「Root of Trust」で信頼の鎖をつないでいく仕組みが広がっている
ファームウェアはまず先に起動するため、改ざんされると致命的だ。それゆえにファームウェアの信頼性を高めることは極めて重要となる。米国国立標準技術研究所が発行している文書でもBIOS保護ガイドラインがまとめられている(NIST SP800-147B)。
これからはOSからではなく、まずはハードウェアが信頼できるかから確認する。そこからファームウェア、ハイパーバイザー、OS、署名されているアプリ……という具合に信頼の鎖をつなげていくことが求められている。及川氏は「こうした信頼の鎖をつなげていくことで、皆さまのアプリケーションが信頼できる環境で、データが詐取されることなく動く状態を作っていこうとしています」と話す。
2019年からは第2世代 インテル Xeon スケーラブル・プロセッサーが発売されている。性能はもとより、サイドチャネル攻撃対策や暗号化アクセラレーションなどコンポーネントとしての信頼性向上に注力していることが分かる。
こうした取り組みはハードウェアメーカーだけではない。大手パブリッククラウドベンダーも、軒並み同じようなフレームワークでセキュリティ向上に努めている。例えばMicrosoft Azureでは「Project Cerberus」として、セキュリティ用コプロセッサで「Root of Trust」を実装している。及川氏は「これから業界全体が目指していくのはゼロトラストに基づいて各コンポーネントが信頼できるか、一つひとつ検証していくことです」と話す。
HPEの「Root of Trust」を支えているのがiLO(Integrated Lights-Out)。主要なHPEサーバーに標準搭載されている自社開発の小型コンピュータで、サーバーのリソースから独立した専用のASICとなる。サーバーの導入から解析までライフサイクル全般をカバーする。Gen 10ではiLO 5となり、セキュリティの根幹を支えている。
エッジコンピューティングが進むと、データだけではなくサーバーもデータセンターの外に出て行く。最近では5G回線を有効活用すべく、基地局近くに設置するエッジサーバーが検討されている。及川氏によると通信業者から「電柱に設置できるか?」といった問い合わせを受ける事もあるそうだ。今後は身近なところで、気づかないうちにサーバーが増えていくだろう。そうした中、ファームウェアが書き換えられても元に戻せる仕組みがあるのは心強い。
最後に及川氏は「HPEが目指しているのはデータセンターでも、エッジでも、信頼できる仕組みを実現していくことです」と強調し、講演を締めた。
お問い合わせ
日本ヒューレット・パッカード株式会社
