エンタープライズレベルの
エンドポイントセキュリティ
+
脅威分析の可視化、他システムとの接続性、
詳細なカスタマイズ設定
HP Sure Click Enterprise
セキュリティでこんなお悩みありませんか
セキュリティソリューションを導入したことでパフォーマンスが著しく低下したり、操作フローが煩雑になっている
事後対策ソリューションを導入しているが、本来は防御などの事前対策に投資をしたい
攻撃を防ぎつつ、検出された脅威情報をリアルタイム/詳細に把握をしたい
最高レベルのセキュリティでマルウェアの脅威からPCを徹底保護!
有力な仮想化技術であるXenプロジェクトの
創始者イアン・プラットが、
仮想化技術ノウハウを活かし独自のセキュリティ技術を開発。
その技術をHP Sure Click Enterpriseに採用しています。
Head of Global Security
Dr. Ian Pratt
2020年7月28日オンライン配信
「経営戦略としてのサイバーセキュリティ
〜今そこに迫る危機。高度化するサイバー攻撃からいかに企業を守るか〜」
Ian Pratt(イアン・プラット)による特別セッション動画
なぜ、エンタープライズレベルのセキュリティが必要なのか?
マルウェア感染の94%は
Eメールの添付ファイルが原因
1万人規模の組織の場合、1年間に送受信されるマルウェアなどが混入しているメールは約2万通!
その内、既存のアンチウイルスで検知できないマルウェアは119件発生しており、
一般的なセキュリティだけでは、完全にマルウェアの侵入を防ぐのは困難となります。
その他にも…
リンクを踏むことによる感染
ファイルダウンロードによる感染
外部ストレージなどから
ファイルを開くことによる感染
主要な経路に対して
検知に依存しない100%の保護が必要です
HP Sure Click Enterpriseなら、
ファイルを仮想空間で実行し、隔離するため
マルウェアから完全に保護することが可能です
エンタープライズレベルで求められるエンドポイントセキュリティの
すべての機能を持っています
-
リアルタイムの
脅威隔離テクノロジー -
脅威の主要な
侵入経路を完全に防御 -
ワークフローへの
影響は最小限 -
脅威分析と
可視化 -
他のセキュリティ
システムとの統合 -
詳細ポリシー
を設定可能
エンドポイントセキュリティ強化方式の比較
| インターネット無害化 (仮想ブラウザ) |
デスクトップ仮想化 (VDI) |
アプリケーション隔離 (MicroVM) |
|
|---|---|---|---|
| インターネットアクセス時のLiveデータ保護 | 〇 | △ | 〇 |
| Eメール添付ファイル実行時のエンドポイント保護 | × | △ | 〇 |
| 保護(仮想)環境で開いたファイルの編集・保存 | × | 〇 | 〇 |
| 社外NWでの保護 | 〇 | △ | 〇 |
| 脅威の自動分析・可視化 | △ | × | 〇 |
| 常時NW接続不要 | × | × | 〇 |
| ネットワーク整備不要 | 〇 | × | 〇 |
| サーバーのサイシング不要 | 〇 | × | 〇 |
| 端末増設不要 | 〇 | × | 〇 |
| 導入コスト | 小 | 大 | 小 |
| 利便性 | 中 | 中 | 高 |
| 保護(隔離)対象 | WEB | 電源Off時のローカルデータ | 信頼されていないWEB、Eメール。その他、信頼されていない社内既存ファイル |
| 特徴 | 既存のインフラを大きく変更することなく導入することができるため、物理的なネットワーク分離の代替として数年前からシェアを伸ばしてきているエンドポイントセキュリティ。WEBをイメージ化して「無害化」する、最も一般的な攻撃侵入経路であるメール添付ファイルは「削除」するなどの対応となり、実際に業務で使用するには大きな制限がかかる。 | 電源オフの時に端末にデータが残らない為、紛失・盗難対策としては有効。電源On時ネットワーク接続をして業務を行う際のLiveデータは保護されていない為、通常PCと同じくセキュリティ対策が求められる。また高価な導入コストに対して利便性の低下が著しいことが新たな課題となっている。 | ブラウザやOfficeなど通常のアプリケーションをOS上のマイクロVMで実行するため、操作は全く変わらず、従来の利便性が確保される。ネットワーク整備や端末増設なども不要で導入コストは他ネットワーク強靭化ソリューションと比較して大きく低減される。隔離環境でマルウェアなどが活動した際のトレースや分析・可視化も自動化されており、サイドボックスやEDRに近しい機能も有する。 |
アプリケーション隔離技術
Eメール添付ファイル、Webブラウザ、チャットアプリ、USBメモリ経由のダウンロードファイルを
PC内仮想空間で動作させて予防します。
HP Sure Click
Advanced
アプリケーション毎に
マイクロVM内で
隔離して動作させる。
CPUの仮想化支援機能「Intel Virtualization Technology(Intel VT)」や
「AMD Virtualization(AMD-V)」を活用し、オーバーヘッドを極力軽減することにより、
システム負荷を抑えます。
- Windows PCのハードウェアレベル仮想化技術を使用
- メモリ内にマイクロ仮想マシン(VM)を瞬時に作成し、単一のアプリケーションを隔離して実行
- マイクロVMは都度生成の使い捨てでアプリケーションが終了する際に同時に消滅
- 信頼できるファイルとリンクは通常どおり実行されるが、信頼されないファイルとリンクは「コンテナ」に隔離され、マイクロVMで実行
ネイティブアプリケーションと変わらない操作性
感染リスクがある一つ一つの操作に対して、独立したマイクロ仮想環境(MicroVM)を生成しエンドポイントのPCを完全に保護します。
ファイルの実行がPC本体上かMicroVM内なのか見え方に差はないため、普段どおりの感覚でファイルの操作が可能となります。
動画で実際の動作を見る
マイクロVM内でマルウェア実行と破壊
マイクロVMでのファイル実行と脅威分析画面
HP Sure Controller
可視化された脅威情報で管理工数を軽減します。
問題が発生した場合は、画面を見るだけで即座に状況を確認することが可能です。
マイクロVMの安全で隔離された環境でマルウェアの挙動をトレースし、リアルタイムに脅威情報の詳細をわかりやすく分析・把握することが可能です。
オペレーションダッシュボード
各脅威の個別分析情報
MITRE ATT&CKベースの脅威評価を含む
統合分析レポート
詳細なポリシー設定が可能
ポリシー設定をお客様環境に合わせて柔軟にカスタマイズすることが可能です
| 設定項目 | 概要 |
|---|---|
| Web Browsing | 信頼済サイトに関する設定やProxy認証、イントラサイトへのアクセス設定など |
| Secure Browser | マイクロVMで隔離実行されるChromiumベースのセキュアブラウザに関する設定 |
| Files | DLやメール添付等ファイルの信頼に関する設定 (ユーザーの信頼権限、自動信頼、ファイルハッシュによるアクセスブロック等) |
| User Interaction | ユーザー環境の設定 (エンドポイント構成変更時の再初期化、確認・警告ダイアログ表示、信頼できないファイルのアイコンへ視覚的なタグ付け、トレイアイコン表示等) |
| Security | ユーザーのファイル操作に関するBlock設定、リアルタイムの脅威データを提供する Threat Intelligence Cloud Serviceへのデバイスの接続許可、カット&ペーストの制限などクリップボードに関する設定、OUTLOOK受信メールへのProactive scanに関する設定等 |
| Manageability | 詳細な分離ログファイル、ポリシー更新やリモートコマンドチェックイン頻度、ライセンスキー表示等 |
| Monitoring | PCの監視、PC内の既存ファイルハッシュリスト抽出と分析、VTテクノロジーのないエンドポイントへの監視のみの実行モード |
| Advanced | 既存設定項目にないカスタム |
PC上で記録分析した脅威情報を管理サーバーで集中管理
エンドポイントエージェントの脅威情報分析
- @PC上で実際に脅威が動作したときのみ記録
- A脅威動作の一部始終(Kill-Chain)を仮想マシンのタスクが終了するまで記録
- B記録終了後に脅威情報を分析し、結果を管理サーバに送信
- C管理サーバから、セキュリティ管理者にメールで通知 STIX/TAXII情報をSIEM(Security Information and Event Management) 等
他製品へ送信する事も可能
STIX:Structured Threat Information eXpression。サイバー攻撃を特徴付ける事象などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様。http://stix.mitre.org/
TAXII:Trusted Automated eXchange of Indicator Informationサイバー攻撃活動に関連する脅威情報を交換するための技術仕様。http://taxii.mitre.org/
導入事例
米国国防総省が最新のエンドポイントセキュリティスタックを
最後の防衛線として実装
米国国防総省は、変化する脅威の状況に対処するために封じ込め(アプリケーション隔離と封じ込め)技術とEDR技術の組み合わせを活用し、今後のエンドポイントセキュリティスタックをアップグレードおよび近代化しています。
既存のHBSS(Host Based Security System:階層型防御ソリューション)と組み合わせることにより、組織はエンドポイント上のエージェントの数を減らしながら、サイバー攻撃に対する最高レベルの効果を達成し、誤検出を排除する運用コストを削減できます。
これらのアプローチのそれぞれは、攻撃の時間、インシデントの発生前または発生後、インシデントの場所、ホスト上、または封じ込め環境内などの違った側面から脅威を見ることで、個々のエンドポイントとエンタープライズで発生していることをより全体的に把握することを可能にします。
国内の企業における導入事例
金融系企業A社
インターネット分離を実現するため、数年前にWEB無害化ソリューションを導入していたが、Web利用業務に多くの支障が出ていた
ネイティブブラウザと同様にWebアプリケーションを使用することができるようになり、セキュリティをさらに高めつつ、業務効率を本来のレベルに戻すことができた
製造系企業B社
グループ全体でインターネット分離対応が必須となり、VDI導入を検討していたが、コストが高額な点と設計開発業務へのパフォーマンス低下が懸念されていた。
パフォーマンス低下を抑えつつ、インターネット分離要件を満たすことができた
建設系企業C社
アンチウィルスとEDRを導入していたが、ヒューマンエラーによる攻撃侵入を防ぎきれない環境にあった。
社内外問わず、どこでも安心して外部とやりとりができるようになった。隔離環境の中でマルウェアが活動しても、マイクロVMを閉じてしまえば分析した上で対処済みとすることができ、セキュリティ部門の大幅な工数削減につながった。
よくあるご質問
- HP Sure Click Enterpriseとは何をする製品ですか?
- メールやブラウザを始めとするインターネット利用やUSBメモリなどの媒体は、悪意を持つ行為者にとって企業組織ネットワークの「周壁内」(ファイアウォールなど)に入り込む上で、最も頻繁に悪用する経路です。また、これらの行為者はネットワークシステム中、一般のエンドユーザが操作するエンドポイント(PC)こそが最も脆弱である事も認識しています。HP Sure Click Enterprise(以下、SCE)は、こうした経路で侵入する脅威からエンドポイントを保護するため、仮想化分野での世界的な第一人者らが開発したマイクロ仮想という最先端技術を利用し、ファイルを開くアプリケーションをPC本体のOSからCPUレベルで隔離することで、検知や判定に頼らず脅威の影響をブロックします。
- 従来のエンドポイントセキュリティ製品と比較してどのような違いがありますか?
- 従来のセキュリティの中心は、最初に不当なファイルや振舞いを検知し、その上で防御する手法でした。この方法では検知が失敗すれば、防御もされない事になります。
SCEはインターネットやメールなど、外部から持ち込まれたファイルを開くアプリケーションを対象ファイルの正当、不当に関わらずマイクロ仮想マシン(MicroVM)上で実行する方式で、検知には依存しません。 - 製品の特長やメリットはなんですか?
- アプリケーションが完全に分離したMicroVMのOS上で実行されるので、
- 未知、既知、振舞いの内容、ファイルレスなど攻撃パターンなどに関わらず、エンドポイントのOS環境が影響を受けません。
- MicroVMのOSにはユーザデータや資格情報(IDやパスワードなど)価値がある情報は存在せず、詐取されるものがありません。
- マルウェアは隔離されたOS上で実行されるため、もしユーザがそれに気づいても慌ててLANケーブルを抜くなどする必要はなく、逆にMicroVM内に実装されたモニタリングの機能で、多層式の他のセキュリティ機構をすり抜けてきたマルウェアがどのような動作をするかを詳細に記録して情報を活用できます。
- 従来のウイルス対策のような日々の定義ファイルアップデートやフルスキャンは必要ないのですか?
- 検知に依存するソリューションではないので必要ありません。セキュリティポリシーの更新は管理サーバーとの連携で行われますが、MicroVMによる保護は、公共のインターネット接続でも、インターネット接続自体が無くても、マイクロ仮想マシンで同じレベルの保護が続くため、特にモバイルユーザが多い企業組織で重宝されています。
またPCが受け取るファイルの都度スキャンを実行する事もなく、定期 / 不定期のスキャンで動作が遅くなるなどの不便は起こりません。 - 他のウィルス対策製品と同居は可能ですか?
- はい、MicroVMはPC本体のOSと独立して動きますのでウイルス対策製品に限らず他種のアプリケーションの動作に影響を与える事はありません。(セキュリティ製品によって、SCEを除外設定していただく場合があります。)
- 最新のドキュメントはどこにありますか?
- HP Enterprise Securityのすべてのドキュメントは、カスタマーポータル(https://support.bromium.com/s/documentation)にあります。
