サイバー攻撃の脅威が増大するなか、その主な侵入経路であり、情報漏えいの発生起点でもあるエンドポイントセキュリティの重要性がますます高まっている。しかしながら、従来の検知型のセキュリティ対策だけでは、最新のサイバー攻撃を防ぐことができなくなりつつある。そこで今、注目されているのが、「ネットワーク分離」だ。本記事では、端末内アプリ仮想化により分離を実現する「HP Sure Click Enterprise」について解説する。
従来の対策では防ぎきれないサイバー攻撃が急増
DX(デジタル・トランスフォーメーション)が加速する一方、企業を取り巻くサイバーセキュリティ上の脅威もまた増大している。なかでも、事業継続に必要な情報の破壊や秘匿情報の漏えいといった被害を拡大しているのがランサムウェア攻撃であり、業務で使われるPCはそのターゲットとなっている。このため企業にはエンドポイントセキュリティの強化が求められているわけだが、その対策は一筋縄ではいかないのが現実だ。
なぜなら、こうした攻撃は常に新しい攻撃手法が開発されており、AV(アンチウイルス)をはじめとした従来のセキュリティツールでは防御が困難であるからだ。しかも、最新の脅威を踏まえた「ゼロトラストセキュリティ」を具現化するソリューションとして導入がすすむEDR(Endpoint Detection and Response)でさえも、対応が難しい点に注意が必要だ。
とりわけ、昨今見受けられるパスワード付きzipファイルを利用した攻撃や、500MBを超える大容量のファイルを送りつける攻撃は、AVなどによるマルウェアチェックをすり抜けてしまううえ、EDRでも事前の防御は期待できず、事後対応にも大きな工数が生じることとなる。こうした状況を踏まえれば、これからのセキュリティ対策には、これまで主流であった“検知”に依存した防御方法からの脱却こそが、まずは重要であるといえるだろう。
効果の大きい「端末内アプリ仮想化による分離」
このように、日々高度化・巧妙化し続けるサイバー攻撃から身を守るために、今、注目されているのが「ネットワーク分離」だ。
ネットワーク分離の方法としては、大きく「完全分離」「デスクトップ仮想化(VDI)による分離」「端末内アプリ仮想化による分離」という3つの方法が存在する。
このうち完全分離は、物理的にネットワークを切り分けることでマルウェアの侵入を防ぐアプローチである。この方法はセキュリティ的には非常に効果が大きい一方で、LANの系統分離などのネットワークが必要であり、PCやプリンターなどのハードウェアも二重投資が強いられることとなる。利用者にとっても、いちいち自席から離れ専用端末スペースへ移動する必要があるなど、利便性は著しく阻害されてしまうなど、デメリットも大きい。
続いてデスクトップ仮想化は、完全分離と違い各自の自席端末からそのまま利用可能であり、端末増設の必要もない。とはいえ、VDIサーバを含めた端末あたりのコストは高いため、特にユーザーの多い大企業ではコスト負担が大きくなりがちだ。また、VDIサーバ側のサイジングが困難であるなど、運用面での課題も多い。
これら2つのネットワーク分離方法のそれぞれのメリットはそのままに、デメリットが生じない方法が「端末内アプリ仮想化による分離」である。この方法であれば、VDIによる分離と同様、各自の自席端末からそのまま利用可能であり、端末増設の必要もない。加えて端末あたりのコストが低く、サーバのサイジングも不要だ。
「Micro VM」で攻撃面を最低限に抑える「HP Sure Click Enterprise」
「端末内アプリ仮想化による分離」を実現する製品はいくつか存在しているが、なかでもさまざまな側面において有効なソリューションとして注目したいのが、日本HPが提供している「HP Sure Click Enterprise」である。
HP Sure Click Enterpriseは、端末内で「Micro VM」と呼ばれる独自の仮想環境を立ち上げ、危険な感染経路を隔離して封じ込めるというアプローチでエンドポイントを防御する。このMicro VMで強化された高度な隔離技術は、業界最高レベルの強度を誇るものだ。実際、HP Sure Click Enterpriseはリリース以来100億回以上もマルウェアを隔離しており、隔離を破られたケースは一度もないという。このため、添付ファイルやブラウザからのダウンロードで侵入するEmotetであっても、HP Sure Click Enterpriseであれば100%防御することができるのだ。また、この技術は有力な仮想化技術であるXenプロジェクトをリードしたイアン・プラットが、そのノウハウを活かして独自に開発したものを採用しており、非常に信頼できるものだといえる。
HP Sure Click Enterpriseの堅牢な防御力の根幹ともいえるMicro VMは、ほかの「端末内アプリ仮想化による分離」ソリューションとは異なりPCのCPUとメモリだけで構成される。そのため、ネットワークに接続されていないスタンドアローン構成であってもエンドポイントの防御力が失われることはない。
Micro VMは、開いたファイルごと、ブラウザのタブごとに分離をする。この粒度の細かさもHP Sure Click Enterpriseの大きな特徴となっている。守るべきアタックサーフェス(Attack Surface:攻撃面)を極小化することで、ユーザーからみた利便性を最大限確保することができる仕組みだ。
また、これだけ粒度が細かいことから、1台のPCで非常に多くのMicro VMが稼働することになるわけだが、HP Sure Click Enterpriseの消費するリソース量は一般的なアプリケーションと変わらずPCのパフォーマンスへの影響はほとんどない。
エンタープライズで新たなセキュリティソリューションを導入するとなると、規模が大きいため導入、運用ともにコストも膨らみがちだが、HP Sure Click Enterpriseはそんな常識も大きく覆す。HP Sure Click Enterpriseであれば、導入は通常のアプリケーションと大きく変わらずハードウェアの準備は不要であり、運用ポリシーについてもクラウド環境の管理コンソールで設定できるため、拠点が多い環境であっても手間が生じることはない。また、ユーザーにとっては通常のPC使用時と何も変わりはないため、事前のマニュアルの準備や教育はほとんど必要なく、運用時に大きな負担となりがちなIT管理者への問い合わせ対応の心配も不要である。
当然ながら従業員のITリテラシー教育は重要ではあるが、日々巧妙化している攻撃手法に対応するのはどうしても限界がある。そうした利用者のITリテラシーに依存せずに脅威を封じ込められる点も、HP Sure Click Enterpriseならではのメリットだといえるだろう。
安全性維持と大幅なコスト削減、管理者の負荷軽減を同時に実現した国内事例も
HP Sure Click Enterpriseは、すでに国内の大企業や公共機関で導入が進みつつある。
ある地方公共団体では、既存のネットワーク分離環境の運用コストが課題となっており、日本HPとパートナーシップを組んでいるハイパーに相談したところ、HP Sure Click Enterpriseを提案された。同団体はハイパーによる手厚いサポートのもと、HP Sure Click Enterpriseを導入しスムーズな運用を行った。その結果、ハードウェアをはじめとした多くのIT資産の運用コストを大幅に低減することに成功。さらに付加価値として、以前に完全分離の環境を導入した際は、IT管理者のもとに1日何十件もの利用者からの問い合わせがあり負担となっていたのだが、HP Sure Click Enterpriseの導入直後は問い合わせ“ゼロ”であったことで、導入や運用に関する負荷が大幅に軽減され、本来の業務へとリソースを注げるようになったのである。
今後は国内の大企業や公共機関においてさらに導入が加速していくであろうHP Sure Click Enterpriseだが、そこには日本HPが開発する最新のテクノロジーが常に反映されており、ツール自体もまた進化し続いていくことだろう。
そして顧客に直接HP Sure Click Enterpriseを提供しサポートしているハイパーでは、この先もさらなるサービス改善が進められ、ますます利便性を向上させていくというHP Sure Click Enterpriseのビジョンのもと、アップデート情報をしっかりと紐解いたうえで、どのような運用ができるようになるか、どういったチューニングを施すことでさらに使いやすくなるかなど、利用者の目線でその時々に必要となる情報を確実に届け続けていく構えだ。
オラクル、Supermicroとの協業で進化する富士通のプラットフォーム事業
