日本HPは6月10日、米HPが5月12日(米国太平洋時間)に発表したセキュリティリポート「HP Wolf Security Blurred Lines & Blindspots」の日本語版を公開した。この調査では、日本を含む世界7カ国の8443人のオフィスワーカーと1100人のIT部門の意思決定者を対象とするアンケート調査を始めとする複数の調査の結果をまとめたものである。

 先般、HPは「HP Wolf Security」というブランドで統合型セキュリティソリューションを展開している。このHP Wolf Securityではエンドポイント、言い換えるとクライアントPCにおけるセキュリティ強化を最重要視していることが特徴だ。

 なぜ今、エンドポイントセキュリティの強化に取り組むのか――HP Wolf Security Blurred Lines & Blindspots(以下「調査レポート」)の日本語版公開に合わせて、日本HPがその狙いを説明した。

●進むテレワーク 広がる脅威 エンドポイントでの対策が重要に

 新型コロナウイルスの感染拡大を受けて、日本はもちろん海外でもテレワーク(在宅勤務やシェアオフィス/サテライトオフィスへの出勤)をする人が増えている。テレワークに当たって、会社からPCなどの支給を受けるケースもあれば、個人所有のPCを業務利用するケースもある。

 その影響からか、調査レポートによると、日本でも海外でも仕事用デバイスを私的に(個人用途)に使うケースが増えているという。また、サーバなどにある会社のデータに自宅からアクセスする機会も増えているようだ。

 一方、悪意を持って会社のデータを盗み取ろうとする「クラッカー」にとっては、テレワークをしている個人は格好の“標的”となる。同じく調査レポートによると、新型コロナウイルスの流行後、サイバー攻撃の回数は世界で238%増加し、中でもメールや添付ファイルを使った「標的型攻撃」への対策が急務となっている。

 標的型攻撃への対処することを考えた場合、会社のオフィス内で会社から支給されたPCだけを使うなら、管理者側がある程度のセキュリティ対策を講じやすい。しかし、テレワーク、特に在宅勤務が広がると管理者側で対策を講じきれない可能性も高まる。

 とはいえ、テレワークが定着した企業では、従来のオフィス主体の働き方に戻る可能性は低い。そうなると、ゼロトラスト(※1)の考え方に基づいて、クライアント(PC)サイドで最大限のセキュリティ対策を講じる必要が生じてくる。

(※1)その名の通り「信頼なし」、つまりユーザーを全く信頼しない前提でセキュリティを構築する考え方

●セキュリティは「HPのDNA」 ハードウェアベースの独自防護も

 ビジネス向けモデルを中心に、HPのPCはOSより下のレイヤー(UEFIなど)におけるセキュリティ対策を強化してきた。「セキュリティはHPのDNAである」と豪語するほどだ。

 同社は「ユーザーが何をしても“安全”かつ“守られている”こと」がエンドポイントセキュリティにおいて重要であると考えている。一方で、「企業のIT管理者の負担をできる限り軽減すること」も重要視している。

 HP Wolf Securityは、そんな同社の取り組みをさらに強化するために生まれたブランドといえる。PC上で動くOSやアプリだけではなく、OSの下にあるファームウェア(UEFI)やハードウェアのレベルまで、PC自体を極限までセキュアな存在とするためのソリューションなのだ。

 HPのビジネス向けPCの一部には、同社が独自設計した半導体「HP Endpoint Security Controller(ESC)」が組み込まれている。ESCはPCのハードウェアからは独立して稼働し、電源がオフの場合でもPCの状態を常時監視できるようになっている。

 ESCを搭載(有効化)したPCでは、電源を入れるとCPUの稼働開始前(≒PCの動作開始前)にPC全体の整合性チェックが行われる。このチェックで、例えばファームウェアに異常(≒クラッキングの痕跡)が見つかった場合は、ESCがゴールデンコピー(原本)からファームウェアの上書きを行い、正常な状態に戻す。

 ファームウェアのセットアップ画面に入る際のセキュリティを厳格化する「HP Sure Admin」や、OSがウイルスで起動できなくなったり、リカバリーイメージが破壊されたりししても、ネットワーク経由で“正しい”イメージでリカバリーできる「HP Sure Recover」も、ESCを活用して提供される。

 ESCは他社のPCにはない、HPのPC固有の強みとなっている。

●マルウェアを誤って開いてしまっても“安心”な環境を

 HPが自社で調べたデータによると、マルウェアの多くは電子メールあるいはWord文章を介して侵入してくるという。最近は手口が巧妙なものもあり、エンドユーザーがいくら気を付けても侵入を許してしまうケースも否定できない。

 同社のHP Wolf Securityでは「(マルウェアの侵入を許した)ユーザーを責めない」という方針でセキュリティを確保するという。具体的には、マルウェアを含むメールやファイルを誤って開いてしまっても、PC内やネットワーク上のデータに影響が及ばない環境を作るということだ。

 それを実現するのが「HP Sure Click Pro」だ。Sure Click Proでは、Webブラウザ(※2)やOfficeアプリなどをマイクロVM(小さな仮想マシン)上で稼働させる。1つ1つのウィンドウ(タブ)が“別のPC”としてふるまうため、あるウィンドウで万が一マルウェアが動いてしまったとしても、他のウィンドウやアプリ、ファイルには影響が及ばないという仕組みだ。

(※2)Windows 10上で稼働するInternet Explorer、Chrome、Chromiumをサポート

 マイクロVMは、ミッションクリティカルなアプリでの利用を想定した「HP Sure Access Enterprise」にも適用される。この機能で稼働中のアプリは、他のプロセスとの通信が「仮想的なエアギャップ」によって隔離される。キーストロークの傍受や介入、入出力へのアクセスやスクリーンの傍受(スクリーンショット)も行えない。万が一、マイクロVMが稼働しているOS側がクラッキングされたとしても、マイクロVM上のデータは防護される。

●組織の規模に合わせたセキュリティ機能を提供

 HP Wolf Secrityでは、PC側のエンドポイントセキュリティだけではなく、それを管理するための有料サブスクリプションサービスを組み合わせて提供している。

 最も基本的な機能は「HP Wolf Secrity for Businesss」として提供している。これはHPのビジネス向けPC(HP Pro/HP Elite/HP Workstation)を購入すれば標準で付帯し、誰でも利用できる。

 ある程度のユーザーがいる組織(中小企業)には、「HP Wolf Pro Security」というサービスが用意されている。Webコンソール経由でPCを集中管理したり、HPの専門家からサポートや助言を受けたりできる上、必要な設定をあらかじめ済ませたPCも購入できるので、IT担当者の負荷も減らせるという。一部機能に制限はあるが、他社PC(Windows 10/macOS/Chrome OS)やモバイル端末(Android/iOS)もまとめて管理できるオプションも用意されている。

 大企業向けには「HP Wolf Enterprise Security」が用意されている。大企業では独自にセキュリティソリューションを導入していることも多いため、機能を「モジュール化」し、既存のソリューションと協調動作させるカスタマイズや、既存ソリューションのリプレースにも応じるという。