コミュニティー主導の新たなセキュリティー・プログラムでIT機器のセキュリティー態勢を改善
【サンノゼ(米カリフォルニア州)2023年10月19日PR Newswire】ハイパースケール・イノベーションを全ての人に提供する非営利団体オープンコンピュートプロジェクト財団(OCP、Open Compute Project Foundation)は17日、全てのデータセンターITインフラのデバイスの信頼性を向上させる新たなプログラム「OCP Security Appraisal Framework and Enablement(S.A.F.E.)(OCPセキュリティー評価枠組みづくり)」を発表しました。OCP S.A.F.E.プログラムは、OCPコミュニティーが開発したデバイス・セキュリティ・チェックリストでデバイス・セキュリティー監査の間接費や冗長性を削減し、サプライチェーン全体のデバイス・ハードウエアとファームウエア・コンポーネントのセキュリティー態勢を改善させると期待されています。
S.A.F.E.プログラムにより、OCP財団が提供するサービスに新たな側面が加わります。これは、OCPコミュニティーが、標準化されたデバイス固有の監査チェックリストと、第三者であるデバイス・セキュリティー・レビュー監査人の選定基準づくりから始まります。デバイス監査チェックリストと監査人選定基準は、ともにオープンソースとし、誰でも利用できるようにします。デバイス監査人は自己評価を行い、資格を満たした監査人はOCPセキュリティー・レビュー・ プロバイダー(SRP)に指定されます。デバイスベンダーは、OCPコミュニティーが提供する適切なチェックリストに基づき、OCP認定SRPに委託してデバイスごとにセキュリティー・レビューを実施します。
オープンコンピュートプロジェクト財団のSteve Helvie新興市場担当バイスプレジデント(VP)は「OCP S.A.F.E.プログラムは、OCPコミュニティーと業界全体のセキュリティーに対する取り組みをレベルアップする触媒となるよう設計されています。OCP S.A.F.E.プログラムは、OCPコミュニティー主導の取り組みで、デバイス・ファームウエアのセキュリティー検証の標準化を実現し、データセンター事業者が、他の市場セグメントでも複製可能な重複した取り組みを排除することで、コストを削減しつつ、一貫したセキュリティー態勢を維持できるようにします。セキュリティーは、効率性、オープン性、規模、影響力、そして持続可能性というOCPの核となる思想を実現する根本的基盤です」と話しています。
Google CloudのPhil Venables最高情報セキュリティー責任者(CISO)は「データセンターのITデバイス上で実行されるファームウエア・リリースやファームウエア・パッチの出所、コード品質、ソフトウエア・サプライチェーン用の標準アプローチづくりは、レビュー・プロセスの民主化から取り組みの効率化に至るまで、より広範なコミュニティーにメリットをもたらします。グーグルは、OCP S.A.F.E.プログラムの創設メンバーであることを喜ばしく思っており、コミュニティーと共に業界のセキュリティー保証の強化という共通の目標を達成していきます」と話しています。
独立した第三者による監査には、大きな課題があります。これらの結果は多くの場合、特定の顧客にのみ提供されるため、市場に与える影響は限定的です。また、このようなレビューは、デバイス購入時に消費者によって行われることが多く、 デバイスのレビュー実施は一度きりで、その後のファームウエアのアップグレードやパッチによって引き起こされるセキュリティー問題は検出されません。OCPは、全てのデータセンター事業者間で標準アプローチを推進することで、これらの問題に効果的かつ効率的に対処します。
AzureのMark Russinovich最高技術責任者(CTO)は「当社はOCPと提携し、ハードウエアのエコシステム全体で体系的なセキュリティー評価を推進する枠組みSAFEを構築しました。この取り組みは、全てのハードウエア消費者に、より高いレベルの品質とセキュリティー保証を提供します」と話しています。
OCP S.A.F.E.プログラムは、デバイスのセキュリティー監査の間接費や冗長性を削減し、(1)デバイス消費者にセキュリティー適合性保証を提供し、(2)ファームウエアと関連アップデートが、デバイス製造当初に一度だけレビューされるのではなく、継続的にレビューされるデバイスの数を増やし、(3)レビュー領域、テスト範囲、報告要件を繰り返し改善することにより、デバイスのハードウエアとファームウエア・コンポーネントのセキュリティー態勢を向上させる-よう設計されています。
同プログラムは、第三者監査人、デバイスベンダー、シリコンベンダーの双方から強い支持を得ています。現在、Atredis Partners、IO Active、NCC GroupがOCPセキュリティー・レビュー・プロバイダーとして登録されており、デバイスベンダーのAMDとSK Hynix、シリコンベンダーのインテルも参加しています。
IDCのAshish Nadkarniグループ副社長兼ワールドワイド・インフラ・ゼネラルマネジャーは「OCP S.A.F.E.プログラムが提供できるセキュリティー保証のレベルは向上しており、データセンターのITデバイス消費者、ひいてはクラウド・プロバイダーが提供するサービスのエンドユーザーにとって、市場に新たなレベルの信頼をもたらすはずです。セキュリティーの向上と同時に効率化が促進され、業界にとっても喜ばしいことです。これは、OCPのようなコミュニティー内でのオープンなコラボレーションが、いかに全ての人にメリットをもたらすかを示す一例に過ぎません」と話しています。
▽オープンコンピュートプロジェクト財団について
オープンコンピュートプロジェクト(Open Compute Project、OCP)は、ハイパースケールデータセンター事業者、通信、コロケーション・プロバイダー、法人ITユーザーの共同コミュニティーで、製品およびソリューションベンダーのエコシステムと協力して、クラウドからエッジまで展開可能なオープンイノベーションを開発しています。OCP財団は、市場に対応した未来づくりで、ハイパースケール主導のイノベーションを全ての人に提供するため、OCPコミュニティーの育成と支援に責任を負っています。市場への対応は、OCP公認IT機器とデータセンター施設の成功事例を紹介するオープンな仕様、設計、新興市場プログラムにより、困難な市場の障害に対処することで達成しています。未来づくりには、人工知能(AI)と機械学習(ML)、光学、高度な冷却技術、コンポーザブルメモリーとシリコンなど主要なテクノロジーの変化に備えてITエコシステムを用意する戦略的イニシアチブやプログラムへの投資が含まれます。OCPコミュニティーが開発したオープンイノベーションは、影響力、効率性、規模、持続可能性の観点から最適化され、全ての人にメリットをもたらすことを目指しています。詳細については、www.opencompute.org をご覧ください。
▽メディア問い合わせ先
Dirk Van Slyke
Open Compute Project Foundation
Vice President, Chief Marketing Officer
dirkv@opencompute.org
Mobile: +1 303-999-7398
(Central Time Zone/CST/Houston, TX)
Logo - https://mma.prnasia.com/media2/1018821/OCP_Logo.jpg?p=medium600
ソース:Open Compute Project Foundation