭載されたセキュリティー対策
HPE ProLiant は Gen10 以降から段階的にセキュリティー機能が強化されてきました。
各世代で搭載されてきたセキュリティー機能の例
HPE ProLiant Gen10 |
|
HPE ProLiant Gen10 Plus |
|
HPE ProLiant Gen11 |
|
HPE ProLiant Gen10 では、シリコンレベルの改ざんチェック機能。
HPE ProLiant Gen10 Plus では、HPE製品であること、改ざんのないことを確認する機能。
そして HPE ProLiant Gen11 ではシリコンレベルの改ざんチェック機能の対象範囲がオプション類にまで広がるなどセキュリティー機能が追加されました。
ここからは HPE ProLiant Gen11 で搭載されたセキュリティー機能について詳しくご紹介します。
HPE ProLiant Gen11 のセキュリティー機能
1. ファームウエアの改ざん検知の拡大
iLO に搭載されている Silicon Root of Trust 機能により、電源投入後に、iLO がBIOSなどファームウエアの改ざんがないことを認証して安全にサーバーを起動することが可能になります。
また、稼働中もオンラインのまま定期的にチェック、万が一の改ざん時も、自動検知・自動復旧を行い、稼働を継続することができます。
この HPE ProLiant Gen10 で搭載されたファームウエアの改ざん検知機能が、HPE ProLiant Gen11 では、SPDM (Security Protocol and Data Model) に準拠した仕組みが実装され、PCIeデバイス (RAIDコントローラなどオプションパーツ) まで対象が拡大しました。
現時点では対応しているパーツは一部にとどまっていますが、今後順次対応していく予定です。
新しい機能を利用していくためにはファームウエアのバージョンを常に最新にしていく運用を心がけていただく必要があります。
適用するファームウエアの選定や適用作業は地味で手間がかかることですが、HPE GreenLake for Compute OpS Management であれば、対象のサーバーに最適なファームウエア情報をプロアクティブに提供するため、サーバーの構成に応じて必要なファームウエアを選定する必要がありません。
導入から運用、監視までサーバーのライフサイクルをクラウドで一貫して管理することが可能になるこの機能は Gen11 より前のサーバーでもご利用いただくことができます。
2. Trusted Platform Module (TPM) 2.0 標準搭載
HPE ProLiant Gen10 や Gen10 Plus ではオプション品であった TPM2.0 が標準搭載になりました。
TPMは、暗号化用アルゴリズムエンジン、ハッシュエンジン、鍵生成器、乱数生成器、そして不揮発性メモリ (鍵などを保管) などを備えたセキュリティーに関する機能を備えたモジュールです。
なお、Windows 11 や Windows Server 2022 を利用する場合は TPM2.0 の実装が必須になりました。
TPM未搭載のハードウエアを利用して最新OSをインストールする場合には TPM2.0 のオプションを購入する必要がありますのでご注意ください。
3. サプライ チェーン リスク対策
HPE ProLiant Gen11 には、プラットフォーム証明書を使用したデバイス証明により、製造時からお客さまのもとに届くまでにサーバーが改ざんされていないことを検証する仕組みが搭載されています。
活用例としては次の通りです。
ⅰ. HPE工場
サーバーに関するハードウエアやファームウエアの情報が製造元の工場でTPMチップに埋め込まれます。
この時にサーバー固有のプラットフォーム証明書が格納されます。
ⅱ. 輸送中
例えば、サーバー本体が開封され、出荷された純正品のSSDから、マルウエアが仕込まれたSSDに交換され、その後サーバーを開封していないかのように外見は元に戻します。
ⅲ. お客さま先
お客さまは輸送中の過程で何が起きているかは把握できません。
「プラットフォーム証明書検証ツール」を実行すると、プラットフォーム証明書に書かれたコンポーネント情報と現在のサーバーに入っているコンポーネントと一致していないことが分かります。
この結果により、出荷時のSSDから、別のものに差し替えられたということがわかります。
「サプライチェーンリスクかなんて考えすぎでは?」と思われる方もいらっしゃるかもしれません。
ある調査によると、情報セキュリティー分野における脅威として「サプライチェーンの弱点を悪用した攻撃」が3位に挙げられるほど、この分野での関心事になっています。
このように、サーバーに対してさまざまな対策が施されていますが、ここに挙げたセキュリティー機能はごく一部です。
HPE ProLiant Gen11 には、製造から廃棄時の安全なデータ消去までセキュリティーに対する機能が搭載されており、安心・安全にご利用いただくことが可能です。
続いてはパソコンに実装されているセキュリティー機能のご紹介です。
株式会社日本HP がリリースした「 HP Wolf Pro Security 」とは
日本HP 製のパソコンを購入すると、アンチウイルス機能を持つソフトウエアが付属しています。
他のメーカーでもパソコンを購入するとアンチウイルスソフトが付属していることが多いですが、パソコンメーカー独自のソフトウエアが用意され、そのラインアップの一部は他社製のパソコンにも対応しているのは非常に珍しいといえるのではないでしょうか。
今回はその珍しいマルチベンダー対応の「 HP Wolf Pro Security 」をご紹介します。
HP Wolf Pro Security は
- 驚異の封じ込め (マイクロ仮想マシン)
- ユーザー資格情報の保護 (ID保護)
- 次世代アンチウイルス (NGAV)
- HP Wolf Security Controller (管理 / ポリシー設定)
の機能を持つエンドポイントセキュリティーソフトです。
ダウンロードされたファイルやEmail添付のファイルのうち、信頼できないファイルやリンクは個別の使い捨てマイクロ仮想マシンで開き、もしも悪意あるファイルを誤って開いた場合でも、アプリごと廃棄して悪意のある攻撃を防ぐことができます。
既知の悪意のあるWebサイトは、Wolf Pro Security がユーザー資格情報の入力をブロックします。
低評価のWebサイトは、ユーザー資格情報を入力しないように警告を表示。
URLを指定し、ホワイトリスト、ブラックリストに登録が可能です。
既知の悪質なサイトや低評価のサイトに対するすべてのアクションは記録され、HP Wolf Security Controller に報告され、脅威とユーザーの行動状況を確認することができます。
また、次世代アンチウイルスの機能も搭載されており、既知ウイルスに加え、新たに出現した未知の脅威を検出するディープラーニングAIを提供します。
HP Wolf Security Controller を利用すれば脅威の動的分析も可能になります。
既存のアンチウイルスソフトにご不満な方、でもセキュリティー担当部門や情報システム部門がない、運用負荷を増やしたくない方、説明だけではお伝えしきれない部分が多いので、まずはトライアルで試してみてはいかがでしょうか。
おわりに
今回は HPE ProLiant Gen11 に実装されているセキュリティー対策、日本HP 社がリリースしたセキュリティーソリューション「 HP Wolf Pro Security 」をご紹介しました。
HP Wolf Pro Security は当社Webサイトでもトライアルの受付をしております。
ご興味を持たれた方、ぜひ、お問い合わせください。
おまけ
横河レンタ・リースでは、お客さまのサーバーインフラに関する情報を一元管理、オンプレミス環境を従量制課金で利用可能にする、ITインフラコンサンプションサービスを展開しております。
筆者
文月 (横河レンタ・リース株式会社 営業統括本部 ITS&システム営業推進本部 システム営業技術支援部)
主な業務は営業に対する技術支援やお客さまや社外向けプロモーション活動。
寺社仏閣めぐり (もちろん御朱印集めも) など日本の文化が大好きです!