日本HP、特権ユーザーを狙った攻撃から重要データやシステムを保護する「HP Sure Access Enterprise」を提供

　株式会社日本HPは23日、エンドポイント保護ポートフォリオ「HP Wolf Security」を強化する「HP Sure Access Enterprise（以下、SAE）」をリリースした。

　SAEは、重要なデータ、システム、アプリケーションへのアクセス権を持つユーザーを保護する。エンドポイントが侵害された場合でも、特権アクセスの乗っ取りを防ぎ、重要データやシステムへの安全なアクセスを維持し、重大なセキュリティインシデントに発展するリスクを低減する。

　SAEはHP製および非HP製PCデバイスに対応し、独自の仮想化技術を活用して、各特権アクセスのセッションをハードウェアベースの独自仮想マシン（VM）内で実行する。VM内にマルウェアを隔離することで、対象データの機密性と完全性が確保される。ユーザーは、1台のPCデバイスで特権アクセス、非特権アクセス、および個人利用を安全に実行でき、生産性の向上に加えて、IT管理者の負担軽減とセキュリティ強化を同時に実現する。

　特権アクセスが可能なPCデバイスへの侵害は、攻撃チェーンにおける最も重要な侵入口の一つとなり、攻撃者は侵害したエンドポイントを足がかりに認証情報を盗み、権限昇格、横展開を経て、最終的に重要データに到達する。SAEは、こうした攻撃プロセスの中核となる特権アクセスを分離・保護することで、権限昇格やセッションの乗っ取りを防止し、攻撃者による侵害の拡大を初期段階で封じ込め、重大なセキュリティインシデントへの発展を抑制する。

　日本HPでは、組織には重要データやシステム、アプリケーションへの日常的なアクセスを必要とするさまざまな従業員が存在し、その中にはIT管理者やIoTおよびOTのサポート担当者に加え、カスタマーサポートや財務部門が含まれるが、同一のPCデバイス上で特権アクセスと非特権アクセスの両方を実行できるようにすることは、多大なリスクを伴うと説明する。

　特権アクセス管理（PAM）によって機密システムへのアクセスを制御していたとしても、PCデバイスが侵害された場合、攻撃者が特権アクセスを乗っ取る可能性は残るため、機密データや認証情報の窃取に加え、悪意のあるコードやコマンドの実行が行われるおそれがある。これは、多くの従来型セキュリティ対策では十分に防ぎきれない領域だと指摘する。

　従来は、特権ユーザーに対して、専用のPCデバイスを用意する方法が一般的だったが、この方法は利便性を損なうだけでなく、複数のデバイスの調達・運用によりIT部門の負担を増大させる。こうした課題に対し、SAEを使用することで専用のPCデバイスは不要となり、データの機密性と完全性を確保できる。

　また、SAEはサーバーにアクセスするシステム管理者の保護に加え、さまざまな業務領域における機密資産の保護にも適用できる。例えば、小売業におけるクレジットカード情報、医療分野における患者データ、製造業における産業用制御システムなどへのアクセス保護に活用できるとしている。

　HP Sure Access Enterpriseは、特権アクセス管理（PAM）ソリューション（CyberArk、BeyondTrustなど）や、IPSecリモートアクセストンネル、多要素認証（MFA）との連携に対応する。職務分離と柔軟なポリシー設定を可能にする集中管理機能により、特定のPCデバイスやユーザーへの接続の制限や、プライバシー保護のためにHP Sure Viewの有効化を必須にできる。

　最新のIntelテクノロジーによるハードウェア・ルート・オブ・トラストにより、マルウェアによるセキュリティ制御の迂回を防止。機密データや認証情報を記録することなくアクセスを追跡する暗号化・改ざん防止機能を備えたセッションログが、コンプライアンス対応を容易にする。