認証だけでは不十分？エンドポイントでゼロトラストを実現するには

2023.06.12

認証だけでは不十分？エンドポイントでゼロトラストを実現するには

リンクをクリップボードにコピーしました

◆ 目次

1. ゼロトラストが注目される背景
2. ゼロトラストの定義と今後注力すべきこと
3. エンドポイントセキュリティにゼロトラストの原則を適用
4. HP Sure Click Enterpriseによるソリューション

コロナ禍において、多くの企業でリモートワークが導入され、場所や時間に制限されない働き方が一気に社会に浸透しました。仮にコロナが収束したとしても、この傾向は今後も続くものと考えられます。

働き方の多様化が進む中で、あらためてその必要性が叫ばれているのが「ゼロトラスト」型のセキュリティモデルです。ゼロトラストとは、「自社のあらゆる情報資源は脅威にさらされている」という性悪説に基づき、「あらゆるアクセスは検証されるべき」とする考え方です。

一般的にゼロトラスト実現のポイントは、あらゆるアクセスを検証するための認証技術にあると考えられがちです。しかし、実はさまざまな要素技術が必要とされており、ひとつのセキュリティ製品を導入したからといって実現するものではありません。特に働き方の多様化が進む現在の状況下においては、従業員が使うパソコンなどの端末の保護、つまりエンドポイントへのセキュリティ対策にも留意する必要があります。

本稿では、ゼロトラストの定義や要素技術を再確認するとともに、エンドポイントにおいてゼロトラストを実現するためのポイントを紹介します。

ライター庄司健一

1. ゼロトラストが注目される背景

従来仕事とは社内において行うものであり、多くの企業においてセキュリティは、社内/社外をファイアウォールなどで遮断しておくことで担保されるという考え方が主流でした。しかし2018年ごろからの働き方改革により、社外で仕事をする人が増加。さらにネット環境の進化に伴い、クラウドサービスやSaaS型サービスを使う場面も増えたため、ファイアウォールの内側だけを守る境界防御型セキュリティでは、大切な情報資産を守ることが難しくなりました。

そこで、社外/社内を区別せず、あらゆるアクセスは検証されるべきだとするゼロトラストの考え方に注目が集まるようになったのです。前述したように、コロナ禍で働き方の多様化が一気に進んだこともあり、ゼロトラストの実現は多くの企業にとって喫緊の課題となっています。

2. ゼロトラストの定義と今後注力すべきこと

ゼロトラストとは、どのように定義されたセキュリティモデルなのでしょう。アメリカ国立標準研究所NIST（National Institute of Standard and Technology）のガイドライン「SP800-207 Zero Trust Architecture」では、ゼロトラストを次のように定義しています。

① ゼロトラストの定義

「ゼロトラスト（ZT）は、ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のことである。」
NIST SP800-207 Zero Trust Architectureより

つまり、信頼できるネットワークを前提とせず、データやソフトウェアなど社内資産へのアクセスを確実かつ正確に、最小限の範囲内に制御することで、セキュリティは保たれるとされており、ゼロトラスト（ZT）とは、このために設計された概念とアイデアの集合体であると定義されています。

また、ゼロトラスト・アーキテクチャについては以下のように定義されています。

「ゼロトラスト・アーキテクチャ（ZTA）は、ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー計画・アクセスポリシー等を含むサイバーセキュリティ計画のことである。」
NIST SP800-207 Zero Trust Architectureより

ゼロトラスト・アーキテクチャは、ゼロトラストのアイデアや概念の導入に際して進められるセキュリティ計画全体を指しています。企業においては、従来の境界防御型セキュリティモデルの弱点に対応したり、導入が進むクラウドサービスやSaaS型サービス、働き方の多様化に対応したりするさまざまな計画・活動が含まれると言えるでしょう。

② 今注力すべき要素技術は？

ではゼロトラストを構成する要素技術には、どういったものが考えられるのでしょうか。現在、ゼロトラスト実現に必要な要素技術は、「クラウドセキュリティ」「エンドポイントセキュリティ」「ネットワークセキュリティ」「ユーザー認証・許可」「監視・分析の自動化」の5つだとされています。

ゼロトラストの実現を目指す企業においては、特にネットワークにおける認証システムの構築に注力しているところが多いのではないでしょうか。もちろん「すべてを信じず」「あらゆるアクセスを検証する」ゼロトラストにおいて、認証技術は極めて重要な要素です。しかし、認証技術だけに力を入れていても会社全体のゼロトラストは実現できません。

特に、冒頭でもお伝えしたように、コロナ禍を経て、自宅やシェアオフィスなどで仕事をする人が増える中では、パソコンやタブレットなどの端末の保護、すなわちエンドポイントセキュリティは、ゼロトラストの欠かせない構成要素となります。加えて、コロナ禍以降、「Emotet」をはじめとするマルウェアなどによるエンドポイントへのサイバー攻撃は増加傾向にあり、ゼロトラストの実現を目指す企業にとって、エンドポイントセキュリティは、今特に注力すべき要素技術のひとつと言えるのです。

次項では、代表的なエンドポイントセキュリティや、エンドポイントにゼロトラストの原則を適用するためのポイントを紹介します。

3. エンドポイントセキュリティにゼロトラストの原則を適用

エンドポイントのセキュリティ対策には、代表的な2つのソリューションがあります。それが、EPP（Endpoint Protection Platform）と、EDR（Endpoint Defection and Response）と呼ばれるものです。

① 代表的なエンドポイントセキュリティ

EPPとは、簡単にいうと、“侵入前”のセキュリティ対策です。マルウェアの検知や駆除、あるいは実行されないようにすることで、パソコンなどの端末を守ることを目的としています。一般的なウイルス対策ソフトもここに含まれます。

一方、EDRは“侵入後”のセキュリティ対策と言えます。マルウェアなどが侵入したことを検知し、その対策を支援することを目的とした技術で、検知した脅威に対応する人材が必要になります。

エンドポイントセキュリティにおいては、このEPPとEDRを組み合わせ、「2段構え」で対策することが推奨されています。すなわち、EPPにおいて大部分の脅威を除去し、EDRにおいて、EPPをすり抜けた脅威に対応する体制を組むことです。

② 「未知の攻撃」への備えについて

しかし、「2段構え」のセキュリティ体制を築いても、万全の状態とは言えません。なぜならEPPやEDRは既知の情報を基にした「検知」を前提とした仕組みであるため、「未知の攻撃」を防ぐことができないからです。

そこで推奨されるのが、エンドポイントセキュリティそのものにゼロトラストの原則を適用したセキュリティ対策を加えることです。前述したように、ゼロトラストは、情報資源へのアクセスをきめ細かに制御することで、セキュリティを保つアプローチです。万が一、エンドポイントが「未知の攻撃」に襲われたとしても、不正な挙動が最小限の範囲内で隔離され、実環境（OSなど他の構成要素）に影響がない仕組みを構築すれば、システムの安全確保が見込めます。こうした考えに基づいたエンドポイントセキュリティのアプローチが「アプリケーション隔離」です。

EPPとEDRに加え、アプリケーション隔離の仕組みを取り入れることができれば、エンドポイントセキュリティはより強固なものになり、ひいては会社全体のゼロトラスト実現に近づく可能性が高まると言えるでしょう。

4. HP Sure Click Enterpriseによるソリューション

「HP Sure Click Enterprise」は、エンドポイントにおけるアプリケーション隔離を実現し、検知に頼らない保護を提供する製品です。エンドポイントに侵入を試みる攻撃に対して、OSから隔離された仮想環境を提供し、その挙動を中に封じ込めることで、侵入を防止します。

例えば、サイバー攻撃の経路となることが多いメール添付、Webサイトからのダウンロード、USBメモリなどで受け取ったファイルを開くたびに、そのアクティビティ専用の極小サイズの仮想環境（マイクロ仮想マシン）を用意し、アプリケーションを隔離した状態で実行させます。これにより、たとえマルウェアなどの脅威が挙動しはじめたとしても、それ自体は仮想環境（マイクロ仮想マシン）に封じ込められ、外に影響が及ばないため、エンドポイント全体の安全が確保されます。

次にHP Sure Click Enterpriseの主な導入メリットを見ていきましょう。

① HP Sure Click Enterpriseの特長

HP Sure Click Enterpriseの主な導入メリットは以下の2つです。

1. ユーザー / IT部門の生産性を下げない

一般的なウイルス対策ソフトの場合は、脅威の検知に失敗するとOSが感染してしまうため、ソフトウェアの再インストールなどの膨大な後処理が発生し、IT部門やユーザーの生産性が下がってしまいます。一方、HP Sure Click Enterpriseのアプリケーション隔離では、たとえマルウェアなどに侵入されても、マルウェアはあらかじめ仮想環境に隔離されているため、感染したアプリケーション（ウィンドウ）を閉じるだけで仮想環境ごと破棄されます。このため、特別な後処置は不要です。

2. エンドユーザーの業務に影響を与えない

HP Sure Click Enterpriseのアプリケーション隔離では、メール添付のファイルを開くなど、リスクの高い作業をするたびに、仮想環境（マイクロ仮想マシン）を生成します。この仮想環境は、「マイクロ」と名がつくように、非常に小さく軽く、ミリ秒単位で起動するものであるため、パフォーマンスの低下がほとんどありません。一般にセキュリティ製品は、使い勝手とのトレードオフになると考えられていますが、HP Sure Click Enterpriseでは、そうした心配は不要です。エンドユーザーはセキュリティ製品を使っていることをほとんど意識することなく、業務に集中することができます。

② HP Sure Click Enterpriseはどんな企業、団体で使われている？

HP Sure Click Enterpriseは、中央官庁・自治体、金融機関や医療機関などセンシティブな個人情報を扱う機関や、大企業向けのソリューションです。在宅勤務を行うメンバーが増えたタイミングや、強固なセキュリティ対策と業務効率の向上を両立する必要が出てきたタイミングで導入されるケースが増えています。

導入事例はこちら
https://jp.ext.hp.com/business-solution/enterprise_security/#casestudy

③ HP Sure Click Enterpriseの価格は？

価格および製品番号は、以下の「HP Sure Click Enterprise 価格表」でご確認ください。

価格表はこちら
https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/services/business/sce_price.pdf

④ HP Sure Click Enterpriseはどこで買える？

HP Sure Click Enterpriseの導入を検討される方は、HP Sure Click Enterpriseについて高い技術力・提案力を有し、お客様のニーズに最適な付加価値ソリューションを提案することができる、パートナー様よりお求めください。

HP Sure Click Enterpriseリセルパートナー様一覧はこちら

このコンテンツは日本HPの公式見解を示すものではありません。日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。