AI時代のエンドポイント防御を再定義 - HPが“隔離”で実現するデバイスセキュリティ

ランサムウェアや標的型攻撃が常態化し、企業のセキュリティ対策は「侵入を防ぐ」だけでは不十分になりつつある。こうした状況下でHPは、攻撃を前提に被害を封じ込める「隔離」のアプローチを中核に据えたデバイスセキュリティを展開している。

今回、HP VP Enterprise Security Solutions セキュリティ部門グローバル責任者であるDan Allen(ダン・アレン)氏と、同Director of Research and Development Advanced ProjectのKris Uchronski(クリス・ウクロンスキ)氏に取材し、その中で同社が重視するデバイスセキュリティの設計思想について話を聞いた。

※本掲載内容は「TECH+」に掲載した内容を転載したものです。

左からHP VP Enterprise Security Solutions セキュリティ部門グローバル責任者であるDan Allen(ダン・アレン)氏、同Director of Research and Development Advanced ProjectのKris Uchronski(クリス・ウクロンスキ)氏
左からHP VP Enterprise Security Solutions セキュリティ部門グローバル責任者であるDan Allen(ダン・アレン)氏、同Director of Research and Development Advanced ProjectのKris Uchronski(クリス・ウクロンスキ)氏
左からHP VP Enterprise Security Solutions セキュリティ部門グローバル責任者であるDan Allen(ダン・アレン)氏、同Director of Research and Development Advanced ProjectのKris Uchronski(クリス・ウクロンスキ)氏

まずは、昨今のサイバーセキュリティにおけるトレンドについてからだ。アレン氏は「クラウドの利用拡大に伴い、データの保管場所や主権に関する懸念に加え、AIの普及が進展し、AIを用いた攻撃やユーザーがAIを安全に利用するための管理手法に対する関心が高まっています」との認識を示す。

AIの普及により、フィッシングなどで利用されるメールでは、言語の壁がなくなり文体の不自然さも以前と比べれば、かなり改善されたといえるだろう。同氏によると、気付くこと自体が難しくなっていることから、企業における従来型のフィッシング演習だけでは、効果が限定的になりつつあるとのことだ。

最近では、ユーザーがフィッシングメールのクリックやファイルのダウンロードなど、データ侵害の起点となる行動を起こすことが多いため、ユーザー保護が重要な課題になっているという。そのため、同氏はユーザーのPCは“サイバー空間の最前線”と位置付けているが、一般的なエンドポイントセキュリティは20年以上も変化がないと指摘。

アレン氏は「通常のエンドポイントセキュリティは、OSの起動後にアプリケーションを使い、PCを保護しています。しかし、PCのセキュリティがスタートするのは電源を押した瞬間からです。HPでは電源を押してBIOS、ファームウェアが立ち上がるプロセスから、すでに保護するという“隔離”の考え方です」と話す。

HPでは、エンドポイントセキュリティの統合ブランド「HP Wolf Security」の中核サービスとして、仮想化技術を活用したエンドポイントセキュリティ製品のSureシリーズでPCの隔離を実現。サプライチェーンやゼロデイ攻撃などの脆弱性に対して有効だという。ただ、他のEDR(Endpoint Detection and Response)やMDR(Managed Detection and Response)と比較した際に、どのような点で優位性があるのだろうか。

その点について、アレン氏は「考え方としては実行ファイルやダウンロードファイルなどを仮想環境に隔離して、ファイルを開きます。そのため、ゼロデイ攻撃を受けても隔離された仮想環境への攻撃のため、OSに影響を与えることがありません。サプライチェーン攻撃に関しては、高度な攻撃が可能な国家支援型グループの場合が多く、当社はBIOSを自社開発しているため、ハッキングできない設定にすることでハードウェアのレイヤから保護する仕組みがあります」と述べている。

アレン氏
アレン氏
アレン氏

ハードウェアのレイヤから保護するHPは、これを可能にする3つのポイントとして「ESC(Endpoint Security Controller)」「自社開発のBIOSとファームウェア」「プラットフォーム証明書」を挙げている。

ESCは、同社が開発したPCに搭載された物理的な専用セキュリティチップだ。CPUが起動する前に動作することでBIOSの改ざんを検知・自動修復することを可能としている。アレン氏は「CPUやBIOSに電源が供給される前にESCに供給するため、電源管理も行えるため万が一怪しい動きがあった場合にCPUやBIOSに電源を供給しないこともできます」と説く。

自社開発のBIOSとファームウェアについては、PCの電源を入れた際にOSの起動前にBIOSでは1億以上のコードを実行することから、悪意のあるコードを紛れ込ませる攻撃が可能なため、同社ではBIOSのコードの中に確認ステップを入れて、保護するコードを作成している。

プラットフォーム証明書は、工場出荷時のコンポーネント構成を証明書として発行し、ユーザーはPC受領時に証明書を比較することで、輸送中の改ざんの有無を確認できるという。

同氏は「PCの電源ボタンを押して、チップ、BIOS、ファームウェアを読み込み、OS、アプリケーションが起動してクラウドにつながりますが、われわれの技術はこれらのステップすべてを包括的に保護しているため、改ざんがあったとしても回復する能力があります。EDRやMDRを提供するソフトウェアベンダーは、すべてのステップを回復する能力を持ち合わせておらず、多層的に保護するという意味では当社しかできないと思います」と、同社独自の技術を位置付けている。

こうした技術に加え、MDM(Mobile Device Management)ソリューションの「HP Protect and Trace with Wolf Connect」は、PCの電源がオフの場合でもLTE-M(低消費電力広域ネットワーク)通信による管理を可能とし、インターネットに接続されていなくても遠隔からPCの管理コマンド(探索・ロック・消去)を受信・実行できる。

「HP Protect and Trace with Wolf Connect」の概要
「HP Protect and Trace with Wolf Connect」の概要
「HP Protect and Trace with Wolf Connect」の概要

アレン氏は「ESCが通信を担い、常にネットワークにつながっている状態であり、クラウドのコンソールでいつでもPCがどのような状態か把握できます。チップからクラウドまで、すべての階層でコントロールできるようになっているのです。これは、どこのベンダーにもできるものではなく、カスタムしたチップ、BIOS、クラウドのプラットフォームを有しているからこそ、実現できるのです」と説明する。

このように、高度化する攻撃に対して、多層防御でデバイスセキュリティに注力するHPは2026年春にSure Clickの仮想化隔離技術を応用し、強化されたセキュリティソリューションとして「HP Sure Admin」と「同Sure Access」の提供をそれぞれ予定している。

HPの包括的なセキュリティソリューションの概要
HPの包括的なセキュリティソリューションの概要
HPの包括的なセキュリティソリューションの概要

Sure Adminは、PCのBIOS設定やファームウェア操作など従来は最後の砦でありながらパスワード管理に依存してきた領域を、証明書ベースの認証に置き換えるためのセキュリティ機能。

BIOS管理者のパスワードは、使い回しや漏えい、引き継ぎ時の管理不備などがリスクとなりやすく、攻撃者に悪用されればSecure Bootの無効化や設定改ざんといった深刻な被害につながる。Sure Adminはこうした課題に対し、公開鍵暗号方式を用いたパスワードレスな管理を実現する。

具体的には、IT管理者が証明書を用いてBIOS操作を承認する仕組みを採用し、ローカル操作時もリモート操作時もパスワード入力を不要とする。現場でのBIOSアクセスには、スマートフォンアプリを用いたワンタイム認証が使われ、認証情報が端末側に残らない点も特徴だ。これにより、物理的に端末へアクセスできる環境でも、権限のない第三者による設定変更を防止できる。

OSやエンドポイントセキュリティのさらに下層であるBIOSレベルを保護対象とする点に特徴がある。ソフトウェア対策をすり抜ける攻撃が増える中、HPは管理者権限そのものの扱い方を見直し、ハードウェアに近い層から信頼の起点を再設計するアプローチを採っている。

Sure Adminについて、アレン氏は「Microsoft Entra IDと連携させれば、管理者が退職すれば無効にするだけでBIOSへのアクセス権を消去できるため、セキュリティが向上しますし、PCを回収せずにリモート設定を展開できることから、管理が容易になります。Entra IDのみならず、これはあらゆるブラウザアプリケーションの保護に利用できます」と説明する。

一方、Sure Accessは「端末が侵害されることを前提に、重要なシステムやデータを守る」という発想に基づいたエンドポイント向けのアクセス分離ソリューションだ。

一般的なセキュリティ対策では、管理者端末や業務PCがマルウェアに感染した場合、キーロガーや画面取得を通じて認証情報が盗まれ、基幹システムやクラウド管理画面へ被害が波及するリスクが残る。Sure Accessは、この“端末起点の横展開”を遮断することを目的としている。

特徴はサーバや管理コンソールへのアクセスを、PC上に生成される専用のハイパーバイザーであるマイクロ仮想マシン(MicroVM)内に限定する点にある。MicroVMはSure Clickでも利用されており、仮にホストOSが侵害されていたとしても、キーボード入力や画面表示は隔離された環境内で処理されるため、認証情報や操作内容が盗み取られることを防げる。

コピー&ペーストやファイルの持ち出しといった操作も制御可能で、機密データの漏えい対策としても機能する。ゼロトラストの考え方をエンドポイント上で具体化した仕組みともいえ、ネットワークや端末を全面的に信頼せず、重要な操作だけを“隔離”することで、専用端末を用意せずに高い安全性を確保。

リモートワークや外部環境からの管理業務が常態化する中、HPはアクセス経路そのものを分離することで、被害の拡大を抑える現実的な選択肢を提示している。

MicroVMの開発に携わるウクロンスキ氏は「MicroVMは、いわゆるHyper-VやKVMといった一般的な仮想マシンとは異なり、当社の場合はセキュリティに特化したハイパーバイザーであり、自社のプロダクトのみに組み込んでいます。侵害され得る環境と重要な実行領域を分離する設計をベースとして、20年前から積み上げています」と自信を示す。

ウクロンスキ氏
ウクロンスキ氏
ウクロンスキ氏

また、アレン氏はSure Accessに関して「1台のデバイスにおいて、Windows上で管理者操作を行う際に、悪意のあるソフトウェアから保護できます。一般ユーザーがマルウェアに感染しても隔離された管理者の領域には影響が及びません」と話す。

Sure AdminとAccessの提供開始により、Sureシリーズは従来から提供しているStart、Click、Run、Recoverを加えて、6つに拡充される。

HP Sure Admin」と「同Sure Access」の概要
HP Sure Admin」と「同Sure Access」の概要
「HP Sure Admin」と「同Sure Access」の概要

取材の終盤には、両氏に対してAI PCではローカルAIによるデータ取得・保持のあり方も新たなリスクとして浮上していることから、今後のエンドポイントセキュリティはどのように姿を変えていくのかを尋ねてみた。

アレン氏は「ローカルで実行されているAIワークロードを保護することに関して、それを推進するためのいくつかのテクノロジーに積極的に取り組んでいます。AIは非常に急速に変化する分野です。ありがとうございます。私たちの目標は、保護されたHPのハイパーバイザーを使用して分離と保護もできるようにすることです」と力を込める。

一方、ウクロンスキ氏は「本来収集されるべきではない他のAIツールによってデータが収集される可能性があります。実際、私たちの技術は、例えばWindows RecallのようなPC上で行っているすべての操作を記録するような環境が提供されています。共有したくない場合は、当社の隔離機能を使えばデータの収集を防ぐことができます」と強調していた。

侵入を完全に防ぐことが困難になった今、問われているのは侵入を前提にして“いかに封じ込めるか”だ。HPが掲げる隔離を軸としたデバイスセキュリティは、AI PC時代におけるエンドポイント防御の現実解として、企業の選択肢を広げるのではないだろうか。

HP WOLF SECURITY

HP Wolf Security

「HP Wolf Security」は、企業をサイバー攻撃から守るために設計されたハードウェア、ソフトウェア、サービスで構成される高度で包括的なエンドポイントセキュリティです。

詳細はこちら

※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。

ハイブリッドワークに最適化された、Windows 11 Pro+HP ビジネスPC

ハイブリッドなワークプレイス向けに設計された Windows 11 Pro は、さらに効率的、シームレス、安全に働くために必要なビジネス機能と管理機能があります。HPのビジネスPCに搭載しているHP独自機能は Windows 11 で強化された機能を補完し、利便性と生産性を高めます。

詳細はこちら

日本HP 公式オンラインストア
HP Directplus
用途やニーズでカスタマイズ可能

法人向けPC国内シェアNo.1。直販サイト限定の多彩なラインナップと特別キャンペーンをお見逃しなく。信頼のパフォーマンスと強固なセキュリティを備えた最新モデルを、1台からお得にお見積り可能。ビジネスを加速させる最適なPCソリューションを、あなたの手に。

HPのダイレクトストアはこちら

「サイバーセキュリティ」の人気記事

サイバーセキュリティ