SPECIAL TOPICDPU+AIでデータセンターを守る エヌビディアのゼロトラストセキュリティ

巧妙化するデータセンターへのサイバー攻撃への対抗策としてエヌビディアが提唱するのが、DPUとAIの連携だ。DPUのセキュリティ機能とGPUを活用したAI処理を組み合わせることで、ゼロトラストセキュリティが構想から現実のものとなるという。

テレワークの普及やクラウドサービスの利用拡大に伴うアタックサーフェス(サイバー攻撃の標的)の拡大を機に企業へのサイバー攻撃が増加してきている。企業の重要な情報が集約されるデータセンターは、高度なスキルを持つ攻撃者にとって魅力的なターゲットだ。

データセンターの運営者にとって、数が急激に増え、手口も巧妙化するサイバー攻撃への対処は最重要課題といえる。

では、どうすればサイバー攻撃からデータセンターを守ることができるのか――。

AI解析などに用いられるGPUのトップベンダー、エヌビディアでは、データセンターで導入が進んでいる新タイプの半導体チップ「DPU(Data Processing Unit)」とAI技術の活用により、データセンターのセキュリティを格段に強化できると考えているという。

エヌビディアが提唱する新時代のデータセンターセキュリティの姿を見ていこう。

軍事レベルで使えるセキュリティ機能を実装

データセンターに設置されたサーバーは、NIC(Network Interface Card)を介してイーサネットあるいはInfiniBandにより他のサーバーやストレージなどと接続される。このNICにハードウェアアクセラレーターエンジンを搭載、サーバー間通信における暗号化処理などをNIC側で肩代わり(オフロード)してサーバーの負荷を軽減できるようにした製品が「SmartNIC」だ。

エヌビディアが「NVIDIA BlueField DPU」 のブランドで展開するDPUは、SmartNICにARMなどのプロセッサーコアを追加し、仮想インフラの管理や高度なセキュリティ機能のオフロードにも対応できるようにしたもの。DPUを使うことで、サーバーの処理能力をセキュリティ対策に過度に取られることなく、増大する攻撃リスクに対処できるのだ。

プログラマブルなARMプロセッサーを搭載したDPUでは、NVIDIA DOCAと呼ばれるSDKやエヌビディアが提供するソフトウェア群を用いて、ベンダーがDPUの多彩な機能を活用したセキュリティ製品を容易に開発できる。すでにファイアーウォールをはじめ様々な連携製品が市場に出始めているという。

エヌビディア ソリューションアーキテクチャ & エンジニアリング部シニアソリューションアーキテクトの大西宏之氏は、データセンターのセキュリティ対策にDPUを活用する大きな利点として、DPUが広範なセキュリティ分野に対応できる機能を搭載していることを挙げる。

「セキュリティはよく輪になっているチェーンに例えられます。1箇所でも切れたら破綻してしまう。攻撃者はこの中で一番弱いところを狙って1つでも破壊すればいいので圧倒的に有利です。だからセキュリティ対策は全方位的に行わなければいけません。そこでDPUは、インターネットの4階層モデルにおける全階層のセキュリティ対策に対応できる機能を持っています」

ソリューションアーキテクチャ & エンジニアリング部 シニア ソリューション アーキテクト 大西宏之氏

ソリューションアーキテクチャ & エンジニアリング部 シニア ソリューション アーキテクト 大西宏之氏
DPUは、インターネット4階層モデルのすべてのレイヤのセキュリティ対策に対応できる機能を有している
DPUは、インターネット4階層モデルのすべてのレイヤのセキュリティ対策に対応できる機能を有している(画像クリックで拡大)

レイヤ1のMACsec(イーサネットを暗号化するセキュリティ技術)から、レイヤ4のWAFやIPS(Intrusion Prevention System:不正侵入防止システム)まで、主要なセキュリティソリューション・技術が、DPUの機能やエヌビディアが提供するソフトウェアを活用して実現できるのである。

大西氏が、さらに重要だと見るのがOSが起動する前のレイヤ1より下に位置する、ファームウェアを利用した攻撃や、電気ショックなどを利用して情報を盗み出す物理攻撃に対抗できる機能をDPUが実装している点だ(上図階層L0.5/L0に相当)。

ファームウェアを利用した攻撃は近年増加傾向にあるにもかかわらず、まだ対策が進んでいない分野だ。

データセンターの構築に際しては近年、サーバーやストレージ、NICなどのパーツを個別に購入することで、コストを抑えるといった手法が多用されるようになってきている。これらのパーツの中でもNICは小型であるため、流通段階で何者かがファームウェアを書き換えて、バックドアを仕込むなどの「サプライチェーンアタック」のターゲットとなる可能性が高い。

こうしたリスクに対処するためにエヌビディアでは、DPUに、(1)起動のたびにファームウェアを検証し、不正なファームウェアを起動させない「セキュアブート」、(2)アップデートごとにファームウェアを検証し、不正なものはインストールさせない「セキュアアップデート」、(3)不正なファームウェアを検出した時に、デバイスを正常な状態にもどす「セキュアリカバリー」、(4)ファームウェアのデバックを行う際の専用回線の安全性確保し、パスワードなどの情報の漏洩を防ぐ「セキュアデバック」をなどの機能を実装。ファームウェアが正規のものであるか検証するAttestation(検証)サーバーも構築している。

物理攻撃対策については、エヌビディアのDPUの最新バージョン「NVIDIA BlueField-3 DPU」に、外部から高い電圧や特定の周波数の電流を流すことでチップ内の情報を盗み取ろうとするglitch攻撃に対処できる機能が実装されるという。

大西氏は「軍事レベルで使えるような本格的なセキュリティレベルを確保できるハードウェア機能を持っている」と強調する。

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。