AI時代のエンドポイント防御を再定義 - HPが“隔離”で実現するデバイスセキュリティ

ランサムウェアや標的型攻撃が常態化し、企業のセキュリティ対策は「侵入を防ぐ」だけでは不十分になりつつある。こうした状況下でHPは、攻撃を前提に被害を封じ込める「隔離」のアプローチを中核に据えたデバイスセキュリティを展開している。

今回、HP VP Enterprise Security Solutions セキュリティ部門グローバル責任者であるDan Allen(ダン・アレン)氏と、同Director of Research and Development Advanced ProjectのKris Uchronski(クリス・ウクロンスキ)氏に取材し、その中で同社が重視するデバイスセキュリティの設計思想について話を聞いた。

• 

  左からHP VP Enterprise Security Solutions セキュリティ部門グローバル責任者であるDan Allen(ダン・アレン)氏、同Director of Research and Development Advanced ProjectのKris Uchronski(クリス・ウクロンスキ)氏

AI時代に変化するエンドポイントセキュリティの前提

まずは、昨今のサイバーセキュリティにおけるトレンドについてからだ。アレン氏は「クラウドの利用拡大に伴い、データの保管場所や主権に関する懸念に加え、AIの普及が進展し、AIを用いた攻撃やユーザーがAIを安全に利用するための管理手法に対する関心が高まっています」との認識を示す。

AIの普及により、フィッシングなどで利用されるメールでは、言語の壁がなくなり文体の不自然さも以前と比べれば、かなり改善されたといえるだろう。同氏によると、気付くこと自体が難しくなっていることから、企業における従来型のフィッシング演習だけでは、効果が限定的になりつつあるとのことだ。

最近では、ユーザーがフィッシングメールのクリックやファイルのダウンロードなど、データ侵害の起点となる行動を起こすことが多いため、ユーザー保護が重要な課題になっているという。そのため、同氏はユーザーのPCは“サイバー空間の最前線”と位置付けているが、一般的なエンドポイントセキュリティは20年以上も変化がないと指摘。

アレン氏は「通常のエンドポイントセキュリティは、OSの起動後にアプリケーションを使い、PCを保護しています。しかし、PCのセキュリティがスタートするのは電源を押した瞬間からです。HPでは電源を押してBIOS、ファームウェアが立ち上がるプロセスから、すでに保護するという“隔離”の考え方です」と話す。

仮想化とハードウェアで実現する、HPの“隔離”によるデバイス防御

HPでは、エンドポイントセキュリティの統合ブランド「HP Wolf Security」の中核サービスとして、仮想化技術を活用したエンドポイントセキュリティ製品のSureシリーズでPCの隔離を実現。サプライチェーンやゼロデイ攻撃などの脆弱性に対して有効だという。ただ、他のEDR(Endpoint Detection and Response)やMDR(Managed Detection and Response)と比較した際に、どのような点で優位性があるのだろうか。

その点について、アレン氏は「考え方としては実行ファイルやダウンロードファイルなどを仮想環境に隔離して、ファイルを開きます。そのため、ゼロデイ攻撃を受けても隔離された仮想環境への攻撃のため、OSに影響を与えることがありません。サプライチェーン攻撃に関しては、高度な攻撃が可能な国家支援型グループの場合が多く、当社はBIOSを自社開発しているため、ハッキングできない設定にすることでハードウェアのレイヤから保護する仕組みがあります」と述べている。

• 

  アレン氏

ハードウェアのレイヤから保護するHPは、これを可能にする3つのポイントとして「ESC(Endpoint Security Controller)」「自社開発のBIOSとファームウェア」「プラットフォーム証明書」を挙げている。

ESCは、同社が開発したPCに搭載された物理的な専用セキュリティチップだ。CPUが起動する前に動作することでBIOSの改ざんを検知・自動修復することを可能としている。アレン氏は「CPUやBIOSに電源が供給される前にESCに供給するため、電源管理も行えるため万が一怪しい動きがあった場合にCPUやBIOSに電源を供給しないこともできます」と説く。

自社開発のBIOSとファームウェアについては、PCの電源を入れた際にOSの起動前にBIOSでは1億以上のコードを実行することから、悪意のあるコードを紛れ込ませる攻撃が可能なため、同社ではBIOSのコードの中に確認ステップを入れて、保護するコードを作成している。

プラットフォーム証明書は、工場出荷時のコンポーネント構成を証明書として発行し、ユーザーはPC受領時に証明書を比較することで、輸送中の改ざんの有無を確認できるという。

同氏は「PCの電源ボタンを押して、チップ、BIOS、ファームウェアを読み込み、OS、アプリケーションが起動してクラウドにつながりますが、われわれの技術はこれらのステップすべてを包括的に保護しているため、改ざんがあったとしても回復する能力があります。EDRやMDRを提供するソフトウェアベンダーは、すべてのステップを回復する能力を持ち合わせておらず、多層的に保護するという意味では当社しかできないと思います」と、同社独自の技術を位置付けている。

こうした技術に加え、MDM(Mobile Device Management)ソリューションの「HP Protect and Trace with Wolf Connect」は、PCの電源がオフの場合でもLTE-M(低消費電力広域ネットワーク)通信による管理を可能とし、インターネットに接続されていなくても遠隔からPCの管理コマンド(探索・ロック・消去)を受信・実行できる。

• 

  「HP Protect and Trace with Wolf Connect」の概要

アレン氏は「ESCが通信を担い、常にネットワークにつながっている状態であり、クラウドのコンソールでいつでもPCがどのような状態か把握できます。チップからクラウドまで、すべての階層でコントロールできるようになっているのです。これは、どこのベンダーにもできるものではなく、カスタムしたチップ、BIOS、クラウドのプラットフォームを有しているからこそ、実現できるのです」と説明する。

BIOSレベルから管理を変える「HP Sure Admin」

このように、高度化する攻撃に対して、多層防御でデバイスセキュリティに注力するHPは2026年春にSure Clickの仮想化隔離技術を応用し、強化されたセキュリティソリューションとして「HP Sure Admin」と「同Sure Access」の提供をそれぞれ予定している。

• 

  HPの包括的なセキュリティソリューションの概要

Sure Adminは、PCのBIOS設定やファームウェア操作など従来は最後の砦でありながらパスワード管理に依存してきた領域を、証明書ベースの認証に置き換えるためのセキュリティ機能。

BIOS管理者のパスワードは、使い回しや漏えい、引き継ぎ時の管理不備などがリスクとなりやすく、攻撃者に悪用されればSecure Bootの無効化や設定改ざんといった深刻な被害につながる。Sure Adminはこうした課題に対し、公開鍵暗号方式を用いたパスワードレスな管理を実現する。

具体的には、IT管理者が証明書を用いてBIOS操作を承認する仕組みを採用し、ローカル操作時もリモート操作時もパスワード入力を不要とする。現場でのBIOSアクセスには、スマートフォンアプリを用いたワンタイム認証が使われ、認証情報が端末側に残らない点も特徴だ。これにより、物理的に端末へアクセスできる環境でも、権限のない第三者による設定変更を防止できる。

OSやエンドポイントセキュリティのさらに下層であるBIOSレベルを保護対象とする点に特徴がある。ソフトウェア対策をすり抜ける攻撃が増える中、HPは管理者権限そのものの扱い方を見直し、ハードウェアに近い層から信頼の起点を再設計するアプローチを採っている。

Sure Adminについて、アレン氏は「Microsoft Entra IDと連携させれば、管理者が退職すれば無効にするだけでBIOSへのアクセス権を消去できるため、セキュリティが向上しますし、PCを回収せずにリモート設定を展開できることから、管理が容易になります。Entra IDのみならず、これはあらゆるブラウザアプリケーションの保護に利用できます」と説明する。

端末侵害を前提に重要操作を守る「HP Sure Access」

一方、Sure Accessは「端末が侵害されることを前提に、重要なシステムやデータを守る」という発想に基づいたエンドポイント向けのアクセス分離ソリューションだ。

一般的なセキュリティ対策では、管理者端末や業務PCがマルウェアに感染した場合、キーロガーや画面取得を通じて認証情報が盗まれ、基幹システムやクラウド管理画面へ被害が波及するリスクが残る。Sure Accessは、この“端末起点の横展開”を遮断することを目的としている。

特徴はサーバや管理コンソールへのアクセスを、PC上に生成される専用のハイパーバイザーであるマイクロ仮想マシン(MicroVM)内に限定する点にある。MicroVMはSure Clickでも利用されており、仮にホストOSが侵害されていたとしても、キーボード入力や画面表示は隔離された環境内で処理されるため、認証情報や操作内容が盗み取られることを防げる。

コピー＆ペーストやファイルの持ち出しといった操作も制御可能で、機密データの漏えい対策としても機能する。ゼロトラストの考え方をエンドポイント上で具体化した仕組みともいえ、ネットワークや端末を全面的に信頼せず、重要な操作だけを“隔離”することで、専用端末を用意せずに高い安全性を確保。

リモートワークや外部環境からの管理業務が常態化する中、HPはアクセス経路そのものを分離することで、被害の拡大を抑える現実的な選択肢を提示している。

MicroVMの開発に携わるウクロンスキ氏は「MicroVMは、いわゆるHyper-VやKVMといった一般的な仮想マシンとは異なり、当社の場合はセキュリティに特化したハイパーバイザーであり、自社のプロダクトのみに組み込んでいます。侵害され得る環境と重要な実行領域を分離する設計をベースとして、20年前から積み上げています」と自信を示す。

• 

  ウクロンスキ氏

また、アレン氏はSure Accessに関して「1台のデバイスにおいて、Windows上で管理者操作を行う際に、悪意のあるソフトウェアから保護できます。一般ユーザーがマルウェアに感染しても隔離された管理者の領域には影響が及びません」と話す。

Sure AdminとAccessの提供開始により、Sureシリーズは従来から提供しているStart、Click、Run、Recoverを加えて、6つに拡充される。

• 

  「HP Sure Admin」と「同Sure Access」の概要

AI PC時代に求められるエンドポイントセキュリティ

取材の終盤には、両氏に対してAI PCではローカルAIによるデータ取得・保持のあり方も新たなリスクとして浮上していることから、今後のエンドポイントセキュリティはどのように姿を変えていくのかを尋ねてみた。

アレン氏は「ローカルで実行されているAIワークロードを保護することに関して、それを推進するためのいくつかのテクノロジーに積極的に取り組んでいます。AIは非常に急速に変化する分野です。ありがとうございます。私たちの目標は、保護されたHPのハイパーバイザーを使用して分離と保護もできるようにすることです」と力を込める。

一方、ウクロンスキ氏は「本来収集されるべきではない他のAIツールによってデータが収集される可能性があります。実際、私たちの技術は、例えばWindows RecallのようなPC上で行っているすべての操作を記録するような環境が提供されています。共有したくない場合は、当社の隔離機能を使えばデータの収集を防ぐことができます」と強調していた。

侵入を完全に防ぐことが困難になった今、問われているのは侵入を前提にして“いかに封じ込めるか”だ。HPが掲げる隔離を軸としたデバイスセキュリティは、AI PC時代におけるエンドポイント防御の現実解として、企業の選択肢を広げるのではないだろうか。