「不審なメールに注意」
という文言は一度ならず何度も耳に(目に)していることかと思います。
では、「不審なメール」とは何なのか、何をもって不審と判断するのでしょうか。
その判断軸を少しでも養うために、情報セキュリティ教育の実施や標的型メール訓練など、多くのセキュリティ教育を毎年実施している企業も多いことかと思います。
しかしながら、攻撃者はその手法をどんどん進化させ、常に「不審なメール」の情報がアップデートされている状況に残念ながら変わりはありません。
不審なメールには絶対にひっかからない、という自信もいつか慢心となり脅威が仕組まれた添付ファイルの開封やリンクのクリックへと繋がりかねないという自戒も一人ひとり必要なのではないかと考えます。
攻撃者は常に人間のスキを狙っています。
どれだけ細心の注意を払っていても万が一は起こり得ると意識しておくに越したことはありません。
その万が一が起こってしまった場合に可能な限り被害を広げないために、有効な手段のひとつとして私共がご紹介しているのが
アプリケーション隔離技術を用いたエンドポイントセキュリティ製品の「HP Sure Click Enterprise」です。
この製品は、PC上でアプリケーションを立ち上げるとそのアプリケーションを仮想環境の中で動作させるため、万が一マルウェアが仕込まれていてもPC本体には影響を及ぼさない、という仕組みを持っています。
エンドポイントセキュリティ製品というと一般的なのはEDR(Endpoint Detection and Response)ですが、HP Sure Click Enterpriseは検知を前提とするEDRとは根本的な設計が異なります。
こういった特長や優位性をまずは多くの方に知っていただきたいのですが、他のエンドポイントセキュリティ製品とは異なったアプローチ故に、いわゆる製品カテゴリのように端的に説明ができる言葉に乏しいのも現状です。
そこで本記事では、できる限りわかりやすくHP Sure Click Enterpriseをご紹介してみたいと思います。
アプリケーション無害化
HP Sure Click Enterpriseはアプリケーション隔離という技術を採用しています。
外部から取得したファイルを開くと、一つ一つのアプリケーションに対し専用の仮想環境が作成され隔離された状態で実行されます。これがアプリケーション隔離です。
そのため、仮に脅威が含まれたファイルを開いてしまったとしても、実行されるのは隔離された使い捨ての仮想環境のため、ファイルを閉じてしまえば脅威は封じ込められたまま仮想環境ごと破棄されます。
つまり仮に有害なファイルを開いてしまったとしても無害化できてしまうのです。
なお、これだけ見るとサンドボックス製品と同じように感じられるかもしれませんが、この製品はファイルが安全なものであれば編集を保存し、そのまま使い続けることができます。
好きなだけブラウジング
上記と同様にインターネットブラウザを利用する際も仮想環境で実行することが可能です。ドライブバイダウンロード攻撃や水飲み場型攻撃のように、Webサイトを閲覧するだけでウイルスに感染してしまうという攻撃手法に対しては特にアプリケーション隔離が有効です。
ユーザーが万が一悪意のあるリンクをクリックしてしまったとしても、マルウェアはPC本体に侵入することはできないのです。
スマートエンドポイントプロテクション
ここまでのご紹介で、特長はご理解いただけたかと思いますが、これまで隔離環境を用いるうえで問題とされてきたユーザーの利便性について触れたいと思います。
HP Sure Click Enterpriseは、導入するとマイクロVMと呼ばれる仮想環境のテンプレートが作成されます。このマイクロ仮想マシンは、ミリ秒単位で起動しユーザー業務への影響は一切ありません。
つまりこれまでのユーザービリティと何ら変化はなく、利便性を維持します。これまでの使い方を変えることなく、安心して業務を進めていただけます。
また、もう一方で課題とされるのが、情報システム部門等で管理者として携わっている皆様の運用やインシデント対応における負担です。
HP Sure Click Enterpriseは検知に依存しないセキュリティ製品であり、脅威が動作したとしても仮想環境を破棄することでその影響はなくなります。
そのため管理者にとっても大幅に負担が軽減でき、ユーザーは利便性が低下しない、エンドポイントセキュリティとして非常にスマートな対策が実現できます。
全自動型マルウェア対策
もう少し詳しく管理者の視点でご紹介します。
HP Sure Click Enterpriseは脅威を検知することよりも、どのような状況であってもPCが正常に動作することを念頭において設計されています。前述のとおり、脅威が侵入したとしても隔離された仮想環境の中のみで動作するため、PC全体には影響は及びません。
インシデント発生時の初動対応とされるトリアージや封じ込めといった作業も不要となり、仮想環境を破棄する=ファイルを閉じるだけで対応は完了です。事後処理としてのPCの原状復旧作業も必要ありません。
すなわち管理者側が急いで対応をとらずとも、ユーザーの操作だけで大部分のインシデントレスポンスが済んでしまうのです。
テレワークの普及やクラウドサービスの利用が拡大したことでエンドポイント防御の必要性は格段に増しています。
ここでご紹介したことが、自社のエンドポイントセキュリティ対策を見直し、再検討されるきっかけになれば幸いです。
HP Sure Click Enterpriseにつきましては、関連セミナーを随時開催していますので、ご興味をお持ちいただけましたらぜひお気軽にご参加ください。
ユーザーの操作感を変えることなくマイクロVM上でマルウェアの感染を阻止