Windows 11
よりシンプルな体験がスタート

2022.04.18

アフターコロナのサイバーリスクに備えるWindows 11のセキュリティ思想とは

リンクをクリップボードにコピーしました

新型コロナウィルス感染症(Covid-19)は、オミクロン株による感染の第6波の渦中にあり、先行きは予断を許さない状況だ。事業継続の観点から在宅勤務を含めた働き方の多様化に対応する重要性がさらに高まっているが、在宅勤務によるプライベートと仕事の境界が曖昧になることで新たなセキュリティリスクも顕在化している。

そこでリモートワークにおけるセキュリティリスクの動向と、Windows 11におけるセキュリティ対策のポイントについて紹介しよう。

在宅勤務で高まるセキュリティリスク

感染症のパンデミックを契機に、働き方は大きく変わった。在宅勤務をはじめとするリモートワークとオフィスワークを併用することが当たり前となりつつあり、プライベートと仕事の境界が曖昧になっている。

こうした状況がサイバーセキュリティにどんなリスクを生じさせているのか。日本HPが2021年6月に発表した「HP Wolf Security Blurred Lines & Blindspots~曖昧になる境界とセキュリティの死角(本レポート)」によると、グローバルでの調査対象の従業員の70%(日本51%)が仕事用デバイスを私的に使用し、69%(日本55%)が個人用のノートPCやプリンターを仕事に使用していると回答した。また、調査対象となったリモートワーカーの30%(日本21%)が、「仕事用デバイスを他者に使用させたことがある」と回答している。

そして、IT部門の意思決定者(ITDM)の85%(日本94%)は、そうした行動が自社のセキュリティ侵害のリスクを高めていると考えている。こうした行動の変化により、在宅勤務の従業員がサイバー攻撃者の標的にされる傾向が高まっている。

本レポートに寄与した国際的な独立系アナリスト企業KuppingerCole(クピンガーコール)は、新型コロナウイルス感染症のパンデミックが発生してから、世界中でサイバー攻撃件数が238%増加したとしている。ITDMの54%(日本60%)が、過去1年間にフィッシング攻撃が増え、56%(日本57%)はWebブラウザ関連の感染が増えたと回答している。

さらに、44%(日本54%)のITDMは「不正にアクセスされたデバイスが感染を拡大させるのに利用された」と回答していることがわかった。

高まるエンドポイントセキュリティの重要性

今後は、リモートワークとオフィスワークの併用によるハイブリッドな働き方が常態化していくことが考えられる。これにより、従来のサイバーセキュリティの基本的な考え方であった「境界防御」によるセキュリティ対策では、上述したセキュリティリスクに対応することが難しくなっていく。

境界防御とは「社内ネットワークと社外(インターネット)の境界に壁を設け、防御を強固にして脅威の侵入を防ぐ」考え方だが、働く場所が多様化することで、境界を経由せずダイレクトに社外ネットワークにアクセスする利用形態が増えているからだ。

前出の本レポートでも、調査対象となった従業員の71%(日本57%)が、パンデミック前と比較して、より多くの企業データへ、より頻繁に自宅からアクセスしていると回答している。

また、「仕事用デバイスでオンラインストリーミングサービスを視聴する」ことや、「仕事のデバイスにインターネットから動画やゲームなどをダウンロードする」ことなど、オフィスワーカーが仕事用デバイスを私的に使用するケースも増えている。

そこで重要性が高まっていくのが、エンドポイントセキュリティだ。分散した従業員は、企業のファイアウォールによって保護されない状況をITDMも憂慮しており、本レポートでは、ITDMの90%(日本91%)は、コロナ禍により境界が曖昧になっていく組織を防御する上で強力なエンドポイントセキュリティの重要性が高まったと回答。91%(日本92%)が、エンドポイントセキュリティはネットワークセキュリティと同じくらい重要になったと回答している。

セキュリティ バイ デザインによるWindows 11のセキュリティ設計思想

このように、エンドポイントセキュリティの重要性が高まる中で注目されるのが「ゼロトラストセキュリティ」という考え方だ。これは、2010年にForrester Researchが提唱した考え方で、「Never Trust, Always Verify」(決して信頼するな、常に検証せよ)という考え方に基づき、社内外のあらゆる領域が潜在的に危険であるという前提で、従業員や利用する端末を徹底的に管理して強固なセキュリティを実現するセキュリティモデルだ。

働き方が多様化し、いつでも、どこでも業務に必要な情報にアクセスできる環境が整備される中で、アクセスする必要がある従業員だけが、アクセスする必要がある情報資産に限定してアクセスできるよう、社内外に関わらず、全ての通信をモニターし、リスク・スコアに基づく動的な制御を実施していく。

すなわち、セキュリティ侵害は起こるものだと最初から仮定したネットワークセキュリティモデルということができる。一方で、デジタル化が進み、働き方が多様化する中で、企業のIT環境も多様化しており、セキュリティもサイロ化や複雑化──、すなわちセキュリティ担当者の負荷は高まり、また厳格な認証によりユーザーである従業員の利便性が損なわれる可能性がある。

そこで、ゼロトラストセキュリティを実現するために重要なポイントが「ID管理」「アクセス管理」だ。マイクロソフトの最新オペレーティングシステム(OS)である「Windows 11」もこの考え方に基づき、セキュリティについて「パスワードレス」「ゼロトラスト」という設計思想を掲げている。

具体的には、ハイブリッドな働き方とセキュリティを考慮し、新たなハードウェア セキュリティ要件を組み込むことで実証済みの暗号化やマルウェアに対する最も強力な保護機能を備えるよう設計されている。たとえば、生体認証機能である「Windows Hello」により、パスワード不要でPC内の情報を保護できる。コンシューマー向けのWindows 11 デバイスは、最初から既定でパスワード不要になっている。

また、企業向けの Windows Hello for Business は、デバイスの展開から稼働までが数分で完了するなどIT管理者の負荷を軽減するとともに、IT管理者が認証方法をきめ細かく制御できるようなパスワード不要の展開モデルをサポートしている。

そして、Windows 11は「TPM(Trusted Platform Module) 2.0」が必須となっている。これは、ハードウェアの「ルート オブ トラスト(信頼の基点)」として、デバイスの正常性を証明するための重要な要素となり、ランサムウェアをはじめとするサイバー攻撃からPCを保護し、ゼロトラスト セキュリティを促進する。

コロナ後の新しい働き方に対応するセキュリティ機能

さらに、Windows 11には、製品の企画・設計段階からセキュリティ対策を組み込む「セキュリティ バイ デザイン」により、様々なセキュリティ保護機能が備わっている。

このうち、ハードウェアベースでのセキュリティ機能の一つが、上述したTPMチップだ。これは、暗号化キーやユーザー資格情報、その他の機密データをハードウェア内で保護し、マルウェアや攻撃者がアクセスしたり改ざんしたりできないようにするもので、PCのマザーボードに組み込まれている(最新のPCではCPUに内蔵されており、対応マザーボードによりその機能を有効化できる)。

そして、TPM 2.0は、「Windows Hello」などの生体認証や、「BitLocker」などのドライブ暗号化のセキュリティ機能に重要な要素となり、ユーザーやデバイスを認証するためのID情報を安全に保護する。

もう一つ、ハードウェアに組み込まれたセキュリティ機能がSecure Boot(セキュアブート)だ。これは、従来のBIOSに代わってPCの起動時にコンピュータ内の各装置を制御するファームウェアとOSの間の通信を担うUEFI(Unified Extensible Firmware Interface)のセキュリティを高めるものだ。PCの起動時にファームウェアとOSブートローダーが持つデジタル署名と、UEFIが持つデジタル署名と比較して信頼性をチェックすることで、OSが起動するまでの間に悪意あるソフトウェアの実行を防ぐことが可能になる。

さらに、Windows 11 では、セキュアブートのほかにもVBS(仮想化ベースのセキュリティ)、HVCI(ハイパーバイザーで保護されたコード整合性)などの保護機能を備えた最新のCPUを必須要件にしており、これらの機能を既定で有効化することでセキュリティを高めており、ランサムウェアなどの攻撃を防御する。

これらの「パスワードレス」「ID強化」の機能によって、Windows 11は、常に認証されたユーザーとデバイスのみがネットワークにアクセスできる誰もが働く場所を気にすることなく、安心してコミュニケーションやコラボレーション、データの共有などを行えるようになる。

まとめ

サイバー攻撃によるシステム停止時のビジネスインパクトが増大するばかりだ。日本HPも、統合型セキュリティソリューション「HP Wolf Security」において、境界型セキュリティに頼らない包括的なエンドポイント保護とサイバーレジリエンスの実現に重点を置いている。

具体的には、カスタマイズされた独自チップ「HP ESC(Endpoint Security Controller)」を実装、PC起動前からモニタリングを実施してUEFIの整合性を確認し、改ざんや破損が検出された際には自動的に正常な状態に回復するといった高度な保護を行っている。

また、「HP Sure Click」はWebブラウザやドキュメントファイルを「Micro VM」という仮想環境で実行する保護機能も備える。隔離された環境でドキュメントファイルを開くため万が一ランサムウェアなどの悪意あるソフトウェアが実行されてもPC本体への影響は無く、攻撃を検知、防御することがでる。

万一、マルウェアなどによる攻撃を受けた際も、安全にデータを復旧する「HP Sure Recover」などの機能により、企業が設定したバックアップイメージをクラウドからダウンロードすることで、攻撃者がハードウェアのデータやバックアップイメージを破壊、汚染した場合にも復旧が困難になってしまう状態を防ぐことができる。

コロナ終息後の新しい日常を見据え、スマートで働く場所を問わないワークスタイル変革の実現にWindows 11のセキュリティ機能や、「HP Wolf Security」が貢献していくに違いない。

ハイブリッドワークに最適化された、
Windows 11 Pro+HP ビジネスPC

ハイブリッドなワークプレイス向けに設計された Windows 11 Pro は、さらに効率的、シームレス、安全に働くために必要なビジネス機能と管理機能があります。HPのビジネスPCに搭載しているHP独自機能はWindows 11で強化された機能を補完し、利便性と生産性を高めます。

リンクをクリップボードにコピーしました