「ゼロトラストに基づくエンドポイントセキュリティ～組織の最大の脆弱性「人」へのサイバー攻撃に対する新しい解決策～」

＜はじめに＞

HPというと、ハードウェアの会社というイメージを持たれることが多いかもしれない。しかし、実際にはハードウェアなどの事業と並び、セキュリティ分野にも力を入れてきた。

弊社のセキュリティ分野における歩みは古い。20世紀の終わり、インターネットをビジネスに利用しようという動きが生まれた頃から、主にハードウェアやサーバー、パソコンといったエンドポイントのセキュリティ確保に努めてきた。現在ではセキュリティのラボを持ち、NISTやISOと協力しながら最新のテクノロジーの開発・標準化に邁進している。特に、最近では仮想化技術の利用に力を入れており、元Bromiumのイアン・プラットのチームが中心となってセキュリティ製品の開発を進めている。

今回は弊社がこれまで研究・開発を進めてきたエンドポイントのセキュリティについてお話ししたい。

＜注目すべき脅威の動向＞

HPでは昨年、先進国7カ国でエンドユーザーやIT部門の方を対象に、コロナ禍における働き方の変化についての調査を行った。その結果は、「目に見えないところで軽視されるセキュリティ」をはじめとするレポートの形でまとめられ、公表されている。これらの調査を通して、我々はウィズコロナの時代におけるセキュリティの課題に関するさまざまな気づきを得ることができた。

1つ目の発見は、生産性とセキュリティの両立という問題がコロナによって先鋭化したことである。コロナの影響で働き方が変わり、在宅勤務などに対応するべくIT部門はセキュリティポリシーの強化を行った。しかし、セキュリティの強化は、ともすれば生産性の低下につながるという側面もある。現場のエンドユーザーからの反発は大きく、IT部門の疲弊を招いた。またITリテラシーの高い若いユーザーはリテラシーが高いゆえに、セキュリティポリシーを無視して業務効率化に走ってしまうという傾向もあったようだ。生産性とセキュリティの両立という問題は今に始まったことではないが、コロナによって働き方が変わって先鋭化したような印象がある。

2つ目の発見は、攻撃者の行動の変化である。攻撃者は一般的に人間の脆弱性を利用してシステムへの攻撃を行うものである。しかし、最近では以前にもまして、人間の行動の裏をかくタイプの攻撃が増えている。セキュリティ侵害のうち、85パーセントが人的な要素が関わっているというデータもある。技術的な攻撃ではなく、ITを悪用して人間をだますような攻撃が多い。その中でも圧倒的に多いのがフィッシングメールである。もちろん、企業側も人間にセキュリティのトレーニングを積ませることで対応しようとしている。しかし、そうした努力に関わらず、つねに攻撃者は我々の上をいっているというのが実状だ。人間の不完全さを取り除けない以上、それを前提にセキュリティを考えなければならないということが改めて浮き彫りになったといえよう。

3つ目の発見は、従来の検知ロジックで脅威に対応するのが難しくなっているということだ。攻撃者はセキュリティ製品を実際に買って試すことができる。現在のセキュリティは基本的にファイルや振る舞いから脅威を検知している。しかし、今の攻撃者はこうしたセキュリティの仕組みに詳しく、その裏をかいて攻撃してくる。また、現在の検知ロジックは脅威が既知になってから検知できるという仕組みになっているので、未知の脅威には対応できず、脅威の発生から検知までどうしてもタイムラグが生じてしまう。一方、インターネットとシステムの境界にあたるサーバーで脅威の進入を完全にくい止めることもできず、結果的に脅威の侵入を許してしまっている状況がある。

＜HPのソリューション＞

未知の脅威が既知のものになるまでタイムラグがある以上、既知の脅威を検出する検知ロジックによって脅威を防ぐことは不可能である。

そこで、HPでは検知ロジックに依存しない堅固なアーキテクチャーをエンドポイントに持ち込み、検知によらない防御を実現しようとしている。我々が検知によらない防御として選んだのは、CPUの仮想化機能を使った強固な隔離技術、仮想化技術によってマルウェアを封じ込めるというアプローチだった。OSの中に仮想化の技術を使って使い捨ての仮想マシンを作り、その中で添付ファイルなどを動かす。仮想マシンは他のアプリケーションやOSとは隔離されており、万が一仮想マシン内でマルウェアが作動してもOSやその他のアプリケーションに行くことができない。この仕組みによる隔離の特徴は、OSの下のレイヤーまで隔離されていることだ。そのため、隔離としては非常に強力である。これまで180億回以上隔離しても一度も破られたことがないというデータもあるほどだ。しかも、ファイルを閉じると同時にマルウェアごと仮想マシンを廃棄できるため、クリーンナップが楽というメリットもある。さらに、仮想マシン内のマルウェアの動きを観察し、ログを残して分析に役立てることも可能だ。

こうした特徴から、隔離と封じ込めという我々のソリューションは「ゼロデイ攻撃に強いソリューション」として外部の方に評価いただいている。

＜強固なセキュリティを実現するために＞

エンドポイントとネットワークに対して、横展開やラテラルムーブメントを避けるようなシステムをどう作るべきか。そのための指針を示したのが、NISTのガイドラインである。以下、その内容に沿って、セキュアなシステムを作るために必要なアプローチを紹介していきたい。

まず重要なことは、いわゆるサイバーハイジーンで、エンドポイントやネットワークの機器について適切な構成をし、アップデートをタイムリーにやっていくということだ。その上で、次にやるべきことが、攻撃者のゲームプランをかく乱することである。つまり、時間稼ぎをしたり、脅威を限定化したりして、被害を最小限に抑えるということだ。さらに、ログをはじめとするさまざまな情報を取得し、サイバー攻撃に対して先回りして手を打つことも重要である。

＜まとめ＞

使い勝手とセキュリティの両立は非常に重要な課題である。使い勝手を犠牲にしないセキュリティでないと、エンドユーザーが利用してくれないからだ。そもそもITは生産性をあげるためのもので、そこを大きく毀損するようなセキュリティは現実的なものとはいえないのではないか。

近年、攻撃者はますます人間の脆弱性というものを狙いにいっており、また従来行われてきたような検知による防御も難しくなってきている。HPはすでに20年以上前からセキュリティに積極的に取り組んでおり、イノベーションと標準化に力を入れてきた。特に、2019年以降、Bromiumの買収をきっかけにこれまでとは違ったレイヤーにセキュリティを進めている。

セキュアなシステムを作るために使われるセキュリティ技術にもさまざまなものがあるが、今回紹介した「アプリケーション隔離と封じ込め」という手法は、端末の中に脅威を限定するものである。今、サイバーセキュリティの世界でバズワードとなっている「ゼロトラスト」のコンセプトを端末の中で実現するものといえよう。こうして生まれたHPのソリューションは検知に頼らない防御を実現するものとなった。人間の脆弱性に対応しつつ、アプリケーションの使い勝手にも影響を与えないということで従来のセキュリティ製品とは一線を画するものになったと自負している。エンドユーザーも使いやすいセキュリティ製品を探しているみなさまのお役に立てれば幸いだ。

◆講演企業情報
株式会社 日本HP：https://www.hp.com/jp-ja/home.html