日本HP

生産性と安全性を両立する
サイバー攻撃への新たな解決策

ますます多様化・高度化するサイバー攻撃。
一方、コロナ禍で広がったリモートワークにおける調査では、セキュリティーポリシーが軽視される傾向も見られるという。
様々な脅威にさらされているエンドポイントに対して、仮想化技術を用いてマルウエアを封じ込めるソリューションや、
一定レベルの安全を確保する調達手段など、生産性を犠牲にすることなく、
より確実に脅威から保護するための新たな解決策が紹介された。

注目すべき脅威の
3つの変化と従業員の行動

株式会社日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ビジネス開発部 プログラムマネージャ 大津山 隆氏
株式会社日本HP
サービス・ソリューション事業本部
クライアントソリューション本部
ビジネス開発部
プログラムマネージャ
大津山 隆
 近年サイバー攻撃はますます多様化・高度化している。特にここ数年の傾向について、日本HPの大津山 隆氏は、3つの変化に注目すべきと語る。

 1つ目は、ファームウエアへの攻撃の増加だ。セキュリティー対策が強化されたOSやアプリケーションを避け、ファームウエアやハードウエアといった下層レイヤーの脆弱性を狙った攻撃が増えているのだ。最近話題となっているサプライチェーン攻撃への足がかりとして攻撃してくるケースも増えている。

 2つ目が、事業の継続を妨害する破壊的な攻撃が目立つようになってきたことだ。ランサムウエアに代表されるように、システムやネットワーク全体を停止させる大がかりな攻撃が、より簡単にできるような犯罪者のエコシステムが形成されてきている。「このような攻撃へ対応していくためには、情報を保護するだけのセキュリティー対策から、事業の継続を見すえたセキュリティー対策へと考え方を変えていく必要があります」と大津山氏は語る。

 そして3つ目が、マルウエアの急速な進化だ。バリエーションをつくり防御の裏をかく技術が向上してきたことで、現在では1日に約35万種類の新しいマルウエアが生み出されているともいわれている。従来のパターンファイルによる照合・検知だけでは太刀打ちできなくなってきており、「検知による防御に依存しない対策が必要となります」と、大津山氏は注意を促す。

 一方、コロナ禍の中でリモートワークやハイブリッドワークの導入が進み、働き方は大きく変わった。それに伴い、セキュリティーに対する従業員の関心と行動にも大きな変化が見られるという。

 例えば、在宅勤務が増えたことで、仕事とプライベートの区別があいまいになってしまい、業務用のPCを私的に利用したり、家族など第三者に使用を許可したりするといったケースが増えている。業務においても、データが漏えいしかねない状況にさらされるよりも自分の業務の締め切りを優先したり、業務を容易に片づけるためにセキュリティーを回避しようとしたりと、生産性を優先してしまう傾向がこれまでより高まっているという。

 さらに、在宅勤務中に誤って疑わしいリンクをクリックしてしまった場合でも、会社への報告を怠ってしまうケースも見られるという。大津山氏によれば、70%以上の侵害はエンドポイントへの侵入から始まり、99%以上のエンドポイント攻撃はメールやWeb、チャット、USBメモリなどを経由していることから、非常に危険な状況にあると危惧する。

アプリケーションを隔離し
マルウエアを封じ込める

 これまで企業では、オフィスという監視や人の目が行き届きやすい環境で、疑わしいファイルは開かない、許可されたUSBメモリ以外は使用しない、何か問題があれば社内のセキュリティー窓口にすぐに報告するといったセキュリティーポリシーを設け、アンチウイルスなどの検知に基づくセキュリティー対策でサイバー攻撃に対応してきた。

 しかし、リモート環境ではそのようなセキュリティーポリシーが有効に機能しづらい。より厳格なポリシーを設ければ、業務の生産性を妨げる要因ともなりかねない。そのため、「セキュリティーポリシーによる人の行動制限に頼るのではなく、構造的に安全に仕事ができる環境を用意することで、セキュリティーと生産性を両立する必要があります」と大津山氏は述べ、その解決策の1つとして、「HP SureClick Enterprise」によるアプローチを紹介した。

 HP SureClick Enterpriseは、仮想化技術を用いて「アプリケーションの隔離と封じ込め」を行う点が最大の特徴。小さな仮想マシン(以下、マイクロVM)を生成し、ホストから完全に隔離してアプリケーションのインスタンスを実行できる環境を提供する(図1)。  マイクロVM中では本物のOfficeなどのアプリケーションが動作するので操作性は同一であるにもかかわらず、完全なアプリケーションの隔離実行が可能となる。そのため、マルウエアが動作してもホスト本体やほかのアプリケーションなどに一切アクセスすることができない。

 「Officeの個々のファイルや、Webブラウザのタブなど、小さな単位のマイクロVMがミリ秒単位で生成され、利用が終わればその都度使い捨てられていきます。ネットワークサンドボックスのように擬似的な環境ではなく、実行環境そのものがVMとなっているので攻撃者側に察知されることなく、安全に実行する環境を設けることができます」と、大津山氏は説明する。

 HP SureClick Enterprise下で実行されたマルウエアの行動は、「HP Wolf Controller」を用いて詳細に把握することが可能だ。HP Wolf Controllerでは、マルウエアがそのライフタイムの間に行ったアクティビティのすべてのイベントをトレースしたり、ネットワーク通信の詳細を表示したりすることができるようになっている。

 また、米国連邦政府が支援する、サイバー攻撃の戦術や技術を一覧でまとめているフレームワークナレッジベースのマトリクス(MITRE ATT&CK)を用いて攻撃者の意図を可視化することもできるという。

調達仕様の見直し、
脅威への対応力を高める

 HP SureClick Enterpriseによる「アプリケーションの隔離と封じ込め」によって、検知することができないような新規のマルウエアでも社内に拡がっていく(横展開する)ことを端末内で防ぐことができる。検知に基づくセキュリティー機構ではすべてのマルウエアを防ぐことができない現状において、多元的な防御を実現する手段となる(図2)。  一方、下層レイヤーを狙った攻撃に対しては、ファームウエアやハードウエアの脆弱性や構成・設定のミスを狙った攻撃から確実に防御し、安全な状態で稼働させ続けることが重要となる。「過去の攻撃への対応策は標準という形で業界に共有されているので、セキュリティー標準への準拠を調達仕様に取り入れれば、社内に専門家がいない組織でも一定レベルの安全を確保することができます。さらにセキュリティー標準への準拠はベンダーがセキュリティーを重視しているかの指標としてみることもできます」と大津山氏は語る。

 リモートワークの拡充や新OSへと対応するため、新たにPCを調達する機会は増えていくことが予想される。セキュリティー環境の変化へと柔軟に対応していくためにも、これからは製品の仕様やコストだけでなく、提供ベンダーが製品ライフサイクルを通じて安全性を重視しているかどうかも、重要な選定要件となってくるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
株式会社 日本HP URL:https://reinvent.hp.com/jp-thewolf-contactus