中小企業に導入してもらえる セキュリティ提案 Part1

地球規模でサイバー攻撃が激増する中で、セキュリティ対策が手薄な中小企業を狙った事案が増加している。予算や人員の不足から今まで十分なセキュリティ対策に手が回らなかった中小企業や小規模事業者も、いよいよ本腰を入れてセキュリティ対策を講じなければならない状況だ。そこで本特集では、中小企業にも検討・導入してもらえるセキュリティ商材と提案・商談の成功シナリオに役立つ情報を取り上げる。

　情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」の2023年版によると企業などの組織における脅威のトップは「ランサムウェアによる被害」で、「サプライチェーンの弱点を悪用した攻撃」そして「標的型攻撃による機密情報の窃取」が続く。

　組織における脅威の動向についてIPAのセキュリティセンター 中小企業支援グループでグループリーダーを務める江島将和氏は「しっかりとセキュリティ対策を講じている組織を狙って手間と時間をかけるよりも、セキュリティ対策が不十分な組織を狙う方が効率が良いという攻撃者の心理が表れているのがサプライチェーンの弱点を悪用した攻撃です」と指摘する。

　実際に大企業と取引のある中小企業の中でセキュリティ対策が甘い企業が攻撃を受け、そこが踏み台にされて大企業が攻撃されたり、サプライチェーン全体のビジネスが被害を受けたりする事案が多く報道されている。

　例えば自動車メーカーと取引のある部品メーカーの子会社が攻撃を受けて部品を生産できなくなり、自動車メーカーの生産も止まってしまったという事件があった。また病院に給食を納入している業者が攻撃を受け、そこを経由して病院の電子カルテシステムが攻撃を受けた事件もあった。いずれも中小企業のセキュリティ対策の脆弱性を突いたサプライチェーン攻撃だ。

　IPAが2022年5月に発表した「2021年度 中小企業における情報セキュリティ対策に関する実態調査」の報告書では、中小企業のセキュリティ対策は前回調査の2016年度の結果と比較して、5年間でわずかに改善しているものの、依然として課題が多いと指摘している。すなわち5年間でほぼ進展がなかったと読み取れる。

　2021年度の調査の中に2020年度の1年間に情報セキュリティ被害に遭ったか否かを聞いた設問があり、何らかの被害に遭ったと回答した割合が5.7％であったのに対して、被害に遭っていないと回答した割合は84.3％だった。

　IPAの江島氏は「国内に中小企業は約357万社あり、5.7％という数字は約20万社に当たり決して少なくはありません」と指摘する。さらに「被害に遭っていないと回答した企業の中に、被害に遭っていることに気付いていないケースがあると推測されます」と付け加える。

　そこでIPAは実態を調査するとともに、中小企業のセキュリティ対策への取り組みを支援することを目的に2019年と2020年の2年間にわたって実証事業を実施した。

　実証実験では中小企業におけるセキュリティ被害の実態を把握するために、約1,100社にファイアウォールやUTMなどのセンサーを設置して調査した。その結果、設置した全ての企業が何らかのサイバー攻撃を受けており、実害が生じているケースも多数あったという。

　セキュリティ対策では平時の対応と有事への備えが求められる。江島氏は「サイバー攻撃にはさまざまな手口がありますが、ソフトウェアの脆弱性を狙う、ウイルスに感染させる、パスワードを窃取する、ソフトウェアやクラウドサービスなどの設定の不備を突く、フィッシングメールのように罠にはめるなど、基本的に手口は変わっていません。これらへの対策となるソフトウェアのアップデートやウイルス対策ソフトの導入、設定の見直しなど基本的な対策を組み合わせて実施することで、万全とは言えませんが非常に効果のある対策が実施できます」とアドバイスする。

　有事への備えも重要だ。中小企業の情報セキュリティ対策ガイドラインの最新版となる第3.1版には、セキュリティインシデント発生時の対応に具体的な方策が追加された（第2部5章に「セキュリティインシデント対応」を追加）。

　江島氏は「ガイドラインに有事に備えた具体的な対応手順を明示していますが、平時の対応も含めて中小企業が自社で取り組むのには限界があると考えています」と話す。
　そこでIPAは前述の実証実験を通じて2021年度より「サイバーセキュリティお助け隊サービス」の提供を開始している。

　サイバーセキュリティお助け隊サービスでは「見守り」「駆付け」「保険」の三つのサービスをワンパッケージで、IT事業者を通じてユーザー企業に提供される。見守りではUTMやEDRを導入してネットワークやPCへの攻撃を監視する。そしてインシデントが発生した場合はIT事業者が駆け付けて、あるいはリモートで対処を支援する。このインシデントへの対処にかかる費用が簡易サイバー保険で補償される仕組みだ。

　サイバーセキュリティお助け隊サービスはネットワーク監視型が月額1万円以下（税抜き）、端末監視型が1台当たり月額2,000円以下（税抜き）で利用でき、端末1台から契約できる。いずれも相談窓口、ネットワークおよび端末の24時間監視、緊急時の対応支援、簡易サイバー保険がワンパッケージで提供される。

　江島氏は「サイバーセキュリティお助け隊サービスには安価にセキュリティ対策を強化できるメリットがあります。経済産業省のIT導入補助金を利用すれば最大半額が補助されます」と強調する。

　現在（2023年6月末時点）、サイバーセキュリティお助け隊サービスには35サービスが登録されている。サービスの登録審査については「サイバーセキュリティお助け隊サービス基準」に基づき、主に相談窓口、異常の監視の仕組み、緊急時の対応支援、中小企業でも導入・運用できる簡単さ、簡易サイバー保険、中小企業でも導入・維持できる価格などの要件で審査される。審査は年間3回実施されており、2021年より6回ほど実施された。

　江島氏は「今後はコンピューターだけではなくネットワークにつながるあらゆる製品がセキュリティ対策の対象となります。すでに企業が製造または販売するIoT製品などに含まれる脆弱性やセキュリティインシデントへの対応が求められており、『製品セキュリティインシデント対応体制（PSIRT：Product Security Incident Response Team）』の構築を進める企業も出てきています」と指摘する。

　企業に対するサイバー攻撃が増加する中で、いち早く対策を講じたのは金融業や防衛産業といったセキュリティ意識が高い業種だ。日本マイクロソフトでは、そうした業種からの需要を踏まえて、PCのセキュリティ機能をマイクロソフトの推奨する基準に合わせて、あらかじめパッケージ化して搭載した「Secured-Core PC」を提唱している。しかし、Secured-Core PCに対する需要は、当初予想されていた業種よりも大きく広がりを見せている。

　日本マイクロソフト デバイスパートナーソリューション事業本部 マーケティング戦略本部 Commercial Windows戦略部長の仲西和彦氏は「実際に金融関係や防衛産業などでの導入も増えてきましたが、コロナ禍を経て今一番Secured-Core PCをお薦めしたいのは、中小企業さまです。中小企業さまのセキュリティ管理は専任のIT管理者ではなく、ITリテラシーが高くない兼業マネージャーが行う場合が多く、全方位的に保護できるパッケージ化されたSecured-Core PCが有効です」と指摘する。

　そもそもSecured-Core PCとはどのような要件を満たした端末なのだろうか。Secured-Core PCはハードウェアとソフトウェアの両軸でセキュリティを保護するコンセプトで具体的に四つの観点に分類される。一つ目は、ハードウェアでの保護だ。分かりやすい例から始めると、コンピューターのセキュリティとプライバシーを強化する暗号化モジュール「TPM 2.0」を実装している。TPM 2.0には暗号化キーなどを格納し、BitLockerドライブ暗号化やWindows Helloで使用したデータの保護を行える。もう一つ例を挙げると、未確認コードの測定と検証が可能な「Supplemental DRTM Instruction Code)」（SDIC）を適用した特別なCPUも備えた。二つ目は、ファームウェアレベルでの防御。仮想化ソフト「Windows Hyper-V」を使用し、PCを起動するブートプロセスが正常な状態であると確認できたときのみ起動可能だ。仮にセキュリティソフトウェアを入れていても、OSが起動する前のステップで何らかの攻撃が生じた場合、セキュリティソフトの保護機能は動作しない。Hype-Vでの検証は、そうしたリスクを防げるのだ。三つ目は、仮想化ベースでの検証だ。これには、OSを立ち上げる前に仮想化環境を立ち上げて検証し、既知の認証されたファイルのみを実行する「Hypervisor-protected Code Integrity」（HVCI）がある。HVCIでは、未確認のコードを発見した場合、自動で実行不可に設定しPCを保護する。四つ目は、仮想化技術を利用したVBSと呼ばれる保護機能だ。これはWindows Helloなどで利用される生体認証情報などのクレデンシャル情報の保護に有効な機能といえる。また、CPUの領域において、以前はSecured-Core PCに搭載されるCPUはインテル製品でも限定的だった。しかし、徐々に認知や利用も広まり、より低価格層のCPUもSecured-Core PCで利用できるようになってきた。

　前述したような専任のIT管理者が不在の中小企業では、キッティングの作業はなるべく減らしたい一方、セキュリティ対策もおろそかにしたくない。仲西氏は、導入時のSecured-Core PCのメリットをこう解説する。「Secured-Core PCでは、通常キッティングなどで行う設定作業をしなくてもセキュリティ機能が実行されます。例えば、仮想環境で不正プログラムを検出するHVCIは2019年のWindows 10のアップデートで搭載した機能ではありますが、中には利用するアプリケーションやWindows Updateの実施時の設定の関係で本機能をオフにしてしまっているケースもあると聞いています。Secured-Core PCでは、本機能を最初からオンにしているので意識せずに保護機能を適用できます。仮想環境で保護すれば、より迅速に不正プログラムを検出し、異常時にはPCを隔離します。仮に1台が攻撃を受けてもネットワーク上にマルウェアを広げません」とアピールする。

　Secured-Core PCを提案する時のお薦めポイントを、仲西氏はこう説明する。「Secured-Core PCと同時にWindowsの自動設定管理ツール『Windows Autopilot』を提案することを推奨します。通常、データを引き継ぐ際にはマスタイメージを作って標準イメージをコピーするクローニング機能を活用しますが、クローニングではSecured-Core PCが標準で設定した内容もイメージを上書きすることによってオフになるリスクがあります。これを防ぐために、Windows Autopilotが役立ちます。イメージを上書きせずに、設定は変更せず必要なアプリケーションを追加できるため、Secured-Core PCで初期設定されたセキュリティをイメージ上書きによって無力化するリスクが下げられます。また、より高度な対策が必要な場合はSIEM（セキュリティ情報イベント管理）機能を備える『Azure Sentinel』など、ほかのレイヤーのセキュリティも踏まえた提案もお薦めです」

　最後に仲西氏は、今後の中小企業に対しての販売戦略をこう語る。「Secured-Core PCは説明商品なので、販売店さまがお客さまに適切に説明することが重要です。Secured-Core PCの販売戦略としては、販売代理店の営業担当者さまの理解に向け、オンラインセミナー『ExpertZone』を設けており、Secured-Core PCに関するコンテンツを豊富に用意しています。これらを活用してSecured-Core PCのコンセプトを適切に説明してもらえるよう、サポートの取り組みを強化します」

　2006年の発売からブラッシュアップをし続けて16年、PCのセキュリティや運用管理を支えるテクノロジーとして今日まで提供されてきたインテル vProプラットフォーム（以下、インテル vPro）。

「5〜10年前のセキュリティ管理は、境界線防御を基本にしていました。しかし、テレワークが普及し働く場所が多様化した昨今は、セキュリティ管理体制にも変化が求められています。インテル vProプラットフォームでは、イントラネット外に持ち出されたPCもネットワーク通信を継続し、IT管理者がクラウドベースでそのPCを管理し、リモートでの運用管理が可能です。特に、電源断の状態からリモートでPCを起動する機能を活用し、自宅に持ち帰ったPCを業務時間外にOSアップデートやパッチ適用作業などを行えます」と変遷を振り返るのは、インテル 技術本部 部長 工学博士の安生健一朗氏だ。

　これまでのインテル vProプラットフォームとして推進していたソリューションは主に大企業向けであったが、2022年からインテルはこれまでのソリューションを「インテル vPro Enterprise」と呼称を変え、中小企業向けには新たに「インテル vPro Essentials」を追加し、それらの総称をインテル vPro プラットフォームと位置付けを変更している。インテル インダストリー事業本部 ビジネス・クライアントテクノロジー・エバンジェリストの坂本尊志氏は同シリーズの概要と背景をこう話す。「インテル vPro Enterpriseは本来、企業規模を問わず企業ユーザーさまに使っていただくビジネスPCのCPUとして提供をしてきました。一方で中小企業のユーザーさまは、インテル vPro Enterpriseが搭載されていないコンシューマー向けPCをビジネスPCとして選択するケースが多くありました。しかし、企業に対するサイバー攻撃が激化する中では、コンシューマー向けPCのセキュリティは万全とは言えません。そこで中小企業さま向けのインテル vPro Essentialsを立ち上げ、企業規模別に分けてインテル vPro Enterpriseとの並行展開に至りました」

　インテル vProの構成要素は、性能、セキュリティ、運用管理、安定性の四つだ。インテルのCPUはvPro Essentials対象のコンシューマー向けCPUとvPro Enterprise対象の大企業向けCPUがあり、性能は後者の方がやや高く設定され、またvPro Enterprise／Essentials共にインテル Core i5以上の搭載が条件となっている。インテル vPro Essentialsでは、これら四つの要素をフルでサポートしており、例えば、安定性と可用性を担保するプログラムとしてIT管理者向けの「SIPP」（ステーブルイメージプラットフォームプログラム：安定性プログラム）も実施されている。SIPPは、CPUだけでなくネットワーク製品を含むハードウェアの変更を一定期間不要とすることを目指した広範な検証プログラムで、vPro Enterpriseを対象としている。一方、インテル vPro Essentialsでは、上記の要素の一部を中小企業向けにコンシューマー向けCPUを使ったプラットフォームとして提供する。例えば、OSでは感知できないファームウェア・BIOSレベルのセキュリティを向上する機能「インテル ハードウェア・シールド」が搭載されている。

　インテル vProプラットフォームの共通の強みは、インテル ハードウェア・シールドだと坂本氏はアピールする。「マルウェア攻撃を仕掛けるサイバー攻撃は高度化しています。一度ファームウェアやBIOSレベルの改ざんが行われてしまうと通常のセキュリティソフトウェアのみによる対策は困難です。そうした下層へのサイバー攻撃を検知するものとしてインテル ハードウェア・シールドを提供しています。テレワーク時にランサムウェアや暗号のマイニングなどが発生した場合は、『インテル スレット・ディテクション・テクノロジー』によって迅速に検出します。この際、CPUに負荷がかかるとテレワークなどの業務が滞る可能性もあるため、CPUに標準で内蔵しているグラフィックスエンジンを活用します。これにより、PCへ負荷をかけずにランサムウェアを検出できるのです。また、IDやデータ、デバイスなどを保護するMicrosoft Defenderなどと連携すればさらにセキュリティ体制を強化します」

　環境が急激に変わりゆく中では、PC自体の安全性はもちろん、通信性能などのPC利用時の自由度を検討することも重要だと坂本氏は指摘する。

　インテル vProのセキュリティ戦略を、坂本氏はこう語る。「大量の情報が高速に処理される中ではセキュリティリスクも増しているため、よりセキュリティ対策の優先度を高めます。例えば、Windowsアップデートでのセキュリティパッチを確実に実行するために、アップデートを行いやすいPCを提供します。インテル vProは、全てのPCは安全に使われるべきだという本来のコンセプトに基づいて、引き続き訴求していきます」

　最後に、インテル製品の全体戦略として、安生氏は「企業向けのPCはIT管理者が適切に運用していくことが大前提です。しかし、運用効率が上がってもユーザー(企業の従業員)の使い勝手が低いとテレワークの生産性は上がりません。そこで、アプリケーションごとの通信品質を確保するQoS管理機能やWebカメラの性能を上げる機能を検証済みの『Evoプラットフォーム』も同時に提案していきます。その中で、セキュリティに関する運用管理とユーザー体験の向上、この両輪でビジネスユーザーのオペレーションをサポートしていきます」と締めた。