もはやファイアウォールでは防ぎきれない――信頼せず、常に検証する“ゼロトラスト”への転換
このような事態を受け、HPEでは、新しいセキュリティ戦略である“ゼロトラスト”という考え方を推進している。Moore氏は、城塞をファイアウォールのイメージとした図を示しながら「組織や関係者のネットワークの外側にファイアウォールを設けても、その内側を守ることがとても難しくなっています。ファイアウォールの内側にいる関係者が、フィッシングメールをクリックしてしまったとします。あるいは、ハードウェアがUSBメモリなどを通じた物理的な攻撃を受けたとします。すると、ファイアウォール内部のほかの場所まで影響を及ぼしてしまうのです」と述べた。
Moore氏は新たなサイバーセキュリティ対策として、内側から外への防御を推進しているとし「HPEのサーバー製品は、ハードウェアの中のシリコンチップのなかにファームウェアを監視・検証する仕組みを搭載することで、サーバーの内側から、外部につながるクラウドまで守っていくようなアプローチをとるのです」とハードウェアを中心とした防御について説明を加えた。
独自のアーキテクチャーによるハードウェア根幹の防御で、耐攻撃性・可用性を担保
コンピューターには、BIOS(Basic Input/Output System)と呼ばれる、基盤となるファームウェアがあり、ハードウェアの初期化プロセスや、ハイパーバイザーやOSに制御を渡す役割を果たしている。
このBIOSが侵害されてしまうと、OSのセキュリティ機能やアンチウイルスソフトウェアからは検出が難しく、OSの制御も奪われてしまい、復旧も困難となる。この課題に対して、HPEでは、シリコンレベルでハードウェアを防御する「iLO(Integrated Lights-Out)」と呼ばれる小型コンピューターを搭載し、BIOSの監視をおこなうアプローチをとっている。
Moore氏は「ファームウェアは起動時におよそ40万行のコードを実行していますので、このセキュリティを担保することが重要です。HPEのSilicon Root of Trustはファームウェアへの侵害があった場合に、その変更情報をとらえてユーザーに通知する仕組みを持っています。ファームウェアのコピーを内部に保存しているので、侵害や改ざんがあった場合もすぐに復旧できます。監視は起動時だけでなく24時間おきに行います。他社製品もBIOSを監視するものはありますが、起動時のみです」とそのメカニズムについて解説した。
他社製品とのアーキテクチャーの違いを説明したMoore氏はこのあと、その違いが如実にあらわれた米国のヘルスケア企業の事例を紹介した。ある日従業員が受信したフィッシングメールが原因で、“SamSam”と呼ばれるランサムウェアのコードが発動・展開して組織内の全サーバーに対して消去される処理がなされた。
その侵入から8時間後、組織内の8割のサーバーは使用不能となったが、HPEのサーバーは全く被害を受けなかった。その後感染したサーバーをすべてHPE製品にリプレイスし、その費用は加入していたサイバーセキュリティ保険によって賄われたという。
「この被害を受け、この企業の担当者は、ハードウェアメーカーとしっかりパートナーを組むということと、サイバーセキュリティ保険へ加入し、被害にあった後も速やかに代替の機器を購入できることを教訓として学んだといいます」とMoore氏はサイバーセキュリティ保険の重要性を説いた。
確かな技術での防御と、サイバー保険の備えによって、インフラの信頼性を高めていく
Moore氏は、最近多くの企業がサイバーセキュリティ保険に加入しており、保険業界でも成長分野であると説明した。ある保険会社の関係者との話では、自動車保険のカテゴリの保険商品のシェアが、サイバーセキュリティ保険に移行しているという。この背景には、自動車の自動運転の普及があり、保証の対象が人から自動運転のソフトウェアやシステムにも及ぶようになっていくと予測されているのだ。
そんな中、保険仲介とリスク管理のグローバルリーダーであるMarsh社は「2019 Cyber Catalyst Designations」というプログラムを開始した。これは、Marsh社および大手保険会社がサイバーセキュリティのリスクを軽減するソリューションを選定することで、その認定製品を利用する顧客はより有利なサイバーセキュリティ保険契約条件を得られるというもの。
Moore氏は「HPE製品では、今回紹介した『HPE Silicon Root of Trust』と、モビリティ向けのネットワークセキュリティ製品『Aruba Policy Enforcement Firewall』の2つが選定されました。サーバー製品で選定された企業はHPEだけです」と紹介した。
「2019 Cyber Catalyst Designations」プログラムは北米で始まったものであるが、グローバルに展開する保険会社が参画していることもあって、これらの企業が日本でもサイバーセキュリティ保険を促進していくであろうとMoore氏は話した。
今回の選定による具体的な補償内容の優位性などについてMoore氏に聞くと、「保険会社の商品内容次第であるため定量化されたものはない」としたものの、「たとえば、火災報知器が十分な数ある設備なら、より少ない設備よりも火災保険において優遇されるはずです。同じようにデータセンター内でHPE製品を多くの割合で導入していれば、より高い補償を得られるでしょう」との見解を示した。
最後に、Moore氏に今後の展望を聞くと、「ゼロトラスト防御の考え方をファームウェアだけでなくOSや仮想マシン、コンテナレベルまで広げていきます。マルウェアやランサムウェアの攻撃があったとしてもアプリケーションやソフトウェア、クラウドなどすべて検知・復旧できるようになるのです。HPEは昨年、”Everything as a Service”という戦略を発表しました。すべての製品をサービスとして展開していくのですが、どのサービスもセキュアな形で提供できるようにしていきたいです」と語った。