ハイブリッドワークが一般化するなか、セキュリティ対策は境界型防御からゼロトラストやSASE(Secure Access Service Edge:サシー)へと移行しつつあります。SASEはネットワークとセキュリティの統合により、柔軟かつ安全な環境を実現する一方、クラウドにばかり目が向きがちです。本来、注視すべきは“エンドポイント”ではないか。見過ごされがちなSASEの盲点について、セキュリティのプロたちにお話を伺いました。
※本記事は、2025年4月17日に開催されたビジネス+IT主催「SASE・ハイブリッドワーク時代のセキュリティ2025 春」にて配信された「SASEの盲点、エンドポイントの重要論点」の対談内容を再編したものです。
セキュリティエバンジェリスト
木下 和紀 エドワルド 氏
大学院環境情報研究院
先端科学高等研究院 教授
吉岡 克成 氏
クラウド基盤ビジネスユニット長
北村 雅樹
従来は、情報や業務が組織内部に集約されていたため、ネットワークの境界を重点的に保護する「境界型セキュリティ」が有効でした。しかし近年、テレワークやクラウドサービスの利用が当たり前となり、組織の内外を行き来するデータやリソースが増えています。情報資産が複数のクラウドサービスに分散するため、単純に「境界」を守るだけでは不十分となってきました。
こうした背景のもと、社内外のユーザーが多様なリソースやデータへ安全かつ効率的にアクセスできるよう、クラウド上で一元的に管理・制御するアーキテクチャーとしてSASEに注目が集まっています。SASEとは、ゼロトラスト実現の要素として、SD-WAN(Software Defined-Wide Area Network)、ファイアウォール、CASB(Cloud Access Security Broker:キャスビー)などのセキュリティ機能を統合するネットワークセキュリティモデルです。SASEはあくまでフレームワークであり、各ベンダーの対応領域や機能には差異があるため、導入にあたってはその構成や組み合わせを慎重に見極める必要があります。
SASEは非常に範囲が広く、機能も多岐にわたります。そのため、少人数体制での導入には大きな負荷と長いプロジェクト期間を要します。SASEの導入からお客様が本格的にサービスを利用するまでの間、エンドポイントのセキュリティ対策が十分に行えないケースがあるのです。
SASEを提供する企業各社は、それぞれ異なる領域とカテゴリーをカバーしています。お客様がこれらを理解している間にも、エンドポイントの変化が進んでしまっているのが現状です。例えばWindows 10からWindows 11への移行など、エンドポイントの変化への対応が後手に回り、迅速に対応できないという課題も浮き彫りになっています。
ではなぜ、エンドポイントセキュリティがそんなにも重要なのでしょうか。セキュリティ対策現場の課題を、SASEに潜む見落としがちなポイントを基にプロの視点から見ていきましょう。
セキュリティ人材の不足は、多くの企業が抱える共通の課題です。特に中堅企業を中心に、人材の確保や育成が難しい状況にあります。企業の中にはセキュリティ担当者が不在で、セキュリティに詳しくない従業員が兼務で対応せざるを得ないケースも少なくありません。セキュリティ人材を自社で採用するのではなく、専任がいなくても自社で対応できる製品を選ぶか、外部に委託するかを検討する傾向が高まっています。
そうした中、セキュリティ担当者が不在の企業に対して、ITベンダーがサービス提供を通じて支援を強化する動きが見えます。お客様自身がセキュリティを学ぶのは難しい状況にあるため、セキュリティ人材を抱えるベンダーが、必要な情報提供と最適な対策の提案を通じて、効果的なセキュリティ対策を支援する取り組みが重要視されています。
また、人材という観点でもうひとつの見方をすると、最終的にシステムを操作するのは人間だということです。人間の脆弱性が狙われている以上、エンドポイントのセキュリティ強化が何より重要なのです。言い換えれば、エンドポイントセキュリティは、攻撃の脅威から従業員を守るために必要な対策とも言えます。
本来は、脅威さえなければセキュリティ技術はなくていいはずのものですが、現代においてその考えは現実的ではありません。地政学リスクなど国際的にも脅威が高まるなか、サイバー攻撃には国境がないため年々被害が増大しています。セキュリティ対策は事業規模や業種にかかわらず全ての企業において必要な対策です。とはいえ、人材もいないしコストもかけられないという実情がある中で、セキュリティレベルと運用コストのバランスをうまく見ながら、脅威に対応していくことが重要になってくると言えるでしょう。
SASEのコンテクストの中にも、パソコンやスマートフォン、サーバなど至る所にエンドポイントは存在します。クラウドにアクセスするためのデバイスもそのひとつです。そのため、クラウド上でいくら制御しても、そこにアクセスするエンドポイントが侵入を許してしまったら元も子もありません。したがって、エンドポイントのセキュリティはまず先に手当をしておく必要があるのです。
従来はアンチウイルスがエンドポイントセキュリティの主流でしたが、近年ではEDR(Endpoint Detection and Response)が定番ソリューションとなっています。多くの企業でEDRを導入すれば問題ないという認識が広がっています。ところが、EDRは侵入が前提で、それに対して監視や検知、隔離、調査などを実行するソリューションです。侵入された端末がクラウドに接続し、さらに被害が拡大するといったリスクを完全には排除できません。
攻撃者は、企業への侵入を試みる前段階として、事前にセキュリティツールを入手し、マルウェアが実行可能であるか検証をしていると想定されます。セキュリティツールについて熟知した上で、それらをかいくぐる攻撃手法を見出し、企業を狙います。例えば最近では、監視されていないカーネルドライバーを汚染させ、EDRの監視を逃れ侵入する被害が報告されています。
また、EDRの検知技術には完璧なものはなく、必ず検知漏れが存在します。加えて、前述のように攻撃者も検知を回避するよう工夫しているため、EDRなどの単一のセキュリティ技術では十分とは言えません。そのため、別のセキュリティ技術と組み合わせて対策することが推奨されます。
この対策として、SCSK Minoriソリューションズでは、隔離の技術を採用したHP Sure Click Enterpriseを提案しています。これは、メールの添付ファイル、ユーザーがダウンロードしたファイルなどの外部(インターネット)から来るものを信用しないという概念に基づいて開発されたエンドポイントセキュリティです。
例えば、サンドボックスは隔離環境でファイルが安全かどうかを評価しますが、HP Sure Click Enterpriseはデバイス内にOSから隔離されたマイクロ仮想マシンを作り、その中でファイルを操作できるようにしているのが特徴です。
HP Sure Click Enterpriseの動作イメージ
ランサムウェアが仕込まれたWordファイルを開くとします。HP Sure Click Enterpriseがインストールされている端末でWordファイルを開くと、Wordのタイトルバー右端には「HP Sure Click Secure View」と表示され、マイクロ仮想マシンで隔離実行されていることが示されます。
ファイルを開くとマルウェアが検出され、同時にランサムウェアが起動します。ランサムウェアが暗号化を実行するのも隔離された環境なので、ホストOSのファイルにもレジストリにもアクセスできず、影響を与えることはありません。身代金を要求する画面が表示されるのも隔離環境なので、ホストOSは安全なままですし、復旧も必要ありません。どんなにマルウェアが暴れようが、マイクロ仮想マシン内なのでホストOSに影響を与えることは不可能です。
隔離技術に使われているマイクロ仮想マシンは、もとはBromiun社が開発したマイクロ仮想化技術をベースとしてたものです。このマイクロ仮想化技術はBromiun社時代から高く評価されており、米国国防総省でも採用されているほどです。
シンプルで分かりやすいという特徴に加え、HP Sure Click Enterpriseには導入のしやすさというメリットもあります。エージェントをインストールすればいいだけなので、展開の苦労はそれほど大きなものになりません。PoCを実施しながらある程度ポリシーを決めてしまえば、導入の際に設計しなおす必要はなく、速やかに実運用に移ることができます。オンゴーイングで運用していくなかでも大きな変更をするケースは少ないため、運用にも負荷がかかりません。
また、セキュリティソフトの運用で管理者が頭を抱える問題のひとつに「過剰検知による鳴りやまないアラート」というものがあります。HP Sure Click Enterpriseは仮想環境でファイルを隔離実行するため、ホストOSでのアラート発報が大幅に削減します。EDRとHP Sure Click Enterpriseを併用している企業では「EDRのアラートが7割減った」事例もあります。これによりアラートを分析する運用担当者の負担も大きく減らせることになるのです。
これらの特長から、HP Sure Click Enterpriseは導入・運用が非常に簡単なセキュリティソリューションだと評価できるでしょう。これまで一度も破られたことがないという実績も心強く、企業のエンドポイントセキュリティ強化に最適な選択肢の1つとい言えます。
SASEに取り組む企業の場合、その導入にあたり多大な労力と時間を投じることになります。その前段でまずはエンドポイントの防御力を強固なものにし、運用の手間やセキュリティリスクを排除しておくということが重要なポイントなのです。
HP Sure Click Enterprise の導入は SCSK Minoriソリューションズにお任せください
エンドポイントを操作するユーザー様にとって、HP Sure Click Enterprise は大変使いやすいセキュリティソフトです。運用負荷が低く、日常的な業務に支障をきたすことはほとんどありません。OfficeやPDF、HTMLファイル、PowerShellなど、一般的なアプリケーションであればご使用いただけます。脅威を検知する一般的なセキュリティソフトとは異なり、「最初から隔離された環境でアプリケーションを動かし、脅威を封じ込める」という製品なので、誤検知・過検知に悩まされる心配もありません。結果として、大企業から中堅・中小企業まで幅広くお使いいただいております。
導入にあたっては、PoCフェーズから支援いたします。導入後の管理・運用についてもさまざまなサービスメニューをご用意しています。操作説明や技術的な支援を通して、お客様を強くサポートいたします。ぜひお気軽にお問い合わせください。
