ワークスタイルが多様化する中、新たな課題として浮上しているのが増大するセキュリティーリスクだ。特にPCなどのエンドポイントデバイスは、コロナ禍前よりも利用シーンが多様化したことで、サイバー攻撃の被害にあいやすくなっている。従来のセキュリティーソフトによる対策だけでは不十分といわれる中、企業にはどのような対応が求められるのか。サイバーセキュリティーに詳しい多摩大学の西尾 素己氏と日本HPの大津山 隆氏に聞く。

※本記事は日経ビジネスに掲載されたコンテンツを転載したものです

多摩大学
ルール形成戦略研究所 客員教授
西尾 素己 氏

ITベンチャー企業を経て、国内セキュリティーベンダーで脅威分析、攻撃手法／防衛手法の双方の基礎技術研究を行う。その後ヤフー、デロイトトーマツコンサルティングを経てEYストラテジー・アンド・コンサルティングに入社。デロイトトーマツコンサルティング在籍時の2016年11月から現職。ホワイトハッカーとしても活動する。

株式会社 日本HP
エンタープライズ営業統括
営業企画部 プログラムマネージャー
大津山 隆 氏

1990年4月に横河ヒューレット・パッカード（現・日本HP）に入社。ソフトウエアのマーケティング、サーバーのマーケティング、SIの営業に従事したのち2018年からエンドポイント関連のセキュリティービジネス開発を担当。

様々な環境で使われるようになったPCがサイバー攻撃の狙い目に

――テレワークの普及にともなうIT環境の変化、それに連動したサイバーリスクの動向など、昨今のビジネスを取り巻く状況について教えてください。

西尾：新型コロナウイルスの感染拡大当初に、多くの企業・組織が突貫工事でテレワーク環境を整えました。そこで生じた問題が今、顕在化してきていると感じます。例えば、社員が自宅から社内ネットワークにアクセスできるようにするには、社員のPCにグローバルIPアドレスを割り当てる必要があります。これにより、社員のPCが組織外からも見える状態になっていて、そこがサイバー攻撃者に狙われています。

また、人に起因するリスクも増大しています。在宅勤務中の社員が貸与PCを使って何をしているか、確実に把握するのは困難だからです。悪意のあるなしに関係なく、業務と関係ないWebサイトにアクセスしたり、アプリやファイルをダウンロードしたりすることがあるでしょう。こうしたこともビジネスリスク拡大の要因になっています。

大津山：難しいのは、セキュリティー対策と社員の生産性はトレードオフになる場合が多いということですね。PC利用のポリシーの改正やソフトウエアの導入などでセキュリティー対策を強化すると、社員の利便性を下げてしまうおそれがある。不便になると、社員はセキュリティー対策を回避する方法を探すでしょう。かえってリスクを増大させてしまう可能性があります。

※「ハイブリッドワークに関する調査」／日本HP、2023年1月

OSより下の層へのセキュリティー対策の重要性が増大

――そのような状況で、企業・組織に求められるセキュリティー対策のアプローチとはどのようなものでしょうか。

西尾：基本方針とすべきはゼロトラストですが、少し注意が必要です。そもそもゼロトラストとは、「あらゆるデバイスや通信を信用せず、都度の認証・認可を行う」アプローチのことですが、単一の定義や標準形が存在するものではありません。現在はセキュリティーベンダーが各社各様のゼロトラストを提唱しているのが実情ですが、中には中途半端なものもあり、それにならってしまうと大きな効果は望めないからです。

――実効性のある手法を見極めて、取り組むことが大切なのですね。具体的には、どのような点に注意すればよいのですか。

西尾：1つのポイントは、OS（オペレーティングシステム）よりも下層、PCの起動・制御を司るBIOSやハードウエアのセキュリティーまでを視野に入れているかどうかだと思います。現在はBIOSなどのファームウエア領域に不正侵入の入口を仕掛けるなど、OSの下層を狙うサイバー攻撃が急増しています。海外のサイバー犯罪集団の間には、同じくファームウエアであるUEFIに寄生するランサムウエアを作るところも登場しているようです。

大津山：おっしゃる通りですね。サイバー攻撃とセキュリティー対策の攻防が長年にわたって繰り広げられてきた結果、近年はOSよりも上の層ではある種の均衡状態が生まれています。そこでサイバー攻撃者は、まだ対策の取られていない新たな狙い目としてOSの下層に注目した。これは必然の流れといっていいでしょう。

――それでは、OSより下層を守るにはどうすればよいのでしょうか。

西尾：一般的なセキュリティー製品やPCユーザーが守れる領域ではない以上、保護はPCメーカーが責任をもって行うことが肝心です。つまりこれからはセキュリティー対策に対するPCメーカーの“本気度”が問われる時代、といえるのではないでしょうか。

もちろん、保護機能を実装すること以外にもPCメーカーが考えるべきことは多数あります。例えば、サプライチェーンリスクの低減はその1つです。PCが製造されてユーザーの手元に届くまでの流通経路のすべてのポイントで、プログラムが書き換えられたり、不審なチップが埋め込まれたりしていないかを確認する体制が必須です。

既に国レベルでは、IT機器の調達に当たってそのような点を強く意識しています。例えば米国では、政府機関が調達を行う際のセキュリティー基準としてNIST SP800-171というガイドラインを示しています。このような基準を満たす製造・流通プロセスを確立しているかどうかは、企業がPCメーカーを選ぶ上での判断材料になると思います。

セキュリティーに本気で挑むメーカーのPC製品を選ぶべき

――HPは、法人向け製品に対してどのようなセキュリティー対策を行っているのですか。

大津山：大きく2つのコンセプトで取り組んでいます。1つ目は、「ハードウエアが意図した構成で動くようにする」。具体的には、常に改ざんされていない純正のBIOSでのPC起動を実現する「HP Sure Start」という機能を提供しています。万一、コードの改ざんなどを検知した場合は、バックアップコピーを用いて正しい状態へ自動的に戻して起動します。

2つ目は「危ないものは封じ込める」。西尾さんからの指摘もありましたが、昨今のサイバー攻撃は人の「うっかり」行動を狙ったものが増えてきています。これをセキュリティー教育だけでゼロにすることは不可能ですし、セキュリティポリシーを厳しくし過ぎると生産性への影響が無視できません。危険な行動や攻撃経路は限定されているので、これを封じ込めて、たとえ侵入されても影響を局所化するというアプローチです。これは「HP Sure Click」という機能によるもので、PC内に侵入する脅威を仮想化技術によって隔離して封じ込め、最終的には仮想マシンと共に廃棄します。また、隔離した脅威を封じ込めたまま安全に分析する機能も有しています。

いずれも、ユーザーがセキュリティー対策のことを気にかける必要はありません。業務の生産性に影響を与えず、勝手に安全性を高めてくれるのです。また、先ほど西尾さんが指摘したサプライチェーンリスクの低減に向けてもHPは継続的に取り組んでいます。これらの取り組みによって、HPのPC製品は、設計・製造段階から安全性を考える「Security by Design」を具現化しています。

――なぜHPは、このようなSecurity by Designを実現できるのでしょうか。

大津山：当社はコンピューターをゼロから作ってきた数少ない会社の1つです。全てのビジネスPCに自社開発のBIOSを実装している他、その動作を監視するエンドポイントセキュリティコントローラー、各種ドライバーなどハードウエアを正しく動かすための技術も網羅的に有しています。さらに、社内にいわゆるPSIRT（Product Security Incident Response Team）を設置し、出荷後の脆弱性情報に対して透明性を持ったコミュニケーションを確保するとともに、タイムリーにその対策を実施することを可能にしています。そのため、OSより下層を含めたPC全体の設計を自身でコントロールし、設計から廃棄までの製品ライフサイクル全体のセキュリティーを統制することができます。これは、ほかのPCメーカーには真似することの難しい当社独自の強みだと自負しています。

――まさしく、セキュリティー対策に本気で挑んでいるPCメーカーということですね。

大津山：もちろんです。さきほど西尾さんが組織全体のセキュリティーガイドラインとしてNIST SP800-171に触れましたが、HPの製品はNIST SP800-193をはじめとした多くの機器レベルのNIST SP800シリーズのガイドラインを満たしています。このような点も、セキュアなものを調達いただく上での重要なポイントになると当社は考えています。

一連の技術やノウハウを注ぎ込んだHPの最新PCが「HP Elite Dragonfly G3」です。業務を支える多彩な機能に加え、高度なセキュリティー対策が強みです。ハイブリッドワークを支えるPCとして、お使いいただけると思います。

西尾：先ほど大津山さんが紹介した「ハードウエアが意図した構成で動くようにする」は、セキュアブートと呼ばれる技術によって実現されています。このセキュアブートは、OSより下層のリスクに対処する上で、カギを握る技術の1つだと私は考えています。この技術をPCに実装するには、そもそも「ハードウエアの正しい構成とはどんな状態か」を熟知していなければいけません。HPのようなメーカーは、今後ますます、市場で貴重な存在になっていくはずです。

大津山：ありがとうございます。実際、「どのようなPCを調達するか」で、その先数年間のお客様のセキュリティーレベルが決まります。その意味では、PCの調達仕様の見直しは、企業が早急に取り組むべき課題といえるでしょう。NIST SP800シリーズの調達仕様化を含め、ぜひ対応を検討していただきたいと思います。