テレワークが普及し、オフィスを含むさまざまな場所で働くハイブリッドなワークスタイルが浸透しつつある。それに伴い、セキュリティの在り方も「ゼロトラスト」と呼ばれる新しいアプローチが注目されている。

9月10日に開催されたTECH+セキュリティセミナー「利便性と安全性の調和」では、日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ビジネス開発部 プログラムマネージャ 大津山隆氏が登壇。「ゼロトラストに基づくエンドポイントセキュリティ」と題し、ハイブリッドワーク時代に適したセキュリティの実現方法について解説した。

  • 日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ビジネス開発部 プログラムマネージャ 大津山隆氏

    日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ビジネス開発部 プログラムマネージャ 大津山隆氏

サイバー攻撃の現状 - 注目されるゼロトラスト

登壇した大津山氏はまず、昨今のセキュリティ事情について「クラウド利用の増加やモバイルデバイスの普及、コロナ禍での大量のテレワークなど、ビジネス環境が大きく変わる今、従来のセキュリティの中心だった『境界』の意味がなくなりつつある」と指摘。さらに、「サイバー攻撃は、正規の添付ファイル等を悪用いて侵入し、外部サーバと通信しながら感染を広げるなど、境界防御を迂回する攻撃が増えており、境界の中を守る必要性が高まってきた」と説明する。

そこで台頭してきたのは、ゼロトラストの考え方だ。これは「決して信頼せず、常に検証する」ことが基本となるもので、大津山氏曰く「セキュアなシステム設計を実現するためのものとして古くからある経験則をまとめ直し、エンタープライズのアーキテクチャに応用したものだとも考えられる」という。

ここで言われている“古くからある経験則”とは、セキュアな環境を実現するには「最小特権」「強制アクセスコントロール」「細かい粒度のセグメンテーション」「強力な個人の識別」などの原則を適用することが望ましいという考え方だ。

「従来ネットワークで行っていた対策もエンドポイントで行うようになっており、ネットワークの境界がエンドポイントに近づいてきているという見方もできます」

近年、サイバー攻撃は、多くの場合巧妙なフィッシングメールによる判断ミスを誘うといった人間の脆弱性を狙い、従来型の防御機構をすり抜けてくる。これに対抗するには、ゼロトラストの原則をエンドポイントに適用しながら、既存のセキュリティ対策を高度化していくことが必要だ。

そうした対策を行う際の新たな施策となるのが「アプリケーション隔離」と「封じ込め」だという。「アプリケーション隔離によってアタックサーフェスを削減することができ、マルウェアを「封じ込める」ことにより復旧時間を最小化でき、ハイブリッドワーク時代に適したセキュリティを実現していくことができる」と大津山氏は説明する。

ゼロトラストの原則をエンドポイントに適用する新しいアプローチ

アプリケーション隔離と封じ込めは、仮想化技術Xenプロジェクトの創始者であるイアン・プラット(Ian Pratt)氏が提唱した新しいセキュリティアプローチだ。2010年に米Bromiumを設立した同氏は、2019年に米HPがBromiumを買収したことに伴って、HPのセキュリティ事業責任者に就任した。

「このアプローチのポイントは、最小の権限付与や強力な個別識別、強制アクセス制御、細かい粒度の強力な隔離などを行うことで、ゼロトラストの原則をエンドポイントセキュリティに適用することにある」と大津山氏は説く。それぞれのタスクには、必要最小限のリソースのみが付与され、強力なデバイス認証とセキュリティ状態の測定、一元化されたユーザーの識別が行われることになる。

アクセスはデフォルトで拒否するアーキテクチャを採用し、リソースアクセス時には必ず認証を行う。隔離は、ハードウェアで強化された仮想マシンで実現する仕組みだ。

こうした機能を具現化した製品が「HP Sure Click Enterprise」だ。同製品では、電子メールの添付ファイルやWebサイトへのリンクを開くたびに、小さな仮想マシン「Micro VM」が起動し、その隔離された環境でOSやアプリケーションのインスタンスを実行することで、アプリケーションの隔離と封じ込めが行われる。仮想化技術は最新のWindows PCで利用可能なCPUハードウェアで強化され、ミリ秒単位でインスタンスを生成し、ホストから完全に隔離される仕組みだ。

「例えば、Eメールに添付されたExcelを開くと、そのExcelを開くためのMicro VMが生成されます。Excelはネイティブと同じLook&Feelですが、その状態ですでに完全に隔離実行されています。同様に、Wordファイル、PowerPointファイルもそれぞれが隔離環境で実行されます。Webサイトの場合は、ChromiumベースのSecure Browserが立ち上がり、そのなかでPDFなどを安全に閲覧することができます」(大津山氏)

HP Sure Click Enterpriseが実現する“プロテクション・ファースト”

このように、HP Sure Click Enterpriseでは、Microsoft Office関連のファイルなどを全て隔離環境で実行するため、そのファイルに脅威が存在するかどうかに関係なく、安全が確保される。

「例えば、Eメールに添付されたWordファイルにPower Shellを実行する疑似マルウェアが含まれていた場合、隔離環境でWordファイルを実行します。しかし、隔離環境なのでPower Shellが実行されてもVMの外に出ることはできません。もし、Micro VM内でOSがシャットダウンされても、ホストとなるOSに影響はありません。VMはその都度生成され、アプリケーションの実行が終わると破棄されます」(大津山氏)

ここで大きなポイントは、今までの検知を使ったツールと違い、検知のためのルール運用や検知後の隔離、環境の再インストールなどが必要ないということだ。ユーザーは生産性を落とさず業務を続けることができ、IT部門の業務負担が大きく増えることもない。また、隔離を行ったマルウェアなどの脅威がどのような振る舞いを行ったかについて詳細に分析し、その結果を管理ツールに表示することも可能だ。

「攻撃の実行をキャプチャし、アラートに関するサマリ情報や詳細なアクティビティを取得することができます。これらは管理ツールのコンソールから、イベントのタイプ、アクション、深刻度を表示したり、組織内のサマリとして表示したりすることが可能です。脅威に侵害されることなく、リアルタイムの脅威インテリジェンスを提供できるのです」(大津山氏)

脅威分析の手法として、隔離された攻撃の種別を分類し「MITRE ATT&CK」のTechniques(技術・手法)に従って整理して表示する機能も備える。このように隔離した環境で分析を行うことで、安全に攻撃者の意図を理解することができる。これらの機能が、アプリケーション隔離と封じ込めによる“プロテクション・ファースト”を実現しているわけだ。

大津山氏は、「ビジネスと脅威の現状に合ったセキュリティモデルが必要」だと強調。「HP Sure Click Enterpriseは、これまではできなかった『エンドポイントのなかで被害を限定化する』ことが可能なソリューション」だと総括し、講演を締めくくった。

[PR]提供:日本HP