「イントロスペクション」による攻撃者の意図の理解
このHP Sure Click Enterpriseを導入した環境においては、もしメールの添付ファイルや不正サイトからダウンロードしたファイルを開いてマルウェアに感染してしまったとしても、ファイルを開いたアプリケーションが動いている仮想マシンをシャットダウンすればマルウェアのプロセスも同時に消えるため、被害を完全に封じ込めることができる。
PCをネットワークから隔離したり、再インストール作業を行うこと必要もなくそのまま使い続けられるため、たとえマルウェアの侵入・感染を許したとしても迅速に対処でき、かつPCのエンドユーザーやIT管理者の生産性を低下させることもない。
そしてHP Sure Click Enterpriseのもう1つの大きな特徴は、仮想マシン内でマルウェアの挙動を子細に観察できる点にある、と大津山氏は説明する。
「仮想マシン内であればどれだけ危険なマルウェアであっても安全に実行できますし、サンドボックス環境を検知して実行を保留するような高度なマルウェアであっても、通常の環境と同じように実行できます。こうしてマルウェアの挙動を『イントロスペクション』と呼ばれる技術を使って仮想マシンの外部から詳しく観測できるので、脅威の実態をより深く分析できるようになります」
具体的には、仮想マシン内で不正プロセスが行った処理の履歴を記録し、「HP Sure Controller」と呼ばれるダッシュボード画面を通じて様々な切り口から集計・分析できる。またレポーティング機能も備えており、一定期間内にどれだけの脅威が検知され、それらがサイバーキルチェーンのどの段階にまで至っていたかをグラフィカルなレポート画面上において一目で把握できるようになっている。
これまでゼロポイントに欠けていたピースを埋める
なおHP Sure Click Enterpriseは、HPが買収する前ではあるが、2016年に米国国防総省に採用されて55万台のデスクトップ端末に導入されるなど、これまで欧米の政府機関を中心に数多くの採用実績がある。
現在ではHPのセキュリティポートフォリオ「HP Wolf Security」の中に組み込まれ、特にセキュリティ対策がある程度進んでいる大企業や政府機関向けに特化したソリューション群「HP Wolf Enterprise Security」の中で重要な位置を占めているという。
大津山氏はHP Sure Click Enterpriseについて、「現在多くの企業において対策が手薄になっているセキュリティ領域をうまくカバーしてくれる製品だ」と高く評価する。
「セキュリティ対策のアーキテクチャ全体を考える上で、NIST フェローのロン・ロス氏の『多次元サイバー防衛戦略』が有益な示唆を与えてくれます。これによれば、境界防御が有効性を失った今日、セキュリティ対策は『空間に対する防御』『時間に対する防御』『システムのレジリエンス』の3つの次元でとらえるべきだとしています」
この説に従えば、ネットワークセキュリティについては1次元目の「空間に対する防御」には境界防御が、2次元目の「時間に対する防御」にはマイクロセグメンテーション、きめ細かな認証などが、そして3次元目の「システムのレジリエンス」については脅威インテリジェンスや復旧自動化といったソリューションが該当する。またエンドポイントセキュリティについても、1次元目にはパッチ対応や脅威検知、3次元目にはやはり脅威インテリジェンスや復旧自動化などが該当し、これらをカバーするソリューションが既にある程度出揃っている。
しかしエンドポイントセキュリティの2次元目の領域については、現状ではかなり手薄なのが実情だという。
「2次元目の“時間の観点”とは要するに、攻撃者のゲームプランをなるべく邪魔して時間を稼ぎ、攻撃を諦めさせたり被害を限定化しようというものです。エンドポイントでいえばマイクロ仮想化や仮想マシンの使い捨ての技術がこれに該当するのですが、これを実現できるソリューションがこれまでは抜け落ちていました。HP Sure Click Enterpriseはその点、『アプリケーションの隔離と封じ込め』の技術を使ってまさにこの部分を実装しており、ゼロトラストに欠けていたピースをうまく埋めてくれるソリューションだと言えます」(大津山氏)
