用途拡大するサーバ - 注目されるファームウェアのセキュリティ

サプライチェーンリスクの新たな観点として、IT基盤で利用されるハードウェア、これを製造するコンポーネントそのものの信頼性と、これに対するセキュリティ上の脅威の存在が注目されつつある。

この状況をふまえ、ハードウェアそのものに対するセキュリティ対策が、数年前から米国で行われてきた。NIST(米国国立標準技術研究所)フレームワークへの対応など、米国での動きを中心に、IT基盤にハードウェアを供給する現場で、どのような取り組みが行われているのか紹介する。

ハードウェアは無条件に信頼できるのか？

工場で生産されるハイテク製品を、いつでも好きなタイミングで買うことができる。少し前までは当たり前だったが、今はそうではない。

広く使われているx86サーバを見ても製品の製造に必要な、いわゆるサプライチェーン、メモリやCPUなどコンポーネント供給の連鎖は、非常に複雑かつ多様だ。近年、地政学リスクや経済安全保障などの言葉とともに、サプライチェーンにリスクが潜在することを多くの人が認識していることだろう。

しかし、サプライチェーンのリスクには、供給そのものとは別の、もう1つの側面がある。複雑に組み上げられたコンポーネントと、それらに搭載されるOSやアプリケーションよりももっと低いレイヤに存在する、デバイス制御用のソフトウェア、つまりファームウェアの信頼性である。

ハードウェアとソフトウェアの境界は線引きが難しい。例えば、よく使われるコンポーネントであるSSDにも、ファームウェアが入っている。データの書き込みと読み出しを最終的に担うソフトウェアであるが、通常はハードウェアコンポーネントとしてのSSDの一部と見なされ、その存在が意識されることはない。運用でファームウェアアップデート作業をしている方が、SSDのファームウェアのバージョンが変わっているのを稀に目にするぐらいだろう。

現在、ソフトウェアのセキュリティ対策は性悪説が基本だ。アプリケーションは信頼されるストアやレポジトリからダウンロードするもの、という認識はすでに常識となっている。性善説は過去のものになり、悪意あるソフトウェアへの対策も、この20年で飛躍的に進んだ。

それでは、ハードウェアのセキュリティ対策はどうか。ハードウェアは多くの場合、性善説(それが悪いと言いたいのではない)を基本としているし、ソフトウェアに比べるとライフサイクル全体で見たセキュリティ対策の普及はまだまだと言える。とはいえ、多くの人達が何年も前から、ハードウェアレイヤでのセキュリティ対策に取り組んできた。なかでも米国は、そうした取り組みの先進地である。

米国から始まったセキュアなハードウェア実現への取り組み

筆者はサーバを沢山作っている会社の人間なので、サーバで始まった取り組み例を紹介する。2010年代中頃、米HPEが、新世代のサーバの設計を開始するにあたって、最初にユーザーからのヒアリングを行ったのは防衛と金融のセクターだった。なかでも国防総省などの連邦政府機関が、将来要求してくる調達基準を満たすことは、同社製品の設計の基本的な方向性を決めるうえで重要であった。

その結果、両セクターからトッププライオリティとして挙げられてきたのが、セキュリティだった。サーバハードウェアにそういったものが求められることは、当時日本では一般的ではなかった。

ここで一旦、米国連邦政府の公的な動きを振り返ってみる。2010年に大統領令13556で「管理すべき重要情報(CUI)についての指示」が通達され、米政府全体として情報セキュリティ強化の取り組みがはじまった。2015年には、NISTからコンピュータセキュリティレポートとして知られるSP800シリーズ文書の1つとして、SP800-171(連邦政府外のシステムと組織における管理された非格付け情報の保護)がリリースされた。これは、現在も広く参照されている、CUIのセキュリティ要件を提示した文書である。

2016年に公示された、DFARS(国防省調達規則) 252.204-7012“Safeguarding Covered Defense Information and Cyber Incident Reporting”では、セキュリティ要件遵守の対応期限が2017年12月31日までとされた。つまり、米国は国防総省の調達要件として、SP800-171への2017年末への対応を民間の納入業者に要求したのである。

HPEがセキュリティに主眼を置いたサーバ製品の新世代をリリースしたのは2017年であり、米国のパブリッククラウドベンダーのハードウェアセキュリティ規格も、リリースをさかのぼると多くが同じ時期にあたっている。

一方、2017年当時、セキュリティに主眼を置いたサーバの新製品、という切り口は日本市場ではなかなか注目されなかった、というのが正直なところだ。

改ざん・偽造が困難なチェック機構で信頼性を担保

しかし、日本での状況も、ここ数年で変わりつつある。この5年間でIoTや5Gといった用途の普及により、データ生成場所のパラダイムシフトが進行した。サーバの設置場所はデータセンターの厳重なゲートの内側から、山奥の基地局の中、工場の産業機械の横、戸外の電柱の上など、従来とは異なるリスクの有る場所へと拡大した。物理的に目の届かないこうした場所に置かれたハードウェアのセキュリティを、どのように担保するのか。用途の拡大とともに、ハードウェア自体へのセキュリティ対策の必要性が、広く現実の課題として認識されるようになってきた。

ハードウェアセキュリティに求められる具体的な要件を、先に言及したNIST SP800シリーズ文書の中に見てみよう。NIST SP800-193 “Platform Firmware Resiliency Guidelines”がこれにあたる。HPEや他のベンダーがコントリビュータとして名前を連ねており、2017年にドラフト版が発行され、2018年に正式リリースされた。この文書は、まさにハードウェアセキュリティの鍵となる、ファームウェアセキュリティの実装方法について具体的に記述している。この中で、ファームウェアの改ざんや破壊といった、セキュリティ侵害への対抗策として広く実装を求める形で提示されている機構が、RoT(Root of Trust、信頼の根)である。RoTのような具体的なハードウェアセキュリティ機構が2017年の段階から、こうした文書にまとめられ、普及に向けての動きが進んでいたのである。

RoTとは、ハードウェアの基底となる部分に改ざん・偽造が極めて困難なチェック機構を実装し、この機構を基にしてファームウェアのセキュリティを担保する仕組みである。RoTの考え方の根本にあるのは、証明書を使ってハードウェアとファームウェアの正当性を検証するという考え方だ。HPEではRoTについて、「ゼロトラストの考え方をハードウェアインフラにも適用する」と説明している。

他社も含め、現在の実装でこの仕組みがカバーしているのは、マザーボード上の核心的な部分のファームウェアにほぼ限られている。しかし、将来的には、バス上につながるあらゆるコンポーネントが検証を相互に行うような実装形態もあり得るだろう。性悪説の世界でも信頼を担保できるハードウェアの仕組みを作っていこう、というのが、新たなサプライチェーンリスクが注目されている中での、ハードウェアデザインの方向性である。

• 

  HPEでのRoTの実装例。HPEでは独自開発のASICである、iLO 5をCPUとは別に実装し、耐タンパー性を高めたSilicon Root of Trustとして実装している。一般的には、TPM(Trusted Platform Module)を使用してRoTとして実装することが多い

一部のスマートフォンでは、すでに内部のコンポーネント単位の認証をはじめているものがある。一見すると出所不明の互換部品への対策にも見える。しかし、製造からメンテナンスまで含めて、極めて長大で複雑なコンシューマ向け製品のサプライチェーンの信頼性を担保するための、非常に有効な仕掛けと捉えることもできるだろう。

このような流れは、コンピュータ的なアーキテクチャを持つ、さまざまなプラットフォームで進んでいる。工場で大量生産・流通される製品において、製造から廃棄・再利用までのライフサイクル全体を通して、安全性や正当性を人手による監視や書類のやり取りで担保するのは不可能だ。

そうではなくて、ハードウェア自身にコンポーネントの安全性や真贋を検証させる仕組みを持たせる、という方向性が、今後はデファクトスタンダードなっていくと思われる。また、ユーザーの立場からは、ハードウェア選定の際にハードウェアレイヤでのセキュリティを評価軸の1つに含める、という動きが広まっていくと考えられる。