自治体におけるエンドポイントセキュリティ(EPS)の最適解

自治体において、とくにエンドポイントセキュリティの対策に頭を悩ませている担当者は多いだろう。日本HPが提案するのは、現場のストレスなくリスクを回避できるエンドポイント保護ソリューション。日本HPの三浦郁也氏が、アプリケーションの隔離と封じ込めによる製品の特長と強みについて解説した。

「邪魔にならない」EPSを提供

住民サービス向上、行財政・業務の効率化を見据え、IT環境の整備を進める各自治体は今、総務省のガイドラインに沿ったセキュリティ対策の見直しに取り組んでいる。セキュリティ対策の中でもエンドポイントの提案に注力している日本HPの三浦氏は、自治体のセキュリティ対策の現状について「攻撃の頻度が上がり、そのやり方もより巧妙になっている中で、仮想デスクトップ基盤(VDI)やパターンマッチング型のアンチウイルスだけではリスクを回避することはできず、さらなる対策が求められています」と指摘する。

日本HP サービス・ソリューション事業本部
クライアントソリューション本部 ソリューション営業部 三浦 郁也氏

一方で、セキュリティ対策を強化したいIT部門と、面倒なセキュリティを回避したい職員との間に確執が生じている。そこで、これを解決するために「透過的で邪魔にならないEPSの製品、サービスを提供しています」と同社の強みに触れた。

古くからEPSに取り組んできた同社だが、「OSより下のレイヤーはもちろんだが、近年特に注力しているのが上のレイヤーの製品群です」と話す。その中の大企業、公共機関、自治体向けのEPSとして、アプリケーションの隔離と封じ込めのエンドポイント保護ソリューション「HP Sure Click Enterprise」を紹介。「ソフトウエアサービスなので他社製PCでも使用可能で、自治体ごとの環境に合わせた細かなチューニングができる。また、こなれた価格も評価のポイントになっているようです」と強みを説明した。

HP Sure Click Enterpriseでは、最先端のマイクロ仮想化技術を利用し、ファイルを開くアプリケーションをPC本体のOSからCPUレベルで隔離することで、脅威の影響をブロックする

隔離と封じ込めによる
保護の仕組み

「アプリケーションの隔離と封じ込め」を行う「HP Sure Click Enter prise」の仕組みは以下の通り。情報セキュリティの脅威が入ってくる経路はメールの添付ファイルが圧倒的に多い。そこで、開いたファイルをホストOSとは隔離されたマイクロ仮想マシン内で編集したり、印刷したりする。これらの作業はマイクロマシン上で、セキュリティリスクから本体を隔離しつつ、通常通り行うことが可能だ。Webページを開く場合には標準装備されたセキュアブラウザにより、ブラウザをまるごと隔離して安全にブラウジングを行う。「これらの仕組みの導入により、検知に依存することなくPC本体をマルウエアから守れます。それだけでなく、隔離環境の中でさまざまな脅威分析、可視化をエンドポイント検出・対応ソリューション(EDR)と同じレベルの粒度で確認することもできます」という。

「HP Sure Click Enterprise」は、米国国防総省の55万台の端末で利用されているほか、世界各国の企業、官庁、自治体で採用が進んでおり、日本の中央官庁、金融系やエネルギーインフラ系企業、グローバル製造業で導入されているという。

ある金融系企業では、インターネット分離を実現するため数年前にWeb無害化ソリューションを導入していたが、Web利用業務に多くの支障が出ていたことから同システムの採用を決定。「ネイティブブラウザと同様にWebアプリケーションを使用することができるようになり、セキュリティをさらに高めつつ、業務効率を本来のレベルに戻すことができました」。

また、ある製造系企業では、グループ全体でインターネット分離対応が必須となり、VDI導入を検討していたがコストが高額な点と設計開発業務へのパフォーマンス低下が問題だった。しかしインターネット分離の導入により、パフォーマンス低下を抑えつつ、インターネット分離条件を満たすことができた。また、ある建設系企業では、アンチウイルスとEDRを導入していたものの、ヒューマンエラーによる攻撃侵入を防ぎきれない環境にあった。こちらも、インターネット分離の導入で「社内外問わずどこでも安心して外部とやりとりできるようになったといいます。隔離環境の中でマルウエアが活動しても、マイクロ仮想マシンを閉じてしまえば、分析したうえで対処済みにすることができます。セキュリティ部門の大幅な工数削減につながりました」という。

βモデル、αモデル双方で
メリットを発揮

総務省が改定したセキュリティガイドラインでは、インターネット接続系に業務端末やシステムを配置するβモデルが新たに提示されている。日本HPには、βモデルの環境に同製品を導入する引き合いも増えているという。「これまでのαモデルに追加して対策をとる必要があるが、導入によりウイルス侵入をリアルタイムに感知したり、端末の情報を守ることができます」と三浦氏はメリットを説明する。

ただ、βモデルについては「予算がなく対応できない自治体が大半」である現状をふまえ、現状ではαモデルへの適用が多くなるだろうと推測している。「αモデルの場合、LGWAN系に端末があり、インターネット接続系からVDIにより画面転送で共有するパターンに加え、物理分離を行いLGWAN系とインターネット系それぞれに端末を置くパターンがあります。VDI、物理分離においても端末を1台にする、もしくは減らすことで使いやすさが向上する提案をしており、各自治体の構成や要望をふまえ個別にプランを立案します」という。

ネットワーク分離の考え方をふまえ、自治体職員はインターネットにアクセス制限があった中で業務を余儀なくされている。この現状について、三浦氏は「今後もインターネットから遠ざかったままということはないでしょう」と考えている。αモデル、βモデルが混在する中で、多くの自治体はαモデルを使いながら推移を見守っているところが多いことから、総務省も特定の製品に対してお墨付きを付与することはしないだろうと予測する。最終的な判断が自治体に委ねられる分、自治体の負担も大きくなるため、「信頼の置けるベンダーやコンサルティング会社との連絡を密にし、情報収集することが重要になります」と述べた。

そのうえで日本HPの強みとして、とくに公共向けセキュリティ提案チームを組織して提案している専門性を強調。また、ふだんから自治体がつながっているベンダーとも連携し、3、4年後のデザインを描くところから支援しているとも話した。販売パートナーの中には自治体向けの専用運用メニューや端末内隔離をクイックトライアルできるよう端末ごと貸し出している先もあり、「そのようなパートナーの紹介もできるので、声をかけてほしい」と呼びかけた。

 

お問い合わせ先


株式会社 日本HP
https://jp.ext.hp.com/business-solution/wolf/

この記事に関するお問い合わせは以下のフォームより送信してください。