脅威を「隔離」し「封じ込める」

PCのゼロトラスト化を強力に支援

脅威を「隔離」し「封じ込める」

PCのゼロトラスト化を強力に支援

脅威を「隔離」し「封じ込める」

PCのゼロトラスト化を強力に支援

　コロナ禍でビジネスパーソンの働き方は大きく変化した。HPの調査^※によれば、「仕事用デバイスを私的に使用した」と回答した在宅勤務の従業員は、グローバルで70％、日本では51％。コロナ禍前と比べ「より多くの企業データへ、より頻繁に自宅からアクセスしている」と回答した従業員もグローバルで71％、日本で57％という結果になった。また、攻撃者側もこの状況を把握しており、サイバー攻撃の件数はコロナ禍以前の238％に増加。特にフィッシング攻撃の割合が急速に増えているという。

　「加えて、エンドポイントセキュリティの重要性をネットワークセキュリティと同等に感じているIT部門の意思決定者は、グローバル／日本ともに90％を超えました。働き方はもう以前の状態には戻りません。エンドポイントセキュリティがこれまで以上に重要性を増すことは間違いないでしょう」と日本HPの渕上 弘士氏は語る。

　一般に、PCやプリンタなどのハードウエアビジネスを核とする企業と思われてきたHPだが、実はエンドポイントセキュリティの研究でも20年以上の歴史を持っている。英国にあるセキュリティラボで様々な研究を続けているほか、TPM（Trusted Platform Module）やBIOSといったハードウエア領域のエンドポイントセキュリティの標準化にも貢献してきた。「2019年には仮想化技術を強みとするBromium社を買収し、ソフトウエアセキュリティも幅広く提供できる体制を整備しました。この体制のもと、求められるエンドポイント対策を網羅した新ブランドとして、『HP Wolf Security』を立ち上げ、統合的なセキュリティポートフォリオを提供しています」と渕上氏は紹介する。

　多彩なラインアップの中でも、核となるソリューションの1つが「HP Sure Click Enterprise」（以下、Sure Click）である。

　クラウドやモバイルデバイスの普及、テレワークの進展などが進んだことで、現在のビジネス環境では、従来型の境界防御が効果を失いつつある。攻撃者の手法も高度化しており、ダウンローダー＋C&Cサーバーで境界防御を迂回したり、正規ファイルの悪用、1台のPCから横展開していくラテラルムーブメントなどを駆使した攻撃が増えている。このような状況では、リスクを水際で防ぎ切ることは困難であり、境界の内側を守る必要性が高まっている。

　「対応策となるのが“あらゆるデバイスや人を信頼せず、常に検証する”ゼロトラストですが、これは主に『個人認証』『アクセスコントロール』といった、ネットワーク側の対策を主眼に置くアプローチです。そこでHPは、このゼロトラストをエンドポイントにも適用したいと考えました。Sure Clickがこれを具現化します」（渕上氏）

　Sure Clickが行うのは「アプリケーション隔離」と「封じ込め」だ。Bromiumの仮想化テクノロジーを基盤に、メール添付ファイルの開封、Webブラウザやコミュニケーションツールといったアプリの立ち上げなどをPC内の隔離環境で実行する。これにより、たとえマルウエアに感染しても、そのリスクを仮想環境内に封じ込め、デバイスへの影響を極小化することが可能だ（図1）。 　具体的な保護のプロセスは次のようなものである。Sure ClickのクライアントモジュールをインストールしたPCでは、外部から受信したファイルや外部Webサイトへのアクセスを、すべてSure Clickが立ち上げた「Micro VM」内で実行する。Micro VMとは、最新のWindows PCに実装されたCPUの仮想化技術を使ってPC内につくられる仮想環境のことだ。メールの添付ファイルやWebのダウンロードページを開いたり、リンクをクリックしたりするたびに、毎回新たなMicro VMがミリ秒単位で生成される。この中で、ホストOSから完全に隔離された状態で、アプリケーションのインスタンスを実行するのである。

　「ユーザーが何かを意識する必要はありません。普通に仕事を進めるだけで、Sure Clickが勝手にMicro VMを立ち上げ、リスクに先回りした対応をしてくれます。万一、マルウエアが仕込まれたファイルを開いてしまっても、Micro VM内に隔離して封じ込めるため、OS領域に影響を及ぼすことはありません。PC内の重要情報を盗まれたり、ほかのPCへ横展開したりすることを予防できます」（渕上氏）。ファイルを閉じればMicro VM環境も破棄され、元の状態に戻るという。

　もちろん、受信したファイルは閲覧するだけでなく、ダウンロードや内容の編集・保存も可能だ。保存される領域は通常のデスクトップ上だが、信頼できないと判定されたファイルの場合はアイコンにマークが付いて区別される。このファイルを開くときは必ずMicro VMが立ち上がり、再び安全に実行される仕組みだ。

　「これまで、グローバルの様々なお客様環境において、80億以上のドキュメントやWebページを隔離し封じ込めてきました。現在までのセキュリティ侵害の報告はゼロ。エンドポイント保護ソリューションとしての信頼性がお分かりいただけると思います」と渕上氏は強調する。

　一例が、米国国防総省におけるPC55万台への導入事例だ。多くのサイバー攻撃を受ける組織のため、防御のフォーカスをネットワークからエンドポイントにシフトをし、EDR（Endpoint Detection and Response）とSure Clickの組み合わせを導入した。導入にあたり、想定される課題の1つにEDRの運用負荷増大があったという。そこで攻撃対象をできるだけ減らす狙いでSure Clickを導入。エンドポイントの守りを強化するとともに、後工程のEDRが発するアラートやログも削減し、セキュリティ運用全体の効率を向上させている。

　このように、Sure Clickが提供するアプリケーションの隔離と封じ込めは、仮想化技術というHPの強みを最大限に生かした、これまでにないアプローチの対策といえるだろう。さらに、Micro VM上でマルウエアを安全に観察できるという特性を生かせば、以降の対策強化につなげることも容易になる。このプロセスを担うのが、管理サーバーである「HP Sure Controller」だ（図2）。 　「脅威情報を集めて分析した結果を基に、管理者にメールでアラートを送ったり、各PCに設定やポリシーを適用したりするのが基本的な役目です。加えて、『HP脅威インテリジェンスクラウドサービス』をご利用いただけば、各PCで動作するファイルハッシュ値によるマルウエア検証と、HPのセキュリティプロフェッショナルによる分析を掛け合わせた、高精度な脅威分析が利用できます」（渕上氏）

　在宅勤務を中心としたテレワークや、オフィス勤務とのハイブリッドワークは、コロナ禍が収束しても引き続き重要な働き方の選択肢となるだろう。Sure Clickおよびこれを含めたHP Wolf Securityの多彩なラインアップは、新しい時代のビジネス成長とデジタルトランスフォーメーションを目指す企業に、大きな安心感を提供してくれるものといえそうだ。