セキュリティマネジメント Summit
Summer 2021 - Review -
日本HP

ゼロトラストセキュリティに向けた新提案
隔離技術を活用したエンドポイント防御とは

働き方の多様化によって変化したユーザーの行動。そして、クラウドやモバイルの利用拡大によって拍車がかかった企業ネットワークとインターネットとの境界の曖昧さ。企業は新しいセキュリティ対策の実現に向けて動き出す必要がある。そこで、日本HPが提案するのが、検知に依存しない新しいセキュリティのアプローチである。このソリューションは、多くの企業が注目するゼロトラストセキュリティの実装にも有効になるという。具体的にどのようなアプローチなのか。

検知に依存した防御が抱える複数の課題

株式会社 日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ビジネス開発部 プログラムマネージャ 大津山 隆氏
株式会社 日本HP
サービス・ソリューション事業本部
クライアントソリューション本部
ビジネス開発部
プログラムマネージャ
大津山 隆
 先日、日本HPが運営するブログで興味深いレポートが公開された。タイトルは「Blurred Lines & Blindspots(曖昧になる境界とセキュリティの死角)」というもの。コロナ禍のワークスタイルと行動の変化がどのような脆弱性を生み出しているのかが調査データによって明らかにされたのだ。

 「これによれば76%の従業員がコロナ禍に伴う在宅勤務でプライベートと仕事の境界が曖昧になっていると回答しています。例えば、仕事用デバイスを自宅の子供など、他者に使わせたことがある従業員は30%に上っています」と日本HP の大津山 隆氏は述べる。

 この調査結果をIT部門の意思決定者にぶつけると、境界の曖昧さがセキュリティリスクにつながると懸念していると回答した人の割合は85%に上った。

 リスクを増大させているのはユーザー行動の変化だけではない。攻撃法も以前に比べてはるかに高度化している。

 例えば、メールにマルウエアを直に添付するといった単純な手法はほぼ見られなくなっている。最初の段階では正規のVBAやマクロを含むオフィスファイルをメールに添付し、それが実行されることでマルウエアの本体がダウンロードされるという手法は、もはや当たり前のように使われている。従来のようなシグネチャマッチングだけで攻撃を防ぐことは、もはや限界に近づいている。「攻撃者はシステムの脆弱性ではなく、ユーザーがうっかりとクリックしてしまうような『人間の脆弱性』を狙っていることを表しています。セキュリティ教育を行い、アンチウイルスを導入するだけで安心とはいえません」と大津山氏は話す。

 昨今、対策の主流になっている「検知に依存する防御手法」にも問題があると大津山氏は指摘する。ゼロデイ攻撃への対策が本質的に難しいからだ。

 検知に依存した防御方法は、攻撃者と防御者の関係が釣り合っていない。攻撃者は一度だけ検知の裏をかけば成功。それに対して防御者は100%検知を成功させなければ失敗だ。攻撃者は市販されているセキュリティ対策製品を購入して突破するための方法を試すことができるが、防御者は、いつどんな攻撃が来るか分からない。

 「攻撃者優位の環境が、43%の攻撃がアンチウイルスをすり抜けているという調査結果につながっているのでしょう」(大津山氏)

 検知型の防御はその運用にコストや手間がかかる。検知に失敗し、社内のどこかで感染したPCが発見された場合には、感染した端末をすべて洗い出し、ネットワークから隔離するという対応はもちろんのことだが、検知に成功したとしてもPCのリフレッシュを図るという運用をしている場合が多い。在宅勤務が広く浸透し始めた現在、これを実行するのは容易ではない。

使い捨て前提の仮想マシン内で
タスクを実行する

 このような課題に対応するため、HPは「HP Sure Click Enterprise」というソリューションを開発した。

 「これはアプリケーションの隔離と封じ込めを行う製品です。この考え方はおよそ5年前にNSA(米国国家安全保障局)が検証したものであり、米国国防総省も採用しています。このアプローチの利点は、復旧のためのクリーンアップがシンプルになることと、ゼロデイ攻撃への対処に有効だということです」と大津山氏は述べる。

 では、具体的にHP Sure Click Enterpriseとは、どのようなことを行うソリューションなのか。

 これは仮想化技術をセキュリティに応用したものであり、電子メールの添付ファイルやリンクのクリックなど、リスクの高いタスクごとに新しい仮想マシンを生成し、アプリケーションの隔離をすることでマルウエアを封じ込め無害化する。生成し、使用した仮想マシンはすべて使い捨てされ、その影響が後に残らない(図1)。  ポイントは、最新のWindows PCで利用可能なCPUのハードウエアレベルで仮想化技術を強化している点である。つまり「OSよりも下のレイヤー」で仮想化と隔離を行っているため、隔離の強度が高いのだ。仮想マシンはミリ秒単位で生成され、ホストから完全に隔離された状態でアプリケーションを実行。そのためユーザー体験を変化させることなく、安全性を確保できる。

 「例えばメールに添付されたExcelファイルをダブルクリックすると、その時点で新たな仮想マシンが立ち上がり、その中でExcelアプリケーションが起動されます。編集や保存も通常と同じように行えますが、保存されたファイルには隔離実行対象を意味する『ブルータグ』が付いており、次に開くときには必ず仮想マシンでアプリケーションが実行されます。なおHP Sure Click Enterpriseにはセキュアブラウザも装備されており、リンクをクリックした場合にも隔離された仮想マシンでセキュアブラウザが起動。ここでダウンロードされたファイルにも自動的にブルータグが付きます。生成された仮想マシンはアプリケーションを閉じた瞬間に消滅するため、仮にその中にマルウエアが存在していたとしても、復旧のための後工程は不要です」と大津山氏は強調する。

クライアントでのゼロトラスト実現が可能

 HP Sure Click Enterpriseには、もう1つ注目すべき特長がある。それは仮想マシン内に隔離したマルウエアを詳細に調査できるということだ。イントロスペクションという技術を使い、仮想マシンの外から中の挙動を観察できるのである。

 昨今、攻撃者側の工夫によって、サンドボックス内では動作しないマルウエアが登場しているが、HP Sure Click Enterpriseの仮想マシンは一般的なユーザー環境と区別がつかないためマルウエアの挙動を確実に捉えられる。

 実際、約5万人の従業員がいる米国企業で使用したケースでは、3カ月間に510の脅威を隔離。隔離後に脅威と判定されなかったものはわずか1つだけと極めて高い精度で防御できることが分かる。また509の脅威のうち31%は、過去に見つかったマルウエアとの照合に使うハッシュ値では検知できないものだった。実際は、仮想マシンの中に隔離しているので、被害は発生していないが、攻撃者が用意したC&Cサーバーと通信しようとしていたものも少なくなかったそうだ。

 「NIST(アメリカ国立標準技術研究所)の多次元サイバー防御戦略では、1次元目となる『空間に対する防御』、2次元目となる『時間に対する防御』、3次元目となる『システムのレジリエンス』という3段階のアプローチが提唱されていますが、HP Sure Click Enterpriseはこのうち2次元目に位置づけられるソリューションです」と大津山氏は説明する(図2)。  これは、ネットワークで行うゼロトラストネットワークアクセスに相当する対策をエンドポイントで行っていると考えると分かりやすいだろう。現在、多くの企業がゼロトラストセキュリティを実装するために様々な技術の実装に挑戦しているが、それらの技術とHP Sure Click Enterpriseを組み合わせることでニューノーマルに対応した強靭なセキュリティを実現できるのである。ゼロトラストセキュリティの実装をセキュリティの次のテーマに掲げているなら、HP Sure Click Enterpriseは見逃せないソリューションとなるはずだ。
資料ダウンロードはこちら
資料ダウンロードは
こちら
セキュリティマネジメント Summit
Summer 2021 - Review -
TOPへTOPへ
資料ダウンロードはこちら
資料ダウンロードはこちら
お問い合わせ
株式会社 日本HP URL:https://reinvent.hp.com/jp-thewolf-contactus