インテル® vPro® プラットフォーム
2023.03.31
“日本企業ならでは”のハイブリッドワークとは?
各界のキーパーソンと考える「これからのワークスタイル」
Vol.4
ワークスタイルが多様化する中、新たな課題として浮上しているのが増大するセキュリティーリスクだ。特にPCなどのエンドポイントデバイスは、コロナ禍前よりも利用シーンが多様化したことで、サイバー攻撃の被害にあいやすくなっている。従来のセキュリティーソフトによる対策だけでは不十分といわれる中、企業にはどのような対応が求められるのか。サイバーセキュリティーに詳しい多摩大学の西尾 素己氏と日本HPの大津山 隆氏に聞く。
※本記事は日経ビジネスに掲載されたコンテンツを転載したものです
多摩大学
ルール形成戦略研究所 客員教授
西尾 素己 氏
ITベンチャー企業を経て、国内セキュリティーベンダーで脅威分析、攻撃手法/防衛手法の双方の基礎技術研究を行う。その後ヤフー、デロイトトーマツコンサルティングを経てEYストラテジー・アンド・コンサルティングに入社。デロイトトーマツコンサルティング在籍時の2016年11月から現職。ホワイトハッカーとしても活動する。
株式会社 日本HP
エンタープライズ営業統括
営業企画部 プログラムマネージャー
大津山 隆 氏
1990年4月に横河ヒューレット・パッカード(現・日本HP)に入社。ソフトウエアのマーケティング、サーバーのマーケティング、SIの営業に従事したのち2018年からエンドポイント関連のセキュリティービジネス開発を担当。
――テレワークの普及にともなうIT環境の変化、それに連動したサイバーリスクの動向など、昨今のビジネスを取り巻く状況について教えてください。
西尾:新型コロナウイルスの感染拡大当初に、多くの企業・組織が突貫工事でテレワーク環境を整えました。そこで生じた問題が今、顕在化してきていると感じます。例えば、社員が自宅から社内ネットワークにアクセスできるようにするには、社員のPCにグローバルIPアドレスを割り当てる必要があります。これにより、社員のPCが組織外からも見える状態になっていて、そこがサイバー攻撃者に狙われています。
また、人に起因するリスクも増大しています。在宅勤務中の社員が貸与PCを使って何をしているか、確実に把握するのは困難だからです。悪意のあるなしに関係なく、業務と関係ないWebサイトにアクセスしたり、アプリやファイルをダウンロードしたりすることがあるでしょう。こうしたこともビジネスリスク拡大の要因になっています。
大津山:難しいのは、セキュリティー対策と社員の生産性はトレードオフになる場合が多いということですね。PC利用のポリシーの改正やソフトウエアの導入などでセキュリティー対策を強化すると、社員の利便性を下げてしまうおそれがある。不便になると、社員はセキュリティー対策を回避する方法を探すでしょう。かえってリスクを増大させてしまう可能性があります。
日本HPと日経BPコンサルティングが行った調査※によれば、「テレワーク推進のために必要なものは」という質問に対し、「セキュリティー」と答えた人が40%超で最多だった。一方、「コロナ以降新たに始めた/より注力するようになった業務」に「セキュリティー対策」を挙げた人が約30%、「在宅勤務環境の不満要因」の1つに「セキュリティーの確保」と回答した人が約20%おり、多くの社員がセキュリティー対策に手を焼いている実態も見えてきた。本来は、どこでも安全に働ける環境を提供すべきセキュリティー対策が、業務生産性を低下させているとなれば本末転倒だ。対策実施に当たっては、社員に負荷をかけない方法も同時に検討する必要がある。
※「ハイブリッドワークに関する調査」/日本HP、2023年1月
――そのような状況で、企業・組織に求められるセキュリティー対策のアプローチとはどのようなものでしょうか。
西尾:基本方針とすべきはゼロトラストですが、少し注意が必要です。そもそもゼロトラストとは、「あらゆるデバイスや通信を信用せず、都度の認証・認可を行う」アプローチのことですが、単一の定義や標準形が存在するものではありません。現在はセキュリティーベンダーが各社各様のゼロトラストを提唱しているのが実情ですが、中には中途半端なものもあり、それにならってしまうと大きな効果は望めないからです。
――実効性のある手法を見極めて、取り組むことが大切なのですね。具体的には、どのような点に注意すればよいのですか。
西尾:1つのポイントは、OS(オペレーティングシステム)よりも下層、PCの起動・制御を司るBIOSやハードウエアのセキュリティーまでを視野に入れているかどうかだと思います。現在はBIOSなどのファームウエア領域に不正侵入の入口を仕掛けるなど、OSの下層を狙うサイバー攻撃が急増しています。海外のサイバー犯罪集団の間には、同じくファームウエアであるUEFIに寄生するランサムウエアを作るところも登場しているようです。
大津山:おっしゃる通りですね。サイバー攻撃とセキュリティー対策の攻防が長年にわたって繰り広げられてきた結果、近年はOSよりも上の層ではある種の均衡状態が生まれています。そこでサイバー攻撃者は、まだ対策の取られていない新たな狙い目としてOSの下層に注目した。これは必然の流れといっていいでしょう。
――それでは、OSより下層を守るにはどうすればよいのでしょうか。
西尾:一般的なセキュリティー製品やPCユーザーが守れる領域ではない以上、保護はPCメーカーが責任をもって行うことが肝心です。つまりこれからはセキュリティー対策に対するPCメーカーの“本気度”が問われる時代、といえるのではないでしょうか。
もちろん、保護機能を実装すること以外にもPCメーカーが考えるべきことは多数あります。例えば、サプライチェーンリスクの低減はその1つです。PCが製造されてユーザーの手元に届くまでの流通経路のすべてのポイントで、プログラムが書き換えられたり、不審なチップが埋め込まれたりしていないかを確認する体制が必須です。
既に国レベルでは、IT機器の調達に当たってそのような点を強く意識しています。例えば米国では、政府機関が調達を行う際のセキュリティー基準としてNIST SP800-171というガイドラインを示しています。このような基準を満たす製造・流通プロセスを確立しているかどうかは、企業がPCメーカーを選ぶ上での判断材料になると思います。
――HPは、法人向け製品に対してどのようなセキュリティー対策を行っているのですか。
大津山:大きく2つのコンセプトで取り組んでいます。1つ目は、「ハードウエアが意図した構成で動くようにする」。具体的には、常に改ざんされていない純正のBIOSでのPC起動を実現する「HP Sure Start」という機能を提供しています。万一、コードの改ざんなどを検知した場合は、バックアップコピーを用いて正しい状態へ自動的に戻して起動します。
2つ目は「危ないものは封じ込める」。西尾さんからの指摘もありましたが、昨今のサイバー攻撃は人の「うっかり」行動を狙ったものが増えてきています。これをセキュリティー教育だけでゼロにすることは不可能ですし、セキュリティポリシーを厳しくし過ぎると生産性への影響が無視できません。危険な行動や攻撃経路は限定されているので、これを封じ込めて、たとえ侵入されても影響を局所化するというアプローチです。これは「HP Sure Click」という機能によるもので、PC内に侵入する脅威を仮想化技術によって隔離して封じ込め、最終的には仮想マシンと共に廃棄します。また、隔離した脅威を封じ込めたまま安全に分析する機能も有しています。
いずれも、ユーザーがセキュリティー対策のことを気にかける必要はありません。業務の生産性に影響を与えず、勝手に安全性を高めてくれるのです。また、先ほど西尾さんが指摘したサプライチェーンリスクの低減に向けてもHPは継続的に取り組んでいます。これらの取り組みによって、HPのPC製品は、設計・製造段階から安全性を考える「Security by Design」を具現化しています。
――なぜHPは、このようなSecurity by Designを実現できるのでしょうか。
大津山:当社はコンピューターをゼロから作ってきた数少ない会社の1つです。全てのビジネスPCに自社開発のBIOSを実装している他、その動作を監視するエンドポイントセキュリティコントローラー、各種ドライバーなどハードウエアを正しく動かすための技術も網羅的に有しています。さらに、社内にいわゆるPSIRT(Product Security Incident Response Team)を設置し、出荷後の脆弱性情報に対して透明性を持ったコミュニケーションを確保するとともに、タイムリーにその対策を実施することを可能にしています。そのため、OSより下層を含めたPC全体の設計を自身でコントロールし、設計から廃棄までの製品ライフサイクル全体のセキュリティーを統制することができます。これは、ほかのPCメーカーには真似することの難しい当社独自の強みだと自負しています。
――まさしく、セキュリティー対策に本気で挑んでいるPCメーカーということですね。
大津山:もちろんです。さきほど西尾さんが組織全体のセキュリティーガイドラインとしてNIST SP800-171に触れましたが、HPの製品はNIST SP800-193をはじめとした多くの機器レベルのNIST SP800シリーズのガイドラインを満たしています。このような点も、セキュアなものを調達いただく上での重要なポイントになると当社は考えています。
一連の技術やノウハウを注ぎ込んだHPの最新PCが「HP Elite Dragonfly G3」です。業務を支える多彩な機能に加え、高度なセキュリティー対策が強みです。ハイブリッドワークを支えるPCとして、お使いいただけると思います。
西尾:先ほど大津山さんが紹介した「ハードウエアが意図した構成で動くようにする」は、セキュアブートと呼ばれる技術によって実現されています。このセキュアブートは、OSより下層のリスクに対処する上で、カギを握る技術の1つだと私は考えています。この技術をPCに実装するには、そもそも「ハードウエアの正しい構成とはどんな状態か」を熟知していなければいけません。HPのようなメーカーは、今後ますます、市場で貴重な存在になっていくはずです。
大津山:ありがとうございます。実際、「どのようなPCを調達するか」で、その先数年間のお客様のセキュリティーレベルが決まります。その意味では、PCの調達仕様の見直しは、企業が早急に取り組むべき課題といえるでしょう。NIST SP800シリーズの調達仕様化を含め、ぜひ対応を検討していただきたいと思います。
米国国立標準技術研究所(NIST)の
最新セキュリティー基準を満たす
「HP Elite Dragonfly G3」
企業・組織を狙うサイバー攻撃は日増しに激化・巧妙化している。近年はOSより下層のファームウエアを狙った攻撃も急増しているが、それらは一般的なセキュリティー対策ソフトでは防げない。ハイブリッドワーク環境の情報を守るには、PCの製造段階から組み込まれたセキュリティー機構や、高度な技術に基づく対策が必要だ。HPでは、PCの黎明期から開発・製造に当たってきた技術力と知見を生かし、ハードウエアレベルのセキュリティーを製品に実装。多くの製品が米国国立標準技術研究所(NIST)の最新セキュリティー基準「NIST SP800-193」に準拠している。なかでもハードウエアの変更予防、BIOS自己回復に加え、顔認証/指紋認証などを備えた「HP Elite Dragonfly G3」は、これからの時代のビジネスリスクを低減する最適なPC製品といえるだろう。
HP Elite Dragonfly G3 製品詳細はこちら
【コラム】PCと環境対応③
2025年までに再生プラスチック使用率30%を目指す
エコフレンドリーであることが、あらゆる企業が目指すべき重要な価値となっている。そうした中、多くの企業が取り入れ始めているのが、環境を意識したメーカーの製品を選択・導入する「サステナブル調達」だ。この点HPは、先進的な取り組みをグローバルで展開しているITメーカーとして知られる。全社規模で資源の循環利用を推進しており、同社製品で使われる再生プラスチックの割合は、2022年11月時点で13%に達している。中には17%、30%に達する製品もあるという。その割合は今後も高めていき、2025年までに平均30%を目標にしている。HP製品を選ぶことが、間接的に地球環境への貢献につながるのだ。