ホーム > PC-Webzineアーカイブ > 【第2回】SP800-171への対応はNISTに準拠した日本HPのPCが最適

【第2回】SP800-171への対応はNISTに準拠した日本HPのPCが最適

【第2回】SP800-171への対応はNISTに準拠した日本HPのPCが最適

2019年06月18日更新

第2回
NISTのSP800-171への対応は
NISTに準拠したPCの導入が近道

本連載の第1回目では新しい防衛調達基準に米国国立標準技術研究所(NIST)が発行するサイバーセキュリティ標準の「SP800-171」と、米国政府のクラウド調達に関するセキュリティ基準である「FedRAMP」(Federal Risk and Authorization Management Program)と同等の情報保全策が採用され、いずれ全ての企業に対応が求められるようになることを解説した。連載2回目となる本稿では、企業が対応すべきセキュリティ対策について解説する。

政府の新しい調達基準に採用された
NISTガイドラインの影響と対応

情報漏えいから破壊的攻撃へ復旧までの時間短縮で対策

 昨今のサイバー空間における脅威はますます深刻化している。ドイツに本拠を置くセキュリティ会社のG Dataが公表している「Malware trends 2017」によると、2017年の第一四半期に新しいマルウェアが4.2秒ごとに出現していたという。このデータから2年を経た現在、新種のマルウェアはさらに増加し、脅威も変化している。

 日本HPのパーソナルシステムズ事業統括 クライアントソリューション本部でプログラムマネージャを務める大津山 隆氏は「以前の脅威は情報漏えいでしたが、現在はそれに加えて破壊的攻撃が増えています」と指摘する。

 破壊的攻撃とはPCなどのエンドポイントデバイスの機能を破壊して事業を停止させる攻撃だ。すでに大規模な被害が相次いでおり、数万台のPCの機能が破壊された事例も少なくない。被害に遭ったPCを復旧するにはPCの調達からOSやアプリケーションのキッティングなどが必要となり、復旧までに相当な時間と労力がかかる。そして復旧までの間は事業が停止してしまう。

 このように深刻化している脅威に対して、企業はどのような対策を講じるべきなのだろうか。大津山氏は「数秒ごとに新種のマルウェアが出現している現在、全ての攻撃やマルウェアの感染を防ぐのは不可能だと言わざるを得ません。インシデントが発生する前提で、レジリエンスを意識した対策が必要です」とアドバイスする。

 これまでのセキュリティ対策は予防が一般的だったが、破壊的攻撃にはレジリエンス、すなわち検知と復旧も求められる。なぜなら破壊的攻撃の被害を受けた場合、PCの機能の復元・回復にかかる時間が事業の停止時間となり、復旧までにかかる時間をできる限り短くする対策を講じることで被害を最小限に抑えられるからだ。

パーソナルシステムズ事業統括 クライアントソリューション本部 プログラムマネージャ 大津山 隆 氏

専用のセキュリティチップでPC全体を防御・自己回復する

 破壊的攻撃への対策において攻撃対象がアプリケーションやOSといったソフトウェアだけではなく、BIOSなどのファームウェアも狙われることに留意すべきだ。そのため既存のソフトウェアやネットワークの防御だけではデバイスを守ることはできない。エンドポイントのハードウェアを守る仕組みと機能が必要となる。

 そこで日本HPの法人向けPCにはHPが独自に開発した「HP Endpoint Security Controller」と呼ばれるセキュリティ機能と自己回復機能を実装したチップを搭載している。このチップによって破壊的攻撃を含む既知および未知の攻撃や脅威に対する防御と回復性を実現している。
 このチップを利用して提供される機能にはBIOSなどのファームウェアを保護する「HP Sure Start」やOSを保護する「HP Sure Run」、ソフトウェアを迅速に復旧する「HP Sure Recover」などがある。

 HP Sure StartはPCの起動時に実行されるBIOSコードやハイパーバイザーなどの動作を指定する設定、さらにPC動作時にBIOSコードを利用するSMM(System Management Mode)をHP Endpoint Security Controllerが監視し、攻撃を検知、復旧する。

 HP Sure RunはHP Endpoint Security ControllerがOSのセキュリティ上重要なプロセスを監視し、攻撃により停止されたり、変更が加えられOSの防御機能が正常に機能しなくなったりした場合に自動的に再起動し、OSのセキュリティ機能を健全な状態に自己回復させる。

 もしもさまざまな防御策を講じたにもかかわらずソフトウェアを再インストールしなければならなくなった場合は、たとえOSが起動しなくなった場合でもHP Sure Recoverがあらかじめネットワーク上に保管したイメージを利用して最小限の手間でPCを再インストールする。

 さらにセキュリティの層を重ねる機能として「HP Sure Click」がある。WebブラウザーやOfficeアプリケーションを仮想化技術を使って隔離し、マルウェアにアクセスしてしまった場合はWebブラウザーやOfficeアプリケーションを閉じるだけでマルウェアを消滅させる。もちろんこの機能もHP Sure Runで守られる。

NIST SP800-171への対応を契機にビジネスPCの調達基準が変わる

 実はエンドポイントセキュリティにおいてHPはTPM(セキュリティチップ)やBIOSの暗号化、自己回復BIOSなどの業界初のテクノロジーの開発や標準化に携わってきた。例えばBIOSセキュリティの標準となっているNIST SP800-147/ISO 19678に先んじて、HPは同技術を市場に投入して標準化をリードした。

 最新のサイバー攻撃に対応するためのガイドラインNIST SP800-193(ファームウェアのレジリエンス)でもHPは業界で初めてレジリエンス機能を持つHP Sure Startを市場に投入してガイドラインの策定をリードした。つまりSure Start Gen4
を搭載した日本HPの法人向けPCはNISTのSP800-193に準拠済みということになる。

 今後、多くの企業にNISTのSP800-171と同等の情報保全策が求められる見通しだが、SP800-171に対応するにはさまざまな取り組みが求められるため、対応するのは決して容易ではない。

 大津山氏は「SP800-171への対応を契機に企業のPCの調達基準が大きく変わることでしょう。将来の脅威や規制の変化にも対応できるエンドポイントセキュリティが実装されたPCが企業に必要となるからです」と指摘する。

 エンドポイントセキュリティのテクノロジーと標準化でリーダーシップを発揮している日本HPの法人向けPCはSP800-171を見据えた機能をすでに搭載しており、前述の通りSP800-193にも準拠済みだ。日本HPの法人向けPCを導入することがエンドポイントセキュリティにおけるSP800-171準拠の近道だと言えるだろう。

キーワードから記事を探す