現在のビジネスシーンでは、オフィス勤務とテレワークのハイブリッドなワークスタイルが一般化しつつある。この新しい働き方のトレンドが以前の状態に戻ることはないだろう。サイバーセキュリティのポイントは大きく変化し、その重要性もどんどん増している。これから求められるセキュリティ対策の仕組みをどう整えるべきなのか。「HP Wolf Security」によって企業の取り組みを支援する、日本HPの九嶋 俊一氏に聞いた（聞き手：日経BP 総合研究所 上席研究員 菊池 隆裕）。

株式会社 日本HP
専務執行役員
パーソナルシステムズ事業統括
九嶋 俊一氏
1988年、横河ヒューレット・パッカード入社。コンサルティング営業本部長、クライアントソリューション本部長、テクノロジー・ソリューション統括本部長などを経て、2015年より現職。法人向けPCやワークステーション、POS／シンクライアントなどのデバイス事業や、マネージドサービス事業を統括する。

重要性が高まるエンドポイント・セキュリティ

―― 現在の日本企業を取り巻くサイバーリスクについて、日本HPはどのようにみていますか。

九嶋　働き方の変化、多様化は日本に限ったものではなく、世界の潮流です。それがセキュリティにどう影響するかを把握するため、我々は日本を含む世界７カ国のオフィスワーカー約8500人とIT部門の意思決定者1100人を対象にした調査※を実施しました。

その結果からは多くのことが見えてきました（図1）。例えば、コロナ禍におけるサイバー攻撃の増加率は世界中で238%増加しています。この状況のもと、在宅勤務をはじめとするテレワークが普及しましたが、その現場には様々なリスク要因が存在しています。「仕事用のデバイスを私的に使用した」と回答した在宅勤務者は世界で70%、日本では51％。また「パンデミック前との比較で、より多くの企業データに、より頻繁に自宅からアクセスしている」と答えた割合も、世界で71%、日本で57％と高い水準になっていたのです。

ここから分かるのは、テレワークの普及によって、私用を含めてネットワークの利用機会が増えてセキュリティリスクが増加しているということです。従来の境界防御だけではリスクを防ぎきれなくなっており、実際、多くの企業がこのことを危惧しています。調査でも、「エンドポイント・セキュリティがネットワークセキュリティと同じくらい重要になった」という回答が、世界でも日本でも90%を超えていました。

図1　日本を含む世界7カ国での調査結果
働き方の変化が大きな潮流となっている。それに付随して、エンドポイント・セキュリティの重要さが世界の共通認識になっていることが見て取れる

―― 働き方と同様、サイバーセキュリティの領域でも“ゲームチェンジ”が起こる中、経営層、マネジメント層はどんな意識を持つべきなのでしょうか。

九嶋　まず、組織のカルチャーを変える必要があるでしょう。テレワーク、あるいはオフィス勤務とのハイブリッドワークでは、「人が分散する」ことを前提として組織やビジネスを考えることが不可欠です。分散した環境で、社員が高いモチベーションを持って仕事に向き合い、生産性を高めるには何が必要かを考える。セキュリティ対策も、この方向性に沿って検討すべきです。

もちろん安全性を高めることは不可欠ですが、一方で社員に不自由を強いると生産性が低下してしまいます。重要なのは広くサイバーリスクを理解し、経営の視点から生産性を犠牲にしないセキュリティ対策を吟味することです。そのうえで、経営側は「ゼロトラスト」、そして前回、吉岡先生もおっしゃっていた「レジリエンス」といったトレンドの理解にも努めるべきです。あらゆる人やデバイスの認証を都度行い、安全性を確認するほか、たとえ侵害を受けても、ビジネスを継続できるような仕組みを構築しておく。多様化、巧妙化するサイバー攻撃の脅威から組織を守り、生産性を維持していくには、このような新しい仕組みと対応が必須です。

※ニュースリリース：HP Wolf Security調査で、リモートワークによるサイバーセキュリティのリスク増加が明らかに
https://jp.ext.hp.com/info/newsroom/2021/20210610/

ニューノーマル時代の最新セキュリティソリューションを提供

―― このように、大きく変化するサイバーリスクに対応するためのソリューションとして、日本HPは「HP Wolf Security」を発表しました。サービス立ち上げの経緯や狙いを教えてください。

九嶋　我々はハードウエアメーカーとして、製品設計段階からセキュリティを考え、ハードウエアに基づく信頼できるシステムの構築や業界標準の策定などをリードしてきました。これは過去20年にわたり行ってきた取り組みですが、今後も世界で最も安全かつ管理性に優れたデバイスを追究し続けていく予定です。

一方、働き方が多様化し、サイバー攻撃が高度化する現在では、新たなリスクへの対応も必要になってきています。攻撃の侵入口の7割はエンドポイントといわれますが、その内訳を調べると、実に99%がユーザーの「アクション」に起因していることが分かりました。「メールの添付ファイルを開く」「URLをクリックする」といったアクションが、被害の直接の原因になっているのです。

HP Wolf Securityは、このような新しい脅威も含めた包括的なエンドポイントの保護とレジリエンスを提供するセキュリティソリューションです。PCへの物理的な侵入攻撃を防ぐ「HP Tamper Lock」、BIOS設定の不正な変更を防ぐ「Sure Admin」、悪意のある実行ファイルに対する保護を提供する「HP Sure Sense」などの多彩な機能をラインアップしていますが、中でもイメージしやすいのは「HP Sure Click」でしょう。

―― どのような機能を持つソリューションなのですか。

九嶋　HP Sure Clickは、ユーザーが誤ってメール内の不正なURLをクリックしてしまっても、その影響をシステム内に波及させないようにすることができます。具体的には、Webブラウザや業務アプリケーションなどを、小さな仮想マシン（マイクロVM）上で立ち上げることで、マルウエアをその内側に閉じ込めるのです。

また、ここで大事なのは、ユーザーの操作感はHP Sure Click導入前と変わらないということです。ユーザー体験はそのままで、自動的に安全性が高められるような仕組みを提供する。これが、生産性を維持しつつ、サイバーレジリエンスを高めるために重要だと当社は考えています。

―― 「セキュリティ対策が重要なことは理解しているが、どこから手を付ければいいか分からない」という経営者の声をよく聞きます。会社のセキュリティに対する成熟度や規模に応じたポートフォリオを持つHP Wolf Securityなら、様々な机上の悩みを解決できそうです。

九嶋　PC単体でユーザーの手元の端末内の多層防御を実現できるほか、大規模なお客様向けのオファリングでは管理性も重視しており、大手のお客様から、セキュリティ専任担当者を持たない企業・組織のお客様まで、安心してご利用いただけるソリューションだと自負しています（図2）。

図2　HP Wolf Securityのポートフォリオ
専任のIT管理者がいない比較的小規模な組織から、最先端の防御を必要としている大規模な組織まで、顧客のセキュリティに対する成熟度や規模に応じたソリューションが用意されている

基本を徹底することがセキュリティ対策の“一丁目一番地”

―― HP Wolf Securityの導入事例はあるのでしょうか。

九嶋　HP Sure Clickの技術が米国の国防総省で導入されています。国家規模の標的型攻撃を最も受けている組織のため、もとよりセキュリティは極めて強固ですが、それでも多様化・巧妙化するサイバー攻撃への備えを一層強化する必要性に迫られていました。そこで、かねて利用してきたネットワークセキュリティ対策に加えてHP Sure Click Enterprise（導入時にはBromium）を導入することで、セキュリティ対策のアップデートを図ったものです。

―― これからHP Wolf Securityはどのように進化していくのでしょうか。外部企業とのコラボレーションや、サービス拡充予定があれば教えてください。

九嶋　攻撃者のエコシステムが形成されており、ツールもマーケットで提供されている状況を踏まえると、残念ながらこれからもサイバー攻撃が減ることはないと思います。今後に向けては、HP Sure Clickとは逆にリスクのある端末から、絶対に侵害してはいけない高価値アセットに安全にアクセスするための技術や、流通過程での端末の正真性を保証する仕組みなど、様々な取り組みを展開していきます。

―― 最後に経営者へのメッセージをお願いします。

九嶋　まずは「基本を徹底する」ことをお勧めしたいと思います。サイバー攻撃の被害を分析していくと、「OSやデータベースのバージョンが古い」「配布されているパッチが適用されていない」といった、基本的な対策が行われていないケースが多く見られます。基本を疎かにしないのがセキュリティ対策の“一丁目一番地”であり、これを会社の方針として明確に打ち出してほしいですね。トップがそうすることで、組織全体のセキュリティに対する意識を底上げできます。

そのうえで、対策手法については外部の専門家にも相談しながら、ITによる生産性の向上を損なわない形で、それぞれの企業・組織にとっての最適解を導くことが重要です。まずは経営層から、そうしたマインドを持っていただきたいと思います。