ホーム > PC-Webzineアーカイブ > 【最終回】セキュリティを主軸としたPC 導入提案の成功シナリオ

【最終回】セキュリティを主軸としたPC 導入提案の成功シナリオ

【最終回】セキュリティを主軸としたPC 導入提案の成功シナリオ

2019年07月18日更新

第3回(最終回)
セキュリティを主軸とした
PC導入提案の成功シナリオ

本連載では日本政府の新しい防衛調達基準に米国国立標準技術研究所(NIST)が発行するサイバーセキュリティ標準の「NIST SP800-171」と同等の情報保全策が盛り込まれ、防衛省と直接取り引きする企業だけではなくサプライチェーン全体に準拠が求められ、いずれは全ての企業に対応が求められるようになることを解説してきた。こうした背景を踏まえて連載最終回となる本項では、販売店が顧客にPCの導入を提案する際の成功シナリオを紹介する。

政府の新しい調達基準に採用された
NISTガイドラインの影響と対応

事前の情報提供で商談を有利に進める

 ここでは実際に受注した成功事例を基にセキュリティを主軸としたシナリオを解説する。顧客は国内の公共機関と防衛関連企業だ。公共機関の案件は入札となるが、その入札仕様書が作成される前にキーパーソンにセキュリティの動向や影響について情報提供し、セキュリティに対してこれまでとは異なる取り組みが必須になることを意識させることから始めた。一方の防衛関連企業は防衛省と取引があるため、今後内容が盛り込まれる見込みの新しい調達基準を参照する必要があった。いずれの案件においてもアメリカ政府の調達基準と日本の新しい防衛調達基準の中核となる見込みのNIST SP800-171の内容を説明し、PCの調達においてどのようなセキュリティ要件を満たす必要があるかを明確にした。

 日本HPの澤田亮太氏は「NIST SP800-171に基づいたPCに求められるセキュリティの具体的な機能についてはパートナー様向けの『HP Partner First Portal』にて情報を提供しています。お客様への提案に必要な情報を豊富に提供していますのでぜひ活用してください」とアドバイスする。

日本HP サービス・ソリューション事業本部
技術本部 クライアント技術部 ソリューションアーキテクト
澤田 亮太 氏

NISTのセキュリティ要件を満たすHP PCのセキュリティ機能を解説

 商談の次のステップではNIST SP800-171でPCに求められるセキュリティ要件を一覧にして、これらの各要件に対してPCにどのような機能が求められるのかを解説した。

 NIST SP800-171ではシステムと情報の完全性が求められておりハードウェア、ファームウェア、ソフトウェアの完全性を保ち、攻撃を検知し、復旧(レジリエンス)することが求められる。

 Windows 10には優れたセキュリティ機能が搭載されているが、ソフトウェアを守ることができてもファームウェアは守ることができない。ファームウェアが攻撃されるとPCが破壊されてしまうため、ハードウェアを守るセキュリティ機能が必要となる。

 そのセキュリティ機能が「HP Sure Start」である。HP Sure StartではHPが独自開発した専用チップ『HP Endpoint Security Controller』により、最も重要なファームウェアと言えるBIOSの改ざんをいち早く検知し、元の状態に復旧することができる。

 また同様にハードウェアに組み込まれたセキュリティチップとして「TPM」(Trusted Platform Module)もあるが、これにはファームウェアにソフトウェアを組み込む「ファームウェアTPM」と専用チップで実装する「ディスクリートTPM」の二つの仕様がある。

 前者はファームウェアの実装の影響を受けるためファームウェア自体に脆弱性があった場合に改ざんや破壊のリスクがあるが、後者は専用ハードウェアで実現されるため、改ざんや破壊のリスクが極めて少なくなる。多くのPCメーカーではファームウェアTPMを採用したPCが多く、ディスクリートTPMはハイエンドモデルに限られるのが実情だ。

 澤田氏は「HPの法人向けPCのほぼ全ての製品にディスクリートTPMを搭載しています。またNIST SP800-171準拠に寄与するHPの法人向けPCのセキュリティ機能と自己回復機能はHP Endpoint Security Controllerで実現しています。HPのディスクリートTPMとHP Endpoint Security Controllerの信頼性は自社試験だけではなく第三者機関による認証取得によりその安全性が証明されています」と解説する。

 こうしたアプローチの結果、公共機関の案件では入札仕様書にNIST SP800-171に準拠したセキュリティ機能が多く盛り込まれ、さらにNIST SP800-193に準拠したファームウェアのレジリエンス、NIST SP800-88r1に準拠したデータの完全削除も加えられた。この入札は加点方式で行われたが、事前の情報提供が功を奏してセキュリティ要件の得点が非常に高く設定されることとなった。

 一方の防衛関連企業の案件では当初よりNIST SP800-171およびNIST SP800-193への準拠が必要とされたため、これらに準拠するためにPCに求められるセキュリティ機能を説明することで、どのようなPCが最適であるかを明確化できた。

日本HP 大島本社にある法人専用のショールーム「HP Customer Welcome Center Tokyo」では新製品や最新ソリューションが実機で体験できる。(http://jp.ext.hp.com/promotions/cwc/

セキュリティが主軸の商談でHPの法人向けPCが受注した

 本稿ではNIST SP800-171の重要性を顧客に説明し、そこで要求されるセキュリティ機能とHPの法人向けPCに搭載されているセキュリティ機能を対照させることで、PCのセキュリティ要件を顧客の要求仕様に落とし込み、いかに商談を有利に進めて案件を受注に導いたのかを解説した。

 これらの成功事例のシナリオは一般の企業にも有効だ。本連載でも解説してきた通りNIST SP800-171やNIST SP800-193などに基づくセキュリティ要件は、いずれ業種や規模を問わず国内の全ての企業に対応が求められるようになる。

キーワードから記事を探す