データセンターは、機密情報を盗んだり重要なシステムに大規模な障害を引き起こしたりすることを目的とするサイバー犯罪者の標的となるケースが増えています。最近のPwCの報告書では、この深刻な傾向が浮き彫りになっています。100万ドルを超える損害が発生した重大な侵害を報告した企業は全体の36%にのぼり、前年の27%から増加しています。
これらの増大する脅威に対抗するためには、データセンターのインフラを構成するあらゆる要素がサイバーセキュリティを考慮して設計される必要があります。
最も安全で信頼性の高いラック配電製品を提供するための取り組みの一環として、当社は独立した第三者機関によるPX4ラックPDUの脆弱性および侵入テストを実施しました。当社は、デジタルセキュリティにおける業界のベストプラクティスに適合しているかどうかを評価・検証する能力で知られる第三者評価機関であるCBIZ Pivot Point Security(CPPS)と提携しています。
テスト
当社は、PX4ラックPDUに搭載されたファームウェアに対して、IoTセキュリティ評価および脆弱性・侵入テスト(VAPT)を実施しました。当社の品質評価部門は、業界のベストプラクティスに従い、最新の脆弱性通知を確認し、サードパーティ製チェックツールを使用して独自の脆弱性テストを実施するよう努めていますが、見落とされる可能性のある潜在的脆弱性を特定し、セキュリティリスクを軽減することを確実にするために、この取り組みを行いました。
この取り組みの一環として、当社はCPPSにカリフォルニア州SB-327の遵守を確認するよう依頼しました。カリフォルニア州SB-327は、デバイスを不正アクセス、破壊、なりすまし、改変、または開示から保護するための合理的なセキュリティ機能を要求しています。当社の遵守事項として、ユーザーは初回ログイン後にデフォルトパスワードを変更し、デバイスがインストールされた後も継続的なセキュリティを確保する必要があります。
さらに、製品のセキュリティ対策がNational Institute of Standards and Technology Interagency Reports(NISTIR)8259に記載された業界のベストプラクティスの準拠可否について報告するようCPPSに依頼しました。NISTIR 8259は、NISTの標準規格である「IoTデバイスメーカーのための基礎的なサイバーセキュリティ活動」の第2版であり、IoTデバイスを顧客に販売する前にメーカーが実施すべきサイバーセキュリティ活動を推奨しています。
結果
デバイスのファームウェアやSDK、API、暗号鍵、デジタル証明書、PDUリンクおよびカスケードなどのデバイス間通信、コントローラーのポートセキュリティなど、広範囲にわたるテストを実施した結果、CPPSのVAPTテストは、PX4 PDUが業界のベストプラクティスに準拠し、他のテスト済みネットワークデバイスと同等のセキュリティレベルを持っていることを確認しました。
CPPSのテストは、ラックPDU製品のエンジニアリングプロセス全体にわたるセキュリティへの継続的な取り組みを実証するものです。PX4 PDUの全ラインナップは、最新のネットワークセキュリティプロトコルと、クラス最高のデータ暗号化方式を活用した最も多様なユーザー認証および管理オプションを備えています。
第三者によるサイバーセキュリティテストの最も最も価値ある側面の一つとして、テストから得られる実用的な洞察です。CPPSは、既存のセキュリティプロトコルの強度を確認しただけでなく、さらなる強化に向けた推奨事項も提示しました(当社はこれを実施済みです)。また、テストプロセス中に特定された潜在的な問題の解決にもつながりました。当社のインテリジェントPDUは、導入時の安全性を確保し、高リスク環境での増加するネットワークセキュリティ要件を満たすために継続的に更新されています。
この点をさらに証明するために、当社のPDUは以下のセキュリティ対策を採用して、お客様の機器、データ、およびネットワークを保護しています:
- 暗号化: ラックPDUは管理ネットワークや本番ネットワークに接続されているため、PDUが送受信するデータは暗号化されています。PX4 PDUはデフォルトで安全な通信を可能にし、業界で最も強力な暗号化を使用しています。
- パスワードポリシー: セキュリティ対策が利用可能かつ実装済みだとしても、パスワードは依然として最も重要なセキュリティコンポーネントです。PX4 PDUは、パスワードが強力で最新であることを保証するためのいくつかの方法を提供します。
- ファイアウォール:PX4 PDUは、ネットワークを介して簡単なデータ収集、重要なアラート通知、および電力制御のためにアクセスできます。システムおよびユーザーがさまざまな企業ネットワークセグメントからデータにアクセスするため、不正アクセスを排除することが重要です。これには、IPベースのアクセス制御リスト(IP ACL)ルールおよびRoleベースのアクセス制御(RBAC)ルールが含まれます。
- 多層防御: 該当するPX4 PDUは、電源インフラおよびサーバーを遠隔で管理するためによく使用されます。ネットワーク攻撃から安全を確保するため、当社はラックPDUに対して脅威に先んじたセキュリティ対策を講じています。
- 証明書: デジタル証明書は、安全な接続における両当事者が認可されたユーザーであることを保証します。ラックPDUがパブリックネットワークを介してアクセスされることが増えているため、最新の最も安全な暗号を使用し、CA証明書または自己署名証明書、独自の証明書、またはPDUで作成および署名された証明書を使用することで、中間者攻撃から保護します。
- 信頼のハードウェア基盤: 安全な運用環境をさらに確保するために、PX4 PDUにはセキュアブート機能が含まれており、PDUのブートプロセスおよびその後の動作の整合性と信頼性を保証します。PDUのオンボードセキュアエレメント暗号セキュリティモジュールによって促進され、PDUのファームウェアまたはファイルシステムの検証が失敗した場合、PDUは重要な負荷の安定性を損なうことなくブートプロセスを直ちに中断し、認証済みの改ざんされていないファームウェアのみがPDUで実行されることを保証します。
サイバー犯罪が増加し、新たな脅威が絶えず出現する中で、サイバーリスクの管理は複雑に思えるかもしれません。今回のVAPTテストの結果は、セキュリティと組織の技術的管理に対する当社の取り組みを証明するのに役立ちました。Raritanは、この種の第三者独立テストに参加している数少ないPDUメーカーの一つです。
当社の業務に従事するあらゆる職員がリスクに対して認識を高め、製品に発生する可能性のある弱点を積極的に特定して対処し続ける意志を持つために、この時間とコストを要するテスト工程を追加で実施しました。他の重要な取り組みには、最近取得したISO/IEC 27001認証、ニューハンプシャー大学相互運用性研究所(UNH-IOL)による厳格なテストによって検証された、USGv6-r1(Core、SLAAC、Address Architecture、IPv6-Only)機能の政府承認が挙げられます。
VAPTテスト結果や、PDUのセキュリティを確保するための機能について詳しく知りたい場合は、こちらからお問い合わせください。
0 件のコメント:
コメントを投稿