日本ヒューレット・パッカード(HPE)は4月15日、包括的なセキュリティイノベーションとしてハイブリッドメッシュファイアウォール「HPE Juniper Networking SRX400」シリーズなどを発表した。同日にHPE SASE ネットワーキングセキュリティSVP兼GMのデビッド・ヒューズ氏が来日し、説明を行った。

HPEが掲げる「全方位統合セキュリティ」とは

同社では、自己修復や自己最適化、リアルタイム補正により、ユーザー、エージェント、GPU、IoTに対する体験保証を含む自律運用をコンセプトとした「セルフドライビング・ネットワーク」を掲げている。

  • HPEでは「セルフドライビング・ネットワーク」を掲げている

    HPEでは「セルフドライビング・ネットワーク」を掲げている

冒頭、ヒューズ氏は「われわれは、ArubaとJuniperのテクノロジーを統合し、ワールドクラスのネットワークソリューションを提供しようとしている。HPEのネットワーキング事業は約110億ドル規模のビジネスとなり、その中で全方位統合セキュリティ(Integral Security)という考え方を重視している」と述べた。

  • HPE SASE ネットワーキングセキュリティSVP兼GMのデビッド・ヒューズ氏

    HPE SASE ネットワーキングセキュリティSVP兼GMのデビッド・ヒューズ氏

全方位統合セキュリティとは、設計段階からセキュリティを組み込むことであり、ネットワークをセキュリティセンサ、制御基盤として活用し、大規模組織のネットワークチームとセキュリティチームの協調を可能にするものとなる。改ざん防止、盗聴防止、被害範囲の最小化、ラテラルムーブメント(横展開攻撃)の阻止、マルウェア&ランサムウェア対策の5つの要素を持つ。

改ざん防止では、サプライチェーン全体を通じてデバイスを保護。セキュリティに関する証明書や暗号化キーなどを安全に格納するセキュリティチップであるTPM(Trusted Platform Module)をルートオブトラストとし、Secure Bootやコード署名、セキュア開発プロセスを用いる。

盗聴防止はIPsecやMACsecなどの暗号化を中心とし、将来の脅威に備えて耐量子(ポスト量子暗号)への大規模な取り組みも進めている。被害範囲の最小化では、ネットワークセグメンテーションにより侵害を封じ込め、仮想ルータ、VLAN、マイクロセグメンテーションなどを活用し、キャンパス/拠点からデータセンター、キャリアネットワークまで対応するという。

ラテラルムーブメントの阻止については、認証情報を盗まれた攻撃者の横展開を防ぎ、ユニバーサルゼロトラストとして、ゼロトラストネットワークアクセス(ZTNA)、ネットワークアクセスコントロール、感染端末の隔離、ファイアウォール制御を実施。

マルウェア&ランサムウェア対策では高度な脅威対策により、マルウェアの検知、情報漏えい防止、エンドポイントの包括的監視を行い、対象は人、IoT、ワークロードに加え、将来的なエージェント型IDまで含まれる。

  • 全方位統合セキュリティ(Integral Security)の概要

    全方位統合セキュリティ(Integral Security)の概要

ゼロトラストをエッジから実装、HPEにおけるネットワーク主導の差別化

全方位統合セキュリティは、ゼロトラストを原則としている。ヒューズ氏は「ベースラインは“Default Deny(デフォルトで拒否)”であり、すべてのアクセスを原則的にブロックする。セキュリティ部門が管理するポリシーにより、ユーザーやIoTデバイス、エージェントごとのアプリケーションやデータアクセスを明示的に定義し、セキュリティチームが定義・監査したグローバルポリシーをネットワークチームが管理するインフラに適用する。この考え方自体は珍しくないが、HPEには大きな差別化要因がある」と話す。

HPEの差別化ポイントとしては、キャンパスや拠点でユーザーやIoTに直接接続しており、工場のどの場所か、どういう接続かといった物理的文脈やMACアドレスなどのレイヤー2情報を把握できることから、IP情報しか見えないクラウド専業ベンダーにはない強みだという。

加えて、アクセスポイントなどエッジで即座に脅威を遮断できるため、トラフィックを一度クラウドに戻す方式に比べて、速度・耐障害性の面で優れているほか、オンプレミスとクラウドの両方を組み合わせることで、遅延やコスト、ヘアピン構成による障害リスクを削減できるという。

そのため、全方位統合セキュリティは「共有された可視性」「グローバルポリシー」「エッジからクラウドまでの一貫したエンフォースメント」「動的な検知&対応」「AIによる自動運用」という5つの特徴を持ち、ポートフォリオは「Unified SASE」「Hybrid Mesh Firewall」「Universal ZTNA」の3本柱で構成。

  • 全方位統合セキュリティのポートフォリオ

    全方位統合セキュリティのポートフォリオ

小規模拠点向けに強化された「SRX400/440」、AI活用とセキュリティ統制を両立

今回、発表したファイアウォールのSRX400/440シリーズは、キャリアグレードのセキュリティ機能を小規模拠点や設置スペースに制約のある環境に拡張し、強固な保護機能を持つハードウェアにより、コアからエッジまで標準化されたセキュリティ体制の実現を支援する。

  • 「HPE Juniper Networking SRX400/440」の概要

    「HPE Juniper Networking SRX400/440」の概要

改ざんへの耐性を強化し、デバイスの完全性の確保を支援し、コンパクトな筐体で高性能と運用管理の効率化を実現するとのこと。リモート拠点が組織全体のセキュリティ戦略における弱点を防ぐことを支援。

また、新しいコントロール機能により、AIアプリケーションの利用状況を即座に把握できるほか、ワンクリックでのアクセス制御や、未承認・高リスクAIサイトへの事前遮断を可能にし、分散環境におけるAI活用の統制とガバナンスの強化が図れるという。

データ損失を防ぐため、セキュリティチームはプロンプトレベルでの検査を実装できるようになり、キーワードのフィルタリングや外部AIツールへのファイルアップロードの制御を行いつつ、業務を妨げることなく承認されたアプリケーションを利用できる環境を実現。物理環境、仮想環境、コンテナ環境を含むすべての環境にわたり、統合されたセキュリティファブリックを提供する。

さらに、セキュリティポリシーはデバイス単位にとどまらず、ユーザーおよびワークロード単位にも適用され、分散環境全体で一貫した統制とガバナンスを可能としているほか、複雑なセキュリティ運用ワークフローを自動化することで、セキュリティ運用を簡素化し、ベストプラクティスに沿った対応を可能にするとのこと。

  • 「HPE Juniper Networking SRX400/440」はAI脅威に対応するという

    「HPE Juniper Networking SRX400/440」はAI脅威に対応するという

そのほか、強化されたチャットボット機能で手順に沿った支援やオンデマンドの構成ガイダンスを提供し、基本的なトラブルシューティングにとどまらない運用支援を可能としている。

HPE Threat Labsが示す脅威の現実、「In the Wild」レポートから見える防御

一方、研究から得た知見を実装につなげるため「HPE Threat Labs」を立ち上げ、ネットワーキング分野のテレメトリーや専門知見を取り込み、リアルタイムかつAIネイティブな脅威インサイトの強化に取り組んでいる。

同ラボでは、2025年1月1日~12月31日までの期間に世界中で観測された1186件のサイバー攻撃キャンペーンを分析したサイバー脅威に関する調査レポートとして「In the Wild」を公開。

  • 調査レポート「In the Wild」の概要

    調査レポート「In the Wild」の概要

調査結果によると、攻撃者エコシステムが高度な専門性・自動化を備え、戦略的にターゲットを定めて攻撃を行う産業的な形態へと進化している実態を示しているという。

攻撃者は既知の脆弱性につけ込むとともに、攻撃基盤を再利用することで、社会的影響の大きい業界・分野を狙った攻撃を効率的に展開しており、攻撃活動は大規模化・組織化・高速化していることが明らかになった。

効果的な防御対策の実現には、単にセキュリティツールを追加することよりも、ネットワーク全体にわたる可視性、連携、対応力の強化が重要であることを強調。

脅威インテリジェンスの共有、ゼロトラストの適用、AIネイティブな検知に加え、自宅環境やサプライチェーン環境を含めたセキュリティ対策の拡張を通じて、リスクの低減と、高度化・組織化が進む脅威への対応力を高めることが提言されている。

ヒューズ氏は「Juniperの知見とHPEのリソースを統合し、脅威調査、脆弱性発見、製品強化、運用を担う。今後、自律型ネットワークと全方位統合セキュリティにより、さらなる価値提供と成長を目指す」と述べ、プレゼンテーションを結んだ。