マンガでわかる「サーバー選びの新基準」-PDoS攻撃からサーバーを守れ!-

目の前に迫る新たな脅威

DoS/DDoS攻撃やランサムウェアの影響は世界中で急速に拡大しています。
 
さらに、サーバーの永続的なサービス拒否(=システム破壊)を引き起こす「PDoS(Permanent Denial of Service)攻撃」のリスクは、すでに現実のものです。
 
私たちが日々直面している脅威だけでなく、目の前に迫る新たな脅威にも備えが必要です。

7.2億回 世界中で一日に試みられているハッキング数 サイバー攻撃は、高度化・複雑化・大規模化しており、国家レベルを含む組織的な犯罪集団の存在も指摘されています。世界中で一日に試みられているハッキング数は7.2億回に達し、企業の情報資産とビジネス継続に深刻な脅威をもたらしています。 CNBC,Biggest cybersecurity threats in 2016.http://www.cnbc.com/2015/12/28/biggest-cybersecurity-threats-in-2016.html
99日 悪意あるコードが検出されるまでの日数 さらに深刻なのは、ハッキングされてからそれを知るまでに平均99日を要しているという事実です。問題解決までの時間が長引くと、それだけビジネスへの影響は拡大し経済的な損失も膨らみます。悪意あるコードをいち早く検出する方法を確立しなければなりません。Mandiant M-Trends,Trends from the Year's Breaches and Cyber Attacks,2016. https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html
55% 企業のサイバーセキュリティ予算のうちマルウェアの検知と復旧に要する割合 企業のIT予算の中で、サイバーセキュリティ分野の占める比率が高まっています。中でも、マルウェアの検知とその影響から復旧するためのコストの増大は深刻です。悪意あるソフトウェアやコードからシステムを防御することは、いっそう重要になっています。Ponemon,2016 Cost of Cyber Crime Study & the Risk of Business Innovation,2016. http://www.ponemon.org/library/2016-cost-of-cyber-crime-study-the-risk-of-business-innovation
900万ドル サイバー犯罪により企業が失う損失(毎年平均) サイバー犯罪は、情報資産の搾取から、システムのサービス停止、システムそのものの破壊へと拡大しており、被害に遭った企業の経済的損失は膨らむ一方です。事業の中断、情報の損失、収益の損失、機器の損害への影響を最小化するための解決策が求められています。 Ponemon,2016 Cost of Cyber Crime Study & the Risk of Business Innovation,2016. http://www.ponemon.org/library/2016-cost-of-cyber-crime-study-the-risk-of-business-innovation

情報窃盗からシステム破壊へ

「PDoS(Permanent Denial of Service)攻撃」の目的はシステム破壊。
 
攻撃対象はサーバーのBIOS/UEFI、コンポーネントのファームウェアです。
 
これらのソフトウェアはOSが起動する前に動くため、OSでセキュリティを制御したり、感染したマルウェアをセキュリティソフトで駆除したりすることはできません。

有識者もPDoS攻撃のリスクを警告

2017年6月に開催されたグローバルイベント「HPE Discover 2017」では、米連邦捜査局(FBI)のコンピュータサイエンティストが「ほとんどの企業でBIOSやファームウェアに対する攻撃への備えができていない」と警告しました。

また、National Institute of Standards and Technology(アメリカ国立標準技術研究所)が発行する「Special Publication 800-147B(Draft)」では、「従来のサイバー攻撃に加えてハードウェアのファームウェアレベルに対するアタックがますます拡大する」と報告されています。PDoS攻撃は対岸の火事ではないのです。

世界標準の安心サーバー HPE ProLiant Gen10

2017年7月に発表された「HPE ProLiant Gen10」は、世界で初めてハードウェア主導のセキュリティ技術=「Silicon Root of Trust(シリコンレベルの信頼性)」を実装したx86サーバーです。
 
PDoS攻撃をはじめ、多様化するあらゆる攻撃やマルウェアからサーバーを守り、安全な状態に保ち、何らかの問題を検知した場合には健全な状態に復旧させることができます。

HPE ProLiant Gen10は、ラックマウント型、ブレード型、卓上型、高密度スケールアウト型など幅広いラインアップで登場しました。すべてのHPE ProLiant Gen10に共通しているのは、マネジメントプロセッサー「Integrated Lights-Out 5(iLO 5)」を搭載していること。「iLO 5」は、HPEが独自に設計したASIC(特定用途向け集積回路)であり、HPE ProLiant Gen 10が他のサーバーと異なる最大のポイントです。 「iLO 5」には、ハードウェア主導のセキュリティを実現する機能が、論理回路として1つのシリコンチップ上に焼き込まれています。システムファームウェアの改ざんのリスクを排除し、さらにオンラインでファームウェア改ざんを検知し、健全な状態に復旧可能な「Silicon Root of Trust(シリコンレベルの信頼性)」を備えたサーバー製品は、HPE ProLiant Gen10だけです。信頼性のレベルが違います。

これからの標準!! Silicon Root of Trust(シリコンレベルの信頼性)
マネジメントプロセッサー 「iLO 5」

  • セキュリティロジックをシリコンチップに焼き込み!
  • ロジックの改変、模倣が不可能!
  • 設計から開発までHPEが完全に管理!
  • TPM(Trusted Platform Module)のような他のセキュリティチップでは、BIOS以上の動作やOS起動時のチェックに限られていることにご注意ください。深いレベルのシステムファームウェアや、サーバー起動後・運用段階の改ざんに対してはリスクが残ります。

Silicon Root of Trust シリコンレベルの信頼性とは

HPE ProLiant Gen10が搭載する独自のシリコンチップ「iLO 5」は、サーバーのライフサイクル全体を一貫してセキュアにすることができます。

たとえば、マルウェアの感染や改ざんが確認された場合にはサーバーは起動しません。

さらに、システム稼働中にファームウェアの問題をオンラインで検知することができ、自動または手動で復旧させることも可能です。

Protect(防御)

「iLO 5」は、ファームウェアのセキュリティ問題を解決する最も確実な方法を実現しました。改変不可能なシリコンチップ(iLO 5)を起点に、デジタル署名を利用して、正しいファームウェアによる安全なプロセスでサーバーが起動します。

  • 1シリコンチップ(iLO 5)に焼き込まれたセキュリティロジックに基づき、 iLO5自身のファームウェアのデジタル署名を参照して認証
  • 2HPE iLO5ファームウェアがシステムROM(UEFI)を認証
  • 3UEFIセキュアブートによりオプションROMとOSブートローダーを認証

Detect(検知)

「iLO 5」は、ファームウェアの改ざんをオンラインで検知できることができます。稼働中のHPE Gen10 サーバーで任意のタイミングで改ざん検知を実行することも、スケジュールを設定して定期的な自動検知を設定することもできます。

Recover(復旧)

ファームウェアの正常・異常などのステータスは「iLO 5」の管理画面から確認できます。もし異常が検知されたときは、直前の正常なファームウェアに自動または手動で戻すことができます。

このように「iLO 5」は、サーバーの安全な起動(Protect)から、サーバー稼働中の不正検知(Detect)、健全な状態への復旧(Recover)までを実現。サーバーのライフサイクル全体を一貫してセキュアに保ちます。

HPE ProLiant Gen10「サーバー選びの新基準」

DoS/DDoS攻撃やランサムウェアなどの脅威に加え、PDoS攻撃に代表される新たな脅威にも備えが必要です。
 
リスクが顕在化する前に、HPE ProLiant Gen10で先手を打ちませんか。
 
サーバー選びの新しい基準をご確認ください。

Check Point1 サーバーのセキュリティチップは「iLO 5」か、それ以外か。システムROM、システムファームウェア、管理プロセッサーを保護できますか?サーバー内蔵のセキュリティチップに改変のリスクはありませんか?改変されたファームウェアでサーバーが起動するリスクはありませんか?
Check Point2 サーバーのライフサイクル全体を、一貫してセキュアにできるか。BIOS異常の動作やOS起動時のチェックに限られてはいませんか?サーバー起動後や運用段階での改変に対してリスクはありませんか?運用開始後に改変が明らかになった場合、健全な状態に戻せますか?
一歩先を行くHPE ProLiant Gen10! 1.サーバーのパフォーマンス最適化は、テンプレートから選ぶだけ!CPUのHyper-Threadingや仮想化支援機能、電力管理などの設定を個別に行うことなく、「推奨設定テンプレート」から選ぶだけで目的や用途に応じた最適化が可能です。 2.ストレージとして使える不揮発性メモリが大容量化!8GBのNVDIMMに加え、より大容量の16GBのNVDIMMをお使いいただけます。電源を供給しなくても記憶を保持し、高速なメモリデバイスをストレージ領域として利用できます。 3.大容量1TBの不揮発性メモリがまもなく登場!HPEは、1TBの大容量を利用できる「HPE Scalable Persistent Memory」を発表しました。データベースのパフォーマンス問題を解決する製品として大きく期待されています。