ホーム > PC-Webzineアーカイブ > 新しいサーバーでシステムのセキュリティや信頼性を高める

新しいサーバーでシステムのセキュリティや信頼性を高める

新しいサーバーでシステムのセキュリティや信頼性を高める

2018年06月07日更新

HPE, LENOVO

▶HPE
 ファームウェアを守る


 セキュリティをキーワードにWindows Server 2008/R2のEOSビジネスを拡大させていこうとしているのが、日本ヒューレット・パッカード(HPE)だ。サイバー攻撃がビジネスとして成立してしまっている現在において、「ファームウェアへの攻撃が新たな脅威になっています」とHPE ハイブリッドIT事業統括 ハイブリッドIT製品統括本部の阿部敬則氏は指摘する。

 エンドユーザーのセキュリティ対策の意識が、OSやアプリケーション、ネットワークに向かっている中で、攻撃者はセキュリティ対策や監視が手薄になっているハードウェアやファームウェアへとターゲットをシフトしている。攻撃者にとってファームウェアが魅力的なのは、悪意のあるコードを埋め込む場所として理想的だからだと阿部氏は解説する。以下は攻撃者がファームウェアを狙う利点だ。

・コントロール面
OSの起動前に実行される。つまりホストプロセッサーによって最初に実行される。
・パフォーマンス面
システムボード上のチップや組み込み装置上で実行可能
・検知面
検知が難しい。OSやアンチウイルスソフトは検出不能
・復旧面
マザーボードの交換など、ハードウェアのメンテナンスが必要

「実際にファームウェアレベルの脅威が増加してきており、NIST(米国国立標準技術研究所)なども、従来の攻撃に加えてハードウェアのファームウェアレベルに対するアタックが拡大すると警鐘を鳴らしています。このファームウェアレベルのセキュリティを強化しているのが、当社の最新世代サーバーであるHPE Gen10サーバーなのです。どのサーバーベンダーと比較しても強みと言えます」(阿部氏)

 HPE Gen10サーバーは昨年の7月からリリースされているが、エンドユーザーに最初にアピールしているのがセキュリティの機能だという。

左からHPE 村上志雄氏、阿部敬則氏、岡村清隆氏、安丸千暖氏

正常性確認ロジックを組み込み

 実際にはどのような機能が搭載されているのか。HPE Gen10サーバーには、HPE自身が設計・管理している管理チップ「HPE Integrated Lights-Out(iLO 5)」内にファームウェアの正常性確認ロジックが組み込まれていて、サーバー起動時にiLO 5が起点となってファームウェアの改ざんがないことを確認してから起動するのだ。

 さらにサーバー稼働中にもファームウェアを検証し、改ざんを検知した場合には、自動でリカバリーセット(工場出荷時にiLO NAND内に格納)に復旧する。

「ファームウェアの正常性確認ロジックは、製造段階でiLO 5に物理的に組み込まれるため、ロジックの改ざんは不可能です。自社で管理チップの設計を行っているからこそ実現できる価値です。サーバー稼働中のファームウェアの検証はiLO 5によってバックグラウンドで実行されます。検証は、手動や定期的な実施も可能です。工場出荷時のリカバリーセットは、エンドユーザーが新たに設定・保存もできます」(阿部氏)

 HPE Gen10サーバーに搭載されたこうした機能について、エンドユーザーからは以下のような声が届いているという(HPE イベントアンケート結果などからの抜粋)。

「iLO 5でファームウェアのセキュリティの問題へ対策できるのは、目から鱗だった。その危機・ニーズは今後求められることは確かに想像できる」(金融業)

「自動復旧ができるHPE Gen10サーバーの情報が有益だった(防御よりも簡易で迅速なリカバリーに興味)」(製造業)

「ファームウェア攻撃の対応策が必要と実感した」(製造業)

「x86って、もうこれ以上技術革新がないと思っていたが、セキュリティを訴求したHPE Gen10サーバーはこれからはやりそう」(金融業)

「ソフトウェアのセキュリティを優先しがちだが、サーバーファームウェアの改ざん対策も導入時の検討材料にするべきだと思う」(製造業)

HPE ProLiant DL360 Gen10サーバー。

切り替えのスピードが速い

 このようなセキュリティ機能を搭載するHPE Gen10サーバーは、旧世代のHPE サーバーからの切り替えスピードも速く進行しているという。HPE ハイブリッドIT事業統括 クラウドプラットフォーム統括本部の岡村清隆氏は状況をこう語る。「高いセキュリティ機能を評価して導入していただくお客さまが多いですね。もちろん、旧世代がリリースされた頃よりもパフォーマンスが必要になっている背景から、基本的な性能が向上しているHPE Gen10サーバーに切り替えられるケースも増えています」

 HPE Gen10サーバーはオプション製品もアップデートされている。例えば、HDDやSSDには電子署名付きファームウェア「Digitally Signed Firmware」が実装された。「ファームウェアの改ざんやマルウェアなどの外部からの攻撃を防止でき、ドライブレベルでセキュリティを強化できるのです」とHPE ハイブリッドIT事業統括 ハイブリッドIT製品統括本部の村上志雄氏は解説する。SSDの20倍の性能を提供する「HPE NVDIMM」や、メモリー処理による高速性能とコスト削減を実現する「HPE Scalable Persistent Memory」なども用意した。

 販売パートナーに対しては、HPE ハイブリッドIT事業統括 パートナー&ビジネス開発統括本部の安丸千暖氏が以下のようなメッセージを伝えている。

「DISさまのiDATEN(韋駄天)と連携したHPE Direct Plusで製品のカスタマイズの見積もりから発注まで対応しています。見積もりの工数削減や24時間365日発注できる利便性が特長です。Windows Server 2008/R2のEOSに関連したキャンペーンなどもWebサイト上で確認できます。私がHPE DirectPlusの店長としてご案内していますので、ぜひ利用していただきたいですね」

HPE Gen10サーバーのセキュリティの要となる管理チップ「iLO 5」。ファームウェアの改ざんの検知・復旧を自動で行う。

▶Lenovo
 多彩なラインアップと信頼性


「Windows 7のEOSと合わせてWindows Server 2008/R2のEOS提案も同時に進めています」このように話を切り出すのは、レノボ・エンタープライズ・ソリューションズ アライアンス&ビジネス開発部 部長の星 雅貴氏だ。「PCはWindows 10への移行が順調に進んでいます。今後は、働き方改革やセキュリティへの対応からVDIの導入を検討されるケースも増えてくると想定しています。その際はWindows Server 2008/R2のEOSも絡めた最適なサーバーの提案など、より一層プロモーションを強化していきます」

 Windows Server 2008/R2のEOSは2020年1月14日だ。「2019年度の上期には移行を終えていなければならないとするならば、今年の下期には実際に着手できるようにしておかなければなりません。システムが複雑な場合は、上期からの着手が必要でしょう。ただし、どこから手をつけていいか判断に迷うケースは少なくないでしょう。そこで当社では、Windows Server 2008/R2のEOSにおいて、移行計画から完了までの移行支援サービスを提供しています」(星氏)

 同サービスの具体的な内容は次のようになる。

「計画(現状調査とアセスメント)」
・ヒアリング、過去資料整理、利用サービス確認、機能検討、パラメーター整理

「設計・検証(要件定義と移行設計)」
・アプリケーション改修範囲、新機能設計、移行方針、テスト方針、パラメーター設計、移行検証

「構築・移行(システム導入・構築、システム移行)」
・移行リハーサル、データ移行

「本番稼働(運用開始サポート)」
・ヒアリング、過去資料整理、利用サービス確認、機能検討、パラメーター整理

レノボ・エンタープライズ・ソリューションズ 星 雅貴氏

System xの長所を引き継ぐ

 Windows Server 2008/R2のEOSに際して選定すべきサーバーとしてのレノボ製品の魅力は何か。「当社が提供してきたSystem xサーバーをはじめとするx86サーバー群やデータセンター向けのコンポーネント製品は、昨年7月に『ThinkSystem』というブランドに統一されました。ハードウェアのクオリティや障害予知性能、高い保守効率などはSystem xから変わらずに引き継いでいます」(星氏)

 例えばセキュリティ面では、「レノボ・トラステッド・プラットフォーム・アシュアランス」によって、暗号化・署名されたファームウェアのみをアップデートに適用したり実行可能にする仕組みを整えている。ファームウェアのセキュリティ管理においては、ファームウェア開発時と製造工程、運用現場におけるセキュリティの維持を実現するために厳格なプロセスが適用されているのも特長だ。

「TPM(Trusted Platform Module)の搭載でファームウェアの改ざんを検知できる仕組みは業界に先駆けて実現してきました。ファームウェアが改ざんされていた場合には、正規のファームウェアに書き戻す『セキュア・ファームウェア・ロールバック』機能も実装しています」と星氏はアピールする。

 信頼性の面では、CPUやHDD、SSD、ファン、メモリー、電源ユニットなどの障害を可能な範囲で事前に検出して通知する「プロアクティブ・プラットフォーム・アラート」機能の搭載が挙げられる。同機能と仮想化環境を連携させる「XClarity Integrator」の利用によって、システムを停止させずに仮想OSの安全な退避も可能になる。

 サーバーの停止時間を最小化できる「Light Path診断テクノロジー」も採用されている。LEDの点灯によってメモリーやファンなどの障害部位が容易に特定でき、障害発生時のダウンタイムの最小化と保守時間の大幅削減を実現する。

ローエンドを拡充

 レノボのサーバーラインアップは、ThinkSystemへのブランド統合によって拡充された。中堅中小企業のユーザーにも効果的に訴求できるように、高機能・高性能のモデルだけでなくローエンドのラインアップを増やしているのだ。

「ラックサーバーについては、ロースペックのモデルの要望をSystem xの時代からいただいていました。そこで、ThinkSystemでは『SR530』『SR550』など、機能を一部抑えて低価格にしたモデルを用意しています。選択肢が広がっているので、Windows Server 2008/R2の移行提案において、中堅中小企業のお客さまのニーズに合わせた提案ができるようになっています。無理に値引きをせずとも、競合他社の提案に勝てるモデルを用意したのです」(星氏)

 タワーサーバーについては、ThinkSystemでは2ソケットの「ST550」しか存在せず、1ソケットの製品はThinkServerブランドで「TS150」や「TS460」が継続して用意されている。「1ソケットのタワーサーバーの需要は引き続き中小規模ユーザーで見込まれるため、TS150やTS460はWindows Server 2008/R2の移行提案においても強くプロモーションしていきたいですね」と星氏は展望を語る。

「ThinkSystem SR630」「ThinkServer TS460」「ThinkSystem ST550」

 続きを読む  クラウド移行も含めたサーバー提案が大切――ノークリサーチ

キーワードから記事を探す