旧態依然の境界防御では不十分 情シス担当者必読! 最新のサイバー攻撃を防ぐために何が必要か

後編:オフィス外での仕事は当然の時代高まるリスクに揺らがない「エンドポイントセキュリティ」という考え方

デロイト トーマツ リスクサービス株式会社 代表取締役社長 丸山 満彦氏
				株式会社 日本HP 執行役員 パーソナルシステムズ事業本部長 兼 サービス・ソリューション事業本部長 九嶋 俊一氏

働き方改革を進めるにあたり、各企業は社内ルールの変更を迫られていることだろう。とりわけITセキュリティの分野では、従来とは考え方そのものの変革が求められている。特に注目すべきポイントとされているのが、個々の従業員が使用する端末、すなわちエンドポイントのセキュリティだ。オフィス外で仕事をするのが当然の状況では、どのような落とし穴が存在し、どんな対策が求められるのだろうか。企業のセキュリティ事情に詳しいデロイト トーマツ リスクサービス 代表取締役社長の丸山 満彦氏と、IT端末のセキュリティ向上に日々取り組んでいる日本HP執行役員の九嶋 俊一氏が語り合った。

「働き方改革」を成功させるにはITセキュリティの変革が不可欠

丸山 満彦 氏
デロイト トーマツ リスクサービス株式会社
代表取締役社長
丸山 満彦

有限責任監査法人トーマツに入社後、米国勤務を経て帰国したのち、リスクマネジメント、コンプライアンス、情報セキュリティ、個人情報保護関連の監査及びコンサルティングに従事。2014年より現職。国土交通省・厚生労働省の情報セキュリティ関連の委員会等の委員、日本情報処理開発協会ISMS技術専門部会等の委員を歴任。2012年3月末まで、内閣官房情報セキュリティセンター情報セキュリティ指導官を兼務。

──多くの日本企業が働き方改革に注力していますが、働く時間や場所の自由度を高めることは、同時にセキュリティリスクの増加にもつながります。その際、ITセキュリティ対策の考え方にはどのような変化が求められるのでしょうか。

丸山 働き方改革は、言わば従業員の労働について「場所と時間への依存をなくす」ということですが、セキュリティについても同じことが言えます。多くの企業では、従業員は「社内で規定の時間内に働く」という前提でセキュリティが設計されていました。

しかし、従業員がオフィスの外でいつでもどこからでも仕事をするようになると、場所と時間に依存した従来のセキュリティ対策では想定していなかったリスクに直面することになります。例えば、カフェで書いていた取引先へのメールをのぞき見られる、離席中に端末を勝手に操作される、端末自体を盗まれて中のデータが抜き出されてしまう、といったリスクが高くなるわけです。

──では、「場所と時間に依存しないセキュリティ」を実現するためには、どのような手法が考えられるでしょうか?

丸山 個々の従業員が使用する端末単位での対策が必要になります。これをエンドポイントセキュリティと言います。従業員が使用するすべての端末に、情報漏えいや不正侵入の入り口となる可能性があるわけですから、エンドポイントセキュリティを強化するのは必然と言えます。

これまでのセキュリティ対策では、ネットワークの防御が重視され、エンドポイントはおろそかにされてきました。つまり、社内から外部への情報漏えい、あるいは外部から社内への侵入に神経を尖らせる一方で、個々のPCについてはアンチウイルスソフトを入れておけばそれでよしという風潮です。

しかし、基本的に既知のウイルスやマルウェアしか検知できない一般的なアンチウイルスソフトでは、次々と新種や亜種が出現する昨今の状況には対応できません。これからは、ネットワークもエンドポイントも含めたトータルでセキュリティを考えることが強く求められるのです。

九嶋 同感です。日本だけでなく、世界のトレンドを見ても人々の働き方が大きく変わりつつあります。そうした国々の企業もまた、オフィスや勤務時間に縛られない働き方のメリットを追求する一方で、オフィス内と比べて社外でのセキュリティが脆弱になりがちな点が課題視されています。HPとしても、そうしたグローバルの動向を踏まえて、ワークスタイルの多様化が進むことで求められるさまざまなセキュリティ機能の開発を進めているところです。

PC画面の“のぞき見”の成功率は想像以上!?
コラボレーションも想定して効果的な対策を

九嶋 俊一 氏
株式会社 日本HP 執行役員
パーソナルシステムズ事業本部長 兼
サービス・ソリューション事業本部長
九嶋 俊一

1988年横河・ヒューレット・パッカード入社。コンサルティング営業本部長、クライアントソリューション本部長、テクノロジー・ソリューション統括本部長などを経て、2015年より現職。

──オフィス外でPCを用いて仕事をすることで生じてくるセキュリティリスクとして、具体的にどのようなものが挙げられますか。

丸山 大きく2つが挙げられます。まず1つ目は、PCが盗まれるという物理的なリスクです。ここで問題なのは、ハードウェアではなくその中身。ストレージに記録されているであろう、業務に関わる情報の価値は計り知れません。そのため、盗難された場合に備えてPC内のデータをリモートで暗号化や消去できるようにするなどの対策が非常に重要になるのです。

そしてもう1つのリスクは、先ほども触れたのぞき見、セキュリティ用語でいう「ショルダーハッキング」による情報漏えいですね。

──確かに、のぞき見されるリスクはオフィス内とは比べ物にならないでしょうね。この点は、海外ではどうなのでしょうか。グローバルに製品を展開しているHPとしてはいかがですか?

九嶋 当社ではのぞき見のことを「ビジュアルハッキング」と呼んでいますが、人口密度が高い日本のほうが、諸外国と比べてもリスクが高いのではと見ています。例えば出張などで新幹線に乗っているとき、隣で仕事をしているビジネスマンのPCの画面がつい目に入る、という経験をした人は多いでしょう。

また、特に東京や大阪などは人口が多い都市では、カフェのような場所で周りは知らない人だらけという状況が当たり前になっています。しかしながら、隣の席にいる人にもし悪意があれば、途端にリスクが大きくなるわけです。世界の被害ケースを見てもビジュアルハッキングの成功率は非常に高いので、私たちが考えている以上に対策を強化する必要があると感じています。

──のぞき見防止と言えば画面に貼り付けるシートを連想しますが、ほかにPCの機能などで実現できることはあるのでしょうか?

九嶋 データを守る機能としては、PC内蔵型のプライバシースクリーン機能を当社の法人向けモデルで提供しています。画面に貼るプライバシーフィルターを、ソフトウェアで実現した「HP Sure View」という機能です。この機能を有効にすると、画面に対して水平方向で35度以上の角度がつくと、白濁して見えなくなります。

この機能を「F2」キーで素早くオン/オフできる点がポイントで、例えば、ミーティング中に複数人で画面を見たいときはオフにし、カフェやシェアードオフィスなどで使用するときはオンにするといったことが可能です。また、シートタイプのフィルターだと、タッチスクリーンの感度が悪くなるケースもありますが、この機能ならその心配もありません。

丸山 シートタイプのフィルターは剥がしたり貼り直したりするのは簡単ではないので、ファンクションキー1つで切り替えられるというのは便利ですね。テレワークやリモートワークというと、カフェや自宅で1人で仕事をするというイメージが強いですが、その次のステップとして、一緒に働きたい人と、その時その場所でコラボレーションできることが必要になってきます。

例えば、複数の企業・団体でアライアンスを組もうという話になったとき、全員にPCの画面を見せて説明するような場面が出てくるでしょう。そうなると、1人での仕事用の画面とコラボレーション用の画面をワンタッチで切り替えられるというのは、かなり重要な機能と言えるかもしれません。

プライバシーフィルター機能「HP Sure View」

日本HPの「HP EliteBook x360 1030 G2」が搭載する「HP Sure View」は、画面の視野角をソフトウェア的に変える機能。周囲の人に見せる・見せないをワンタッチで切り替え可能

──なるほど。ところで、のぞき見のリスクとしてもう1つ、IDやパスワードといった情報の漏えいがあるかと思いますが、その点についてはいかがでしょうか。

丸山 確かに、IDやパスワードは手の動きからも推測することができるので、画面のフィルターだけで安心とは言い切れない部分がありますね。

九嶋 そうですね。最近ではスマホなどでPCログイン時の様子を撮影しておいて、後から映像を解析して打ち込んだパスワードを割り出すといった手法も出てきています。そうなると、IDやパスワードを「打たない」というのが対策の基本となります。その代わりに、指紋やスマートカード、顔認証といった物理認証を組み合わせた多要素認証が注目されているわけです。

そこで当社では、「HPマルチファクタ認証」という多要素認証機能をPCに搭載しました。この機能を使えば、例えば、指紋とFeliCaなどのICカードといった7つの要素から2つを同時に利用可能となり、ユーザーの本人確認を強化できます。設定も容易で、管理者が簡単な設定画面から利用する要素を2つ選ぶだけです。

丸山 特に指紋認証はスマホでも一般的になり、コストが下がって普及が進んでいますね。安全性の高さだけでなく、タッチするだけで認証が済む便利さも人気なのでしょう。

ブラウザー経由のマルウェア感染は仮想化技術を応用した「隔離」で対処

丸山 満彦 氏 、九嶋 俊一 氏

──のぞき見や盗難のほかに、マルウェアへの感染リスクというのはオフィスの中か外かにかかわらずつきまとってきます。もしもマルウェアに感染した場合に、被害を拡大させないためにはどのようなアプローチが有効でしょうか。

丸山 わかりやすいのは、人間がインフルエンザなどのウイルスに感染した時と同じで、とにかく隔離することです。ネットワークを、最悪感染してもいいエリアと、絶対に感染してはいけないエリアとで分割するというのも1つの手でしょう。

九嶋 すべてのマルウェアを完璧に防ぐというのはなかなか難しいのですが、マルウェアの最大の感染ルートである不正なWebサイトへのアクセスを分離するだけでもかなり防ぐことができます。そうしたアプローチをとっているソリューションが、「HP Sure Click」です。

不正なWebサイト閲覧によるマルウェア感染からPCを守る機能で、CPUの仮想化支援技術を利用し、ブラウザーのタブごとのセッションを完全に独立したマイクロ仮想マシン内で実行します。そのため、マルウェアなどが組み込まれたサイトを閲覧した場合でも、ブラウザーのほかのタブ、アプリ、OSに影響を及ぼすことはありません。感染しても、該当するタブを閉じるだけで、マルウェアが自動的に除去される仕組みです。

丸山 タブ単位でリスクを分離できるというのは仕事をするうえでもかなり便利でしょうね。

Webブラウザーによるマルウェア感染拡大を防止する技術

HP Sure Clickに保護されているパソコン
						HP Sure ClickはCPUレベルまで隔離されたマイクロVM上でブラウザを実行

「HP Sure Click」はWebブラウザーの各タブを独立した仮想マシンで実行することで、感染の拡大を防止する技術。万が一マルウェアに感染しても、そのタブを閉じることでマルウェアも消滅する

──マルウェアと言えば、今年6月頃に世界中で猛威を振るったランサムウェア「Petya」は、OSだけではなくMBRも攻撃するという極めて防御が難しい性質を持っています。このようなマルウェアは今後も増えていくのでしょうか?

丸山 実は、BIOSやMBRなどのファームウェアを狙ったマルウェアというのはかなり以前から存在していたのですが、技術的に難しかったこともあり数は少なかったのです。それがここにきて増加の傾向を見せており、そうした傾向は今後も続くことが予想されます。

なぜなら、ファームウェアへの攻撃というのは、OSよりもさらに深層の部分で行われるため、発見されにくいうえに大きなダメージを与えやすいからです。攻撃を受ける側からすれば、ハードウェア側で防御しないことにはどうしようもないというのが現実です。

九嶋 IoTのセキュリティという見地からも、ファームウェアのセキュリティ対策というのは今後大きなテーマとなってくるでしょうね。HPとしてもこの点を重視しており、「HP BIOSphere Gen3」という自社製のBIOSを法人向けPCに搭載しています。その主な機能としては、BIOSの保護機能、紛失盗難時に内蔵ストレージのデータを完全消去する機能、ブート領域(MBR/GPT)の破壊からデバイスとデータを守る機能があります。

さらに、BIOS攻撃時の自己回復機能「HP Sure Start Gen3」搭載の機種であれば、悪意あるBIOS設定項目の変更の防止、BIOSを経由した特権メモリ領域へのアクセスによるファイルやアプリケーションの不正利用も検知し、正常な状態に復元します。

MBR/GPTへの攻撃を防御する「HP BIOSphere Gen3」

ウイルスを含むファイルを添付したE-mailによる標的型攻撃→添付ファイルを開くとウイルスがMBR/GPTを削除。MBR/GPTの自動修復機能がなければそのまま起動不可だが、HP BIOSphere Gen3 によるMBR/GPT保護があれば、起動時にMBR/GPTを復元して正常起動できる。

OSよりも下の層であるMBT/GPTを狙った攻撃は、防ぐことが難しいうえに、攻撃を受けてしまうとPCが使用不能になる。「HP BIOSphere Gen3」は破壊されたディスク領域を自動的に検知・修復し、すぐにPCを利用できるようにする機能だ

丸山 攻撃を受けたとしても、データの漏えいを防いだり、システムを修復できたりするというのは、リスクマネジメントはもちろんのこと、事業継続の点でもとても効果が大きいですね。

──働き方改革以後のセキュリティを考えるうえでは、エンドポイントの守りに着目することが不可欠という訳ですね。最新のソリューションを活用して、従来からあるリスクと、新たに生じるリスクの双方に対応することが理想的と言えそうですね。ありがとうございました。

  • 不正アクセスや PC の乗っ取りは
    多要素認証でシャットアウト!

    多要素認証機能を強化した HP Elite シリーズ
  • プライバシーフィルタ搭載の PC なら
    画面をのぞき見される心配なし!

TOPへ