2021.07.21
コロナ禍の影響によりリモートワークが急速に普及する中で、オフィスでの勤務を前提としたセキュリティ対策の見直しが求められている。そこで焦点とすべきは、PCやプリンターをはじめとする「エンドポイント」のセキュリティ強化である。「エンドポイントセキュリティ」は安心安全なリモートワーク環境の確立のみならず、DXの推進、さらには企業価値向上のための基盤として、あらゆる企業にとって必須の課題である。
リモートワーク時代に顕在化するリスクの特徴や、「エンドポイントセキュリティ」が重要な課題となった時代的な背景、日本企業のセキュリティ対策の現状、今後の展望等について、日本HP 経営企画本部 マーケティング推進部長の甲斐博一、サービス・ソリューション事業本部 クライアントソリューション本部 ソリューション営業部長の渕上弘士、サービス・ソリューション事業本部 マネージドサービス部の佐藤直明に話を聞いた。
甲斐氏 昨今騒がれている企業におけるセキュリティ対策ですが、本日は改めて経営に貢献すべきセキュリティ対策に関して、新しい働き方がひろまりつつある状況を踏まえながら、できるだけ広い視点で議論していきたいと思います。まずは導入として、統合型セキュリティソリューション「HP WOLF SECURITY」のリリースに合わせて制作された動画から、リモートワーク時代におけるPCやプリンターのセキュリティリスクの特徴を抽出してみましょう。
甲斐 この動画のあらすじを簡単にご紹介いたしますと、会社から母親に貸与された業務用のPCを使って、子どもがゲームをしている。そのときマルウェアが仕込まれたメールが届き、子どもがクリックしたことで、家庭内無線LANに接続されたプリンターにマルウェアが侵入。文書のスキャンによって生成されたファイルに感染し、それを母親が会社の同僚に送信してしまったことにより、社員のPCやオフィス入退室システムが使用不能になるなど、会社全体の業務が止まってしまうというものです。この動画から、リモートワーク時代のセキュリティという面で注目すべきポイントについてピックアップして聞かせてください。
渕上 最初のポイントは、子どもが業務用のPCでゲームをしている場面(動画1:07〜)ですね。HPが2021年3〜4月に行った調査によると、調査対象となった従業員の半数以上が業務用のデバイスを私的に使用しているほか、リモートワーカーの2〜3割が業務用デバイスを他者に使用させたことがあると回答しています。子どもにPCを使わせるかどうかは別として、リモートワークにおいては、業務とプライベートの境界が曖昧になる傾向が強いということです。このことは在宅勤務の従業員が、ハッカーの標的とされる可能性が高まっているということを意味します。リモートワーク時代ならではのセキュリティリスクといっていいでしょう。
甲斐 これは意外と難しい問題かもしれません。PCはもともとマルチパーパス(多目的)な端末ですから、貸与したPCを業務用途に限定し「仕事以外には絶対に使ってはいけない」といった具合に厳しく管理することはやはり社員エンゲージメントを下げてしまい、現実的ではないと思います。最低限のルールは必要ですが、ある程度の自由度は残しておくべきでしょう。私はマーケティングの仕事が長いですが、マーケティングという職種において使い分けている人はとても少ないです。細かく管理することでクリエイティブな発想やイノベーティブな成果を生まれにくくしてしまうかもしれません。
渕上 そうですね。制御する方法がないわけではありませんが、厳しく管理しすぎると生産性はかえって落ちてしまうでしょう。社員の働きぶりをカメラで常時監視する企業もあると聞きますが、プライバシーの侵害につながりかねませんし、会社や組織に対するエンゲージメントの低下につながる恐れもありますよね。
甲斐 佐藤さんはいかがでしょうか。
佐藤 私が注目したいのは、プリンターがサイバー攻撃の“踏み台”になっている点です(動画2:17〜)。プリンターにはハードディスクやメモリが搭載されており、個人情報を含めた様々な文書・画像が保存されている上に、電子ファイルを生成することも可能です。つまり、立派なコンピューター、あるいはデバイスだと認識する必要があります。また、ネットワークやクラウドに直接つながっているため、マルウェアに感染したファイルが家庭のネットワークを経由して会社のネットワークに送信されてしまったり、クラウド上で共有されてしまったりといったリスクが生じます。PCのそれとは別に、プリンターそのもののセキュリティ対策が極めて重要なんですね。
甲斐 なるほど。プリンターのセキュリティは盲点といえるのかもしれません。それにしても、なぜ、この会社のIT部門はマルウェアの侵入をいち早く発見し、対策を講じることができなかったのでしょうか(動画3:30〜)。
渕上 イントラネットの外部にある端末をリアルタイムで保護し、分析するツールを持っていなかった。もっといえば、こういったケースが起きることすら想定していなかったのではないでしょうか。コロナ禍をきっかけにリモートワークが急速に普及した一方、セキュリティツールの準備が間に合っていない状態で、とりあえず社員にPCを貸与しているという企業は少なくありません。リモートワークの導入とともにインターネットに接続する機会が増えるため、従来のファイアウォールやIPS(不正侵入防止システム)、IDS(不正侵入検知システム)などの境界防御型のセキュリティとは異なる仕組みが求められますが、環境の変化についていけていない企業が多いのが現状です。
甲斐 こうした状況を克服するには、経営層のリーダーシップのもと、セキュリティを管理するIT部門や社員エンゲージメントを管理する人事部門、総務部門と連携してセキュリティ対策に取り組む必要がありますね。このテーマについては後半であらためて議論しましょう。リモートワーク時代においては、PCのみならずプリンターを含めたエンドポイントセキュリティの強化が求められること。そして、これらの端末が業務のみならずプライベート用途で使用されることもあるという前提でセキュリティ対策を進める必要があるという点を確認して、次のテーマに進みたいと思います。
甲斐 前章ではコロナ禍によって一気に普及したリモートワークとの関連で、エンドポイントが直面しているリスクについて議論いただきました。ここでは、もう少し長期的な視野に立って、いま、エンドポイントセキュリティが重要視される時代的な背景について考えてみたいと思うのですが、如何でしょうか。
渕上 コンピューティング環境はメインフレームの時代から、サーバー・クライアントの時代、そしてクラウドの時代へと、集中と分散の両極を行ったり来たりしながら変遷を遂げてきました。この間、メインフレームや企業内サーバー、そしてネットワークのセキュリティに関しては強固な対策が講じられてきたのに対し、PCやプリンターをはじめとする”エンドポイント”については脆弱性が残されたままだと言っても過言ではないかと思います。
甲斐 なぜでしょうか?
渕上 PCに関しては、OSにセキュリティ機能やアンチウイルスソフトが存在するが故に、それで充分だと思いがちなのではないでしょうか。実際、アンチウイルスソフトをインストールし、OSのアップデート等を管理することにより防げるマルウェアなども多くありました。しかしながら、近年、従来のアンチウイルスソフトでは検出しにくいランサムウェアが猛威を振るい、RaaS(ランサムウェア・アズ・ア・サービス)というランサムウェアの作成者、それを販売するグループ、それをサービスとして購入し、サイバー攻撃者になる利用者が存在するビジネスモデルまで出来上がっています。また、特にメディアでの報道も多いことから、個人情報保護や情報漏洩には神経を尖らせている日本企業は多いですが、事業を停止させて身代金を要求するものなど、サイバーアタックの目的や手法は多様化している現実をご存じないケースもまだまだあります。一般メディアにおいてこうした最前線の報道が少ないことも、背景要因に挙げられると思います。このように最新事情の認知の低さとそれに対する対策の理解度の低さから、エンドポイントの脆弱性が課題として残ったままなのだと思います。
甲斐 なるほど。ある意味では、日本企業と社会全体のサイバー攻撃に対するリテラシーの低さ、知識量の少なさが、エンドポイントの脆弱性の一因となっていると考えていいですね。実際、日本国内に存在するデバイスに対して、国外からサイバー攻撃を加える事例が増えています。安全保障にもつながる国際的な問題ですが、やはり日本は先進諸国に比べるとサイバー攻撃の脅威に対する意識が低い気がします。
渕上 そうですね。リテラシーの低さは経営層で特に顕著だと感じますが、何れにしてもハッカーから見て非常に狙いやすいのは確かでしょうね。実際にハッカー達は、サイバー攻撃技術の向上のために日々練習を重ねていて、その練習拠点の一つが日本だとも言われています。
佐藤 リテラシーを高めるのはIT部門の役割ですが、日本企業のIT部門の仕事の中心はオペレーションです。また、縦割り文化の浸透により、購買や総務とうまく連携が取れていないため、IT部門がセキュリティの重要性を訴えても、結局のところ、PCやプリンターなどコモディティ化したデバイスに関しては、テクノロジーで解決できる価値よりも導入価格が優先されてしまうケースが多い。こうした点も、エンドポイントの脆弱性をなかなか解消できない要因の一つになっているのではないでしょうか。
甲斐 もしかすると「エンドポイント」という言葉のわかりにくさ、日本語への訳しにくさが、経営層のリテラシー向上の妨げになっているのかもしれませんね。改めて「エンドポイント」について、どのように理解すればよいでしょうか。
佐藤 IoTの進展とともに、ありとあらゆるモノがインターネットにつながる時代になりました。こうした環境を念頭に置けば、PCやスマートフォン、プリンターのみならず、センサーや監視カメラなど、インターネットにつながってデータをインプットしたり、アウトプットしたりするモノ。これら全てを「エンドポイント」と呼んで然るべきだと思います。
渕上 その通りですね。従来は社外から社内ネットワークへのアクセスを禁止することでセキュリティを維持してきた企業が大半でしたが、リモートワークが浸透した今日、こうした手法には限界があります。また、企業やビジネスが推進するDXにより、エンドポイントは指数関数的に増えていっています。だからこそ、エンドポイントそのもののセキュリティを徹底的に強化することがますます重要になってきているんです。
甲斐 デジタルテクノロジーの発展を理解しながらDXを推進していく上でも、データの発生元であるエンドポイントのセキュリティ対策を経営課題として進めていく必要があると思います。企業側から見ると、エンドポイントがどういった形でどれくらい存在するのかを把握するとともに、そこから発生しているデータ、出力しているデータは何なのかを経営層が知っておく必要がありますね。まずはPC、プリンターから対策を施すことが必須ではありますが、そのあとも広域に広がっていくことをここで改めてお伝えしていきたいですね。少し話を変えて、佐藤さんに伺いたいことがあります。「プリンターがセキュリティホールになる」とは、簡単にいうとどういうことなのでしょうか。
佐藤 先ほども出てきましたが、プリンターは一つのコンピューターですので、セキュリティについても基本的にはPCと同様に考えるべきなんです。ところが、プリンターに搭載されたBIOSやOS、ファームウェアは、PCのように随時アップデートされているわけではありませんし、セキュリティソフトなどでセキュリティ対策されているデバイスやサービスそのものが少ない。したがって、サイバー攻撃を仕掛けるハッカーの側からしてみると格好の標的になるんです。
甲斐 オフィスのペーパーレス化が進みつつあるとはいえ、長らく紙文化に慣れ親しんできた方、視力の影響でモニターの文字が見えづらくなってきた方など、文書はプリントアウトして読むに限るという方がまだまだいらっしゃいますし、法令順守の観点でもまだ紙は存在します。すべてをPCやスマホの画面で業務遂行することによって下がってしまう生産性も実際にあります。紙に印刷してから思考する層の中には、会社の要職に就いて機密情報を扱っている方も少なくないはずです。見方によっては、PCよりもプリンターの方が、大きなリスクに直面しているといっても過言ではないでしょう。その意味でも、プリンターのセキュリティ強化を経営課題として捉え、セキュリティホールの解消を急ぐ必要がありますね。
甲斐 日本企業のエンドポイントセキュリティ対策の現状について話してきましたが、実際にお客様に接している中で、お二人はどのようにご覧になっていますか。
渕上 金融・公共部門など個人情報を保有している大企業様を中心に、エンドポイントセキュリティに対する意識は確実に高まっています。一方、中小企業ではそこまで手が回っていないといいますか、優先順位が低いのが現状です。NGAV(Next Generation Anti-Virus)やEDR(Endpoint Detection and Response)、アプリケーションラッピングと呼ばれる新しいタイプのセキュリティソフト対策を実施している企業の多くは大企業で、中小企業もエンドポイントセキュリティの重要性をそれなりに理解しているものの、自分事として捉えられていない部分があるのだと思います。
甲斐 サプライチェーンやバリューチェーンを通して、中小企業の端末が大企業のネットワークに直接・間接につながっていることを考えると、会社の規模を問わず、エンドポイントセキュリティの強化を喫緊の課題として捉えるべきではないでしょうか。サステナビリティの観点から、アップルがサプライヤーに対して2030年までのカーボンニュートラル実現を求めたように、グローバル企業を中心に大企業がサプライチェーン全体へのガバナンスという観点から徹底したセキュリティ対策を実施している中小企業を取引先として優先的に認定するような可能性も十分考えられますよね。
渕上 そうですね。新型コロナウイルスのワクチン証明書ではありませんが、エンドポイントセキュリティ対策を実施していることが競合他社との差別化要因となり、企業価値の向上につながる可能性も視野に入れておく必要があると思います。中小企業こそ、いち早く取り組むべきでしょう。
甲斐 ありがとうございます。佐藤さん、プリンターのセキュリティ対策の現状については如何でしょう。
佐藤 2019年に大企業のIT及び総務部門を対象に行った調査では、プリンターをセキュリティ対策が必要なデバイスとして認識している企業は、全体のわずか16%に過ぎませんでした。しかも、ICカード認証による情報漏洩のリスク軽減に重点を置いている企業が多く、マルウェアによるBIOS、ファームウェアの改ざん等のリスクを意識している企業はほとんどありませんでした。ITリテラシーの高い方々に、プリントポリシーの明確化、レジリエンスの仕組みの構築の重要性について説明すればご理解いただけるものの、実際に対策を実施するところまではなかなか手が回らないというのが現状です。中小企業になるともっと難しい状況にあるといわざるを得ないでしょうね。
その背景には、IT部門ではなく、総務部門やファシリティ部門がプリンターを統括しているケースが多いという実情もあります。電話やファックスを管理してきた総務部門が、プリンターのセキュリティを”なんとなく”管理している一方で、IT部門はプリンタードライバーをインストールした後は、オペレーションの省力化、効率化に重きが置かれるため、セキュリティ対策が手薄になってしまうんです。
甲斐 こうした状況を変えていくためには、プリンターにもセキュリティ対策が必要だという認識を広めた上で、具体的な対策を提案していく必要があると思います。リモートワークの急速な普及を考えると、圧倒的なスピード感が求められるのは間違いありません。エンドポイントセキュリティをDX推進の一環として位置付け、一気に世界レベルまで強化していけるかどうかがカギになるのはないでしょうか。
佐藤 そうですね。エンドポイントセキュリティの強化を、ITや総務といった各部門の課題にするのではなく、”経営戦略”として位置づけ、横の連携を生かしながら推進しなくてはなりません。
渕上 DXの担当者がセキュリティの担当者を兼務しているケースは少なくありません。DX推進部といった新しい部門を設置した会社様であれば、DXとエンドポイントセキュリティをセットで進めていくことの大切さをご理解いただけると思います。
甲斐 続いてエンドポイントセキュリティの解決策として、当社が2021年6月にリリースした「HP WOLF SECURITY」を取り上げてみたいと思います。「HP WOLF SECURITY」の特長や狙いについて聞かせてください。
渕上 「HP WOLF SECURITY」は、PCやプリンターなどエンドポイントセキュリティに特化した新ブランドです。ブランド名に「Wolf」を冠しているのは、本能的に警戒心が強く、決して揺らぐことのない意志を持って仲間を守る「狼」をイメージしていることに由来します。HPでは20年以上にわたってセキュリティの研究開発を行うとともに、TPM(Trusted Platform Module)やBIOSなどの業界標準を確立してきました。また、2019年に米国Bromium社を買収したことで、ハードウェアのみならず、ソフトウェア、サービスを統合的に提供できるベンダーとなり、“世界で最も安全で管理性の優れたPCの提供”(*1)を実現しています。
もう少し具体的に申し上げますと、「HP Endpoint Controller」というチップを搭載することで、ハードウェアのセキュリティ状態を監視し、ケースへの侵入や物理攻撃から保護する仕組みをはじめとして、rootkitを使ったBIOS攻撃や破壊型ワイパー攻撃、不正なファームウェア設定変更、Remote Access Toolkits、悪意ある実行ファイル、ウェブ・電子メール経由のマルウェアといった、さまざまな脅威からエンドポイントを包括的に保護する仕組みを構築。OSの下のレイヤーから、OSの中と上に多層的なセキュリティを備えるとともに、お客さまの従業員の規模、セキュリティの成熟度に応じて「HP WOLF PRO SECURITY EDITION」「HP WOLF PRO SECURITY SERVICE」「HP WOLF ENTERPRISE SECURITY」という3つのポートフォリオをご提供しています。
甲斐 ありがとうございます。佐藤さん、プリンターのセキュリティについては如何でしょうか。
佐藤 先ほど申し上げたように、近年のプリンターはPCと同様で、ハードディスクや電子メール、ネットワークアクセスや、ファームウェア・ソフトウェア、インターネットなどの階層を持っています。BIOSやファームウェア、管理、ネットワークなどの脆弱ポイントへの不正なアクセスや改ざんが増えていることを受けて、BIOSやファームウェア、プリンターの設定などさまざまなレベルで脅威を監視し、リアルタイムで自己修復する仕組みのほか、自動モニタリングを継続的に行って外部からの攻撃を防止することで、セキュリティを担保する仕組みを構築。PCと同様に、20年以上にわたるセキュリティ・イノベーションの成果であり「世界で一番安全なプリンター」(*2)をご提供しています。
ハードウェアに関してはPCに類似する部分が少なくありませんが、専門家を派遣してセキュリティの穴を確認するサービスや、誰がどこで、いかなるドキュメントを印刷したかをクラウドベースで管理するサービスなど、付加価値の高いサービスを現在さまざまな形で展開しています。
甲斐 20年超にわたる研究開発の成果ということからもわかるように、セキュリティはHPの企業姿勢そのものであり、ビジネス戦略の中核に位置するテーマでもあります。研究開発を通して生み出されたエンドポイントセキュリティのコンセプトを中心に、ハードウェア、ソフトウェア、サービスの全てで実装し、包括的なセキュリティ対策を提供できる。このことは、ほかのPCベンダーやプリンターベンダー、セキュリティベンダーにはない、HPならではの強みといっていいと考えています。PCやプリンターのみならず、今後、エンドポイントの製品を開発する機会があれば、そこにもおそらくこの思想が実装されていくことでしょう。
甲斐 最後に、日本企業はエンドポイントセキュリティの強化をどのように進めていくことが適切でしょうか。組織、経営的な側面に着目しながら、お考えを聞かせてください。
渕上 まずはサイバーセキュリティをめぐる世の中の状況、今後のトレンドを正しくご理解いただいた上で、組織を変えていくことが大切だと思います。縦割り組織は、過去の経営環境に合わせてつくられた組織形態です。環境が明らかに変化したのであれば、当然、組織のあり方も変えて然るべきでしょう。縦割りの壁を打ち破って、横の連携、コラボレーションを活性化する。それとともにDX、セキュリティを一体的に推進することで、自然と視野が広がり、判断のスピードも向上するはずです。これにより、最新のサイバーアタックや脅威に対する対策を実装しながら、エンドポイントセキュリティの強化をスピーディに進められるようになるでしょう。ただ、そのためには経営層がリーダーシップを発揮しなくてはなりません。
佐藤 全くもって同感ですが、これに加えて「セキュリティリスク=経営リスク」として捉えることが大切だと思っています。万が一、セキュリティが破られるようなことがあれば、事業の停止を余儀なくされることによる金銭的なダメージのみならず、顧客や取引先からの信頼の低下、ブランドイメージの低下につながり、経営全体に致命的な影響を及ぼす可能性も十分に考えられます。経営を左右する事態に発展するのを防ぐためにも、全社を挙げてセキュリティの強化を図らなくてはなりません。
この点、海外のグローバル企業はセキュリティに対する理解度が高く、NIST(米国標準技術研究所)等に準拠したガイドラインに従い全社的なセキュリティポリシーを定めて、エンドポイントセキュリティの強化をスピーディに進めています。こうした情報も弊社には集まっていますので、経営層を中心として、日本企業の皆さまにも、当社のセキュリティソリューションを積極的にご提案していきたいと思っています。
甲斐 コロナ禍は、日本企業が経営リスクについて見つめ直す絶好の機会です。世界では「感染症拡大」と「気候変動」が”2大経営リスク”として位置付けられ、さまざまな対策が講じられていますが、私はこれに「情報セキュリティ」をより積極的に加えるべきだと思います。感染症拡大や気候変動に比べて対策が立てやすいこともその理由のひとつです。IoTの進展に伴い、エンドポイント・デバイスが爆発的に普及する中で、セキュリティ対策は今後ますます重要になってきます。ハードウェア、ソフトウェア、そしてサービスの全てを包括的に展開しているベンダーとして、企業戦略の中核としてセキュリティの強化を追求し、安全安全な未来社会の創造に寄与していきたいと思います。渕上さん、佐藤さん、本日はありがとうございました。
(*1)Windowsおよび第8世代以降のインテル® プロセッサーまたはAMD Ryzen™ 4000 シリーズ以降のプロセッサーを搭載したHP Elite PCシリーズ、第10世代以降のインテル® プロセッサーを搭載したHP ProDesk 600 G6シリーズ、第11世代以降のインテル® プロセッサーまたはAMD Ryzen™ 4000 シリーズ以降のプロセッサーを搭載したHP ProBook 600シリーズ追加費用・追加インストール不要のHP独自の標準装備された包括的なセキュリティ機能と、ハードウェア、BIOS、Microsoft System Center Configuration Managerを使用するソフトウェア管理などPCのあらゆる側面におけるHP Manageability Integration Kitの管理に基づく。(2020年12月時点、米国HP.inc調べ。)
(*2)HPの最も高度なデバイス標準装備セキュリティ機能は、HP FutureSmartファームウェア4.5以降を搭載する「HP Enterprise」および「HP Managed」デバイスで利用可能。記載内容は、競合他社の同クラスのプリンターで2021年に発表された機能に関する米国HP Inc.のレビューに基づく。デバイスのサイバーレジリエンスに関するNIST SP 800-193ガイドラインに従い、自動的に攻撃の検知と阻止を行い、自己修復のための再起動で復旧する統合セキュリティ機能を提供しているのはHPのみ。詳細は、hp.com/go/PrinterSecurityClaims を参照。