HP Sure Click Enterprise

HP Sure Click Enterpriseは、HP Inc. のセキュリティソリューションとして発表された製品^[1]。

HP Wolf SecurityのひとつとしてHP製品に組み込まれる「HP Sure Click」の、大企業向け製品としてラインアップしており、あらゆるメーカーのクライアントPCに導入することが可能。

概要[編集]

HP Sure Clickを誕生させたBromiumの創始者 Ian Pratt（イアン・プラット）は、ケンブリッジ大学のコンピューター研究所で上級講師として在籍中の2003年にXenのオリジナルといえる「XenSource」を公開した。

その後プラットは2010年に設立されたBromiumでマイクロ仮想化テクノロジーを駆使したセキュリティソリューションを開発する。2017年2月、HP Inc.とBromiumがパートナーシップにより同テクノロジーが組み込まれたHP EliteBook x360を発表。以降、同メーカーの法人向けPCを中心に採用されている。

2019年9月、HP Inc.はBromiumを非公開の金額で買収したと発表。プラットは本格的にHP Inc.へ参画し、Global Head of Securityに就任しました。サーバ仮想化テクノロジーのXen（後にCitrixが買収）からマイクロ仮想化テクノロジーへと系譜を繋ぎ、HP Inc.で「HP Sure Click」という製品を生み出した。HP Sure Click Enterpriseはその中でも主力製品であり、発表以来多くの企業・組織・団体に採用されている。

テクノロジー[編集]

HP Sure Click EnterpriseのテクノロジーはBromiumの「マイクロ仮想化」テクノロジーにより構成されている。

基本的にオープンソースのXen ハイパーバイザーに基づくマイクロバイザーによって実装されます。マイクロバイザーはプロセッサーのハードウェア仮想化機能を使用して、専用のマイクロ仮想化マシンを作成する。

新しいアプリケーションを開く、リンクをクリックする、メール添付ファイルを開く、ファイルをダウンロードする、といった操作をするとマイクロバイザーがそのタスクに応じたマイクロ仮想マシンを生成し、必要最低限のアクセス許可を実施した上でタスクを実行する。

このプロセスを停止した場合、マイクロ仮想マシンが破壊され、たとえマルウェアが紛れ込んでいたとしても一緒に破壊する。この場合、OS上のすべてのアプリケーション、OSそのもの、他のマイクロVM、ネットワークなどからも分離されており、最小権限の原則が適用されているためマルウェアによる横展開感染のリスクはない。

このアーキテクチャはx86仮想化に依存しており、マイクロ仮想マシンが主要なWindowsのサービスにアクセスするたびに強制アクセス制御（MAC）が実施された状態で実行される。また、マイクロ仮想マシンはOSからはハードウェアレイヤーで分離されているため、どのタスクを実行しても同じデスクトップ上で隔離された状態で複数表示・共存することができる。

利点[編集]

HP Sure Click Enterpriseは、脅威が含まれるアプリケーションやファイルの分離と封じ込めを可能にするエンドポイントセキュリティソリューションである。従来型の階層型防御でさえすり抜けるマルウェアや不正URL、添付ファイルなどのほか、最新の「Emotet」や未知の標的型攻撃などに対しても、エンドポイントであるクライアントPCのマイクロVM内に分離し封じ込めを行う。

不正なファイルやメールを受け取ったユーザーは通常通りにファイルをオープンさせることが可能であり、Webブラウザの表示もできる。内容により脅威であることを検知しても、開いたファイルやブラウザを閉じるだけで脅威は削除され、感染は起こらない。

さらにリアルタイムで脅威データを管理コンソールサーバー「HP Wolf Security コントローラー」に送信され、隔離した状態でのログの収集や脅威の詳細分析が可能となっている。

HP Sure Click Enterpriseは^[いつ?]まだ一度も仮想マシンからホストへの侵入を許したことがなく、18億個の実行マイクロVM中、侵入を許した実績ゼロである。（※HP Inc.のホームページより^[要出典]）

利用企業が外部のセキュリティベンダーにペネトレーションテストを依頼したケースでは、ホワイトハッカーの攻撃が成功したかと思われたが、C2サーバーと通信する端末が急に消えるなど、C2との接続までできるもののそれ以上の攻撃は成功せず、その旨を報告書に記載したところ利用者からHP Sure Click Enterpriseの特長を伝えられ始めてその効果を知ったケースもあった。

未知の攻撃に関しては、NGAVやEDR (Endpoint Detection and Response) 製品では検知からブロックまで最短でも30分以上かかるが、HP Sure Click Enterpriseは最初から攻撃を隔離しているため、攻撃は深部まで到達できず、またマイクロVMを観察するEDRが動作しており、ユーザーの操作やプロセスをかき分けてマルウェアを観察する通常EDRとは異なり、マイクロVM内のクリーンな状態で挙動を観察し、不審な挙動を即時検知する。

HP Sure Click EnterpriseのEDRは、マルウェアや不正なWebサイト、悪意ある添付ファイルなどから企業を守ると共に、HP Sure Click Serverコントローラーによるログや情報の分析、検知といったことも可能になる。

そのような用途には通常EDRを用いるが、この場合ユーザー起因のプロセスや通信、ログをかき分けながら攻撃者の挙動を突き止めて止める必要がある。そのため、EDRの挙動としては攻撃を泳がせて、攻撃者のアクションか見定めてから止める必要がある。

一方、HP Sure Click Enterpriseではユーザー起因の通信やプロセス、ログがない環境（マイクロVM内）で「かき分ける」ということが発生しないので攻撃者の意図がすぐに判明し、隔離されて中で泳がせて挙動を詳しく分析することが可能であり、「泳がせる」というのがとても短い期間（数秒～数分）で検知が可能。

製品[編集]

製品の仕様要件は、以下の通り。

CPU[編集]

IntelCorei3,i5,i7

Intel Virtualization Technology (IntelVT) およびExtendedPageTables(EPT) をBIOSで有効化が必要

AMD processor with Rapid Virtualization Indexing (RVI)

RyzenシリーズおよびA4/A6/A8/A10 （3から始まらない4桁の型番）

メモリー[編集]

8GB以上

ディスクスペース[編集]

6GBフリー領域

オペレーティングシステム[編集]

Windows 10 、Windows 11（2022年3月現在）

脚注[編集]

注釈[編集]

出典[編集]

^ “HP Sure Click Enterprise｜BROAD Security Square”. bs-square.jp. 2022年4月28日閲覧。

外部リンク[編集]

[1] “HP Sure Click Enterprise｜BROAD Security Square”. bs-square.jp. 2022年4月28日閲覧。

[1]