なぜ今「ゼロトラスト」が注目を集めているのか
現在、セキュリティの世界において高い注目を集めている「ゼロトラスト」。日本HP サービス・ソリューション事業本部 クライアントソリューション本部 ビジネス開発部 プログラムマネージャ 大津山隆氏は、現在ゼロトラストが脚光を浴びている背景をビジネスの観点から次のように考察する。
「ビジネスにおいてクラウドサービスとモバイルデバイスの利用が普及し、またコロナ禍対応のために在宅勤務が急増したことから、社外の環境からインターネットに直接端末をつないで仕事をする機会が増えました。これにより、従来のように社内ネットワークとインターネットの境界上でセキュリティ対策を実行する境界防御の有効性が薄れ、それに代わるセキュリティモデルとしてゼロトラストが注目されるようになりました」
ビジネス開発部 プログラムマネージャ 大津山隆氏
また近年のサイバー攻撃の手法は高度化・巧妙化の一途を辿っており、メールやWebアクセスなど正規のプロトコルに便乗して境界防御を突破し、侵入後はPowerShellやWindows APIなど正規ツールを悪用してマルウェアをダウンロードする。そのため従来型の境界防御の仕組みでは侵入や感染をもはや阻止しきれなくなってきており、このこともまたゼロトラストのような新たなセキュリティモデルが必要とされる一因となっている。
なおゼロトラストとはその名の通り、外部からのアクセスを一切信頼することなく、そのアクセスが正当なものであるかどうかを常に検証するという考え方を指している。キーワードとしてのゼロトラストはまだ歴史が浅いものの、大津山氏によればその主要な構成要素は以前から存在していたものばかりだという。
「セキュアなシステムを設計するための経験則として、昔から『最小特権』『強制アクセスコントロール』『細かい粒度のセグメンテーション』『強力な個人の識別』などが大事だと言われてきました。これらの基本原則を、現代の環境に適合するよう組み合わせたものがゼロトラストであると弊社ではとらえています」
加えて、ネットワークの「内と外」の境界がなくなった世界においては、これまでネットワーク境界上で行ってきた対策をPCやサーバーといったエンドポイント上で行う必要が出てくる。そのためゼロトラストにおいては、従来のセキュリティモデルと比べてエンドポイントセキュリティが持つ重要性が比べ物にならないほど高まることになる。
ゼロトラストの原則をエンドポイントに適用する「HP Sure Click Enterprise」
こうしたことから、HPでは前述の4つの「ゼロトラストの基本原則」をエンドポイントセキュリティに適用するアプローチこそが、今後必要とされるセキュリティソリューションであると考えているという。
この方針に従い、現在同社ではハードウェアとソフトウェアの両面で多様なエンドポイントセキュリティソリューションを提供しているが、中でも特にユニークな存在が「HP Sure Click Enterprise」というソフトウェア製品だ。
この製品は元々米国のセキュリティ企業Bromiumが開発したもので、2019年にHPが同社を買収したことによりHPブランドの製品として提供されるようになった。独自の「アプリケーションの隔離と封じ込め」の技術によって、先ほど挙げた4つの基本原則をエンドポイントセキュリティに適用することを可能にするという。
具体的には「電子メールの添付ファイルやWebダウンロードを開く」「URLリンクをクリックする」など、一般的にセキュリティリスクが高いと考えられるタスクを実行する際に、独自の仮想化技術を用いてアプリケーションをそれぞれ個別の仮想マシンの中で実行させる。
もし万が一そのアプリケーションの処理に起因するセキュリティ侵害が発生したとしても、CPUハードウェアの機能を用いた強力な仮想化技術を用いているため、その影響が他の仮想マシンやホストOSに及ぶことはない。
この技術は、元々Xenプロジェクトの中心メンバーとして活躍し、仮想化やOSの技術について知り尽くしている旧Bromium社の技術者たちによって設計・開発されているため、仮想マシンの起動や動作は極めて軽量かつ安定しているという。
「日本HPの社内でも実際にHP Sure Click Enterpriseを運用していますが、PC上で仮想マシンが20~30個立ち上がっていても処理が重くなる感覚はほとんどありません。また仮想マシン内で動かすといっても、アプリケーションの使い勝手自体は一切変わりませんから、ユーザーの生産性に影響を及ぶこともありません」(大津山氏)
「イントロスペクション」による攻撃者の意図の理解
このHP Sure Click Enterpriseを導入した環境においては、もしメールの添付ファイルや不正サイトからダウンロードしたファイルを開いてマルウェアに感染してしまったとしても、ファイルを開いたアプリケーションが動いている仮想マシンをシャットダウンすればマルウェアのプロセスも同時に消えるため、被害を完全に封じ込めることができる。
PCをネットワークから隔離したり、再インストール作業を行うこと必要もなくそのまま使い続けられるため、たとえマルウェアの侵入・感染を許したとしても迅速に対処でき、かつPCのエンドユーザーやIT管理者の生産性を低下させることもない。
そしてHP Sure Click Enterpriseのもう1つの大きな特徴は、仮想マシン内でマルウェアの挙動を子細に観察できる点にある、と大津山氏は説明する。
「仮想マシン内であればどれだけ危険なマルウェアであっても安全に実行できますし、サンドボックス環境を検知して実行を保留するような高度なマルウェアであっても、通常の環境と同じように実行できます。こうしてマルウェアの挙動を『イントロスペクション』と呼ばれる技術を使って仮想マシンの外部から詳しく観測できるので、脅威の実態をより深く分析できるようになります」
具体的には、仮想マシン内で不正プロセスが行った処理の履歴を記録し、「HP Sure Controller」と呼ばれるダッシュボード画面を通じて様々な切り口から集計・分析できる。またレポーティング機能も備えており、一定期間内にどれだけの脅威が検知され、それらがサイバーキルチェーンのどの段階にまで至っていたかをグラフィカルなレポート画面上において一目で把握できるようになっている。
これまでゼロポイントに欠けていたピースを埋める
なおHP Sure Click Enterpriseは、HPが買収する前ではあるが、2016年に米国国防総省に採用されて55万台のデスクトップ端末に導入されるなど、これまで欧米の政府機関を中心に数多くの採用実績がある。
現在ではHPのセキュリティポートフォリオ「HP Wolf Security」の中に組み込まれ、特にセキュリティ対策がある程度進んでいる大企業や政府機関向けに特化したソリューション群「HP Wolf Enterprise Security」の中で重要な位置を占めているという。
大津山氏はHP Sure Click Enterpriseについて、「現在多くの企業において対策が手薄になっているセキュリティ領域をうまくカバーしてくれる製品だ」と高く評価する。
「セキュリティ対策のアーキテクチャ全体を考える上で、NIST フェローのロン・ロス氏の『多次元サイバー防衛戦略』が有益な示唆を与えてくれます。これによれば、境界防御が有効性を失った今日、セキュリティ対策は『空間に対する防御』『時間に対する防御』『システムのレジリエンス』の3つの次元でとらえるべきだとしています」
この説に従えば、ネットワークセキュリティについては1次元目の「空間に対する防御」には境界防御が、2次元目の「時間に対する防御」にはマイクロセグメンテーション、きめ細かな認証などが、そして3次元目の「システムのレジリエンス」については脅威インテリジェンスや復旧自動化といったソリューションが該当する。またエンドポイントセキュリティについても、1次元目にはパッチ対応や脅威検知、3次元目にはやはり脅威インテリジェンスや復旧自動化などが該当し、これらをカバーするソリューションが既にある程度出揃っている。
しかしエンドポイントセキュリティの2次元目の領域については、現状ではかなり手薄なのが実情だという。
「2次元目の“時間の観点”とは要するに、攻撃者のゲームプランをなるべく邪魔して時間を稼ぎ、攻撃を諦めさせたり被害を限定化しようというものです。エンドポイントでいえばマイクロ仮想化や仮想マシンの使い捨ての技術がこれに該当するのですが、これを実現できるソリューションがこれまでは抜け落ちていました。HP Sure Click Enterpriseはその点、『アプリケーションの隔離と封じ込め』の技術を使ってまさにこの部分を実装しており、ゼロトラストに欠けていたピースをうまく埋めてくれるソリューションだと言えます」(大津山氏)
