【日本HPが語る②】情シス不在でも事業を止めない。HPのPCが実現する「究極のBCP対策」

第1弾のインタビューでは、大企業ですらランサムウェアの復旧に膨大な時間と手間がかかるという現実をお伝えしました。では、専任のIT担当者がいない中小企業において、もしPCがマルウェアに感染し、起動しなくなってしまったらどうなるでしょうか。それは即座に事業停止（BCPの危機）に直結します。

第2弾では、株式会社 日本HPの木下氏に、この致命的な「復旧の壁」を乗り越えるため、ソフトウェア単体ではなくハードウェア（PC本体）の機能に頼ることがなぜ重要になるのか、そしてHPの誇る自律的復旧力と紛失対策が実現する「究極のBCP対策」

第2弾の重要な背景となる第1弾もあわせてご確認ください。

^{※本記事はサイバーセキュリティに関する啓発や考察を目的としています。特定の企業・団体を批判する意図は一切ありません。}

木下 氏：攻撃者にとって、BIOSなどのローレイヤーは一番見つかりにくく、長期間潜伏できる絶好の隠れ家だからです。OSが起動する前の層なので、一般的なセキュリティソフト（EDRなど）の監視の目が届きません。

さらに、現代のPCはOS上からBIOSのアップデートができるようになっています。これは便利ですが、裏を返せば「OSの管理者権限さえ奪えば、誰でもBIOSを書き換えられる」ということです。 これを防ぐための一般的なアプローチとして、BIOSのパスワードを設定する方法があります。パスワードがなければ書き換えられないので、これだけでも有効な防御になります。しかし、PCごとにパスワードを管理するのは非常に手間がかかるため、設定していない企業も多いのが実情です。

木下 氏：はい。HPの法人向けPCには「HP Endpoint Security Controller（ESC）」という独自の専用セキュリティチップが搭載されています。これが、HPのセキュリティアーキテクチャの根幹を成すものです。

この ESC は、通常のPCが起動するプロセス（電源ON→チップセット→CPU→BIOS→HDD）よりもずっと早い段階、つまり「チップセットに電源が入る前のタイミング」で起動し、すべてのコントロールを掌握します。 そして、BIOSが読み込まれる前に「改ざんされていないか」「設定が変わっていないか」をチェックします。この確認をクリアして初めて、OSの起動が許される仕組み（チェーン・オブ・トラスト）になっています。

木下 氏：そこで機能するのが「HP Sure Start」です。 ESC の裏には、外部からアクセスできない独自のストレージ領域があり、そこに正常なBIOSの「ゴールデンコピー（ローカルバックアップ）」が保存されています。 異常を検知すると、PCは1分以内にこのコピーを使って、自律的にBIOSを元の正常な状態へ自動復旧させます。

木下 氏：はい、可能です。ESC は「改ざんを検知した」「復旧した」といったイベントを、OSのイベントログに書き込む機能を持っています。 OSが起動した後、管理者はそのログを見ることで「あ、このPCは攻撃を受けたけれど、ESC がちゃんと直してくれたんだな」と確認できます。単に直すだけでなく、ハードウェアが確実に信頼できる状態にあると証明できることが、企業にとって最大の安心感に繋がります。

木下 氏：通常のPCであれば、IT部門にPCを送り返し、クリーンインストールをやり直すといった膨大な手間と時間がかかります。しかし、専任担当者がいない現場では、これは致命的なダウンタイムになります。

これを解決するのが「HP Sure Recover」です。 HPのPCには、BIOS内にリカバリをキックするアプリケーションが組み込まれています。もしOSが壊れても、PCの電源を入れて特定のキー（F10など）を押すだけで、このアプリが立ち上がります。 そして、ネットワーク（Wi-Fiなど）経由で、HPが提供する安全な標準OSイメージや、企業が用意したカスタムイメージを直接ダウンロードし、PCを箱から出した時と同じ状態に自動で復元してくれます。

木下 氏：その通りです。IT部門の手を煩わせることなく、現場で迅速に復旧（リカバリ）が完結します。これが、システム障害に対する「究極のBCP対策」と言える理由です。

木下 氏：従来のPC向けMDM（モバイルデバイス管理）は、PCの電源が入っていて、かつWi-Fiなどでインターネットに繋がっていなければ、遠隔からロックも消去もできませんでした。紛失したPCの電源が切られていたら、もうお手上げだったわけです。

「HP Protect and Trace with Wolf Connect」は、この常識を変えます。 先ほどお話しした専用チップ「ESC」は、PCの電源がオフの状態でも、バッテリーから常に微弱な給電を受けて生きています。 このESCに、IoTセンサーなどで使われる超低消費電力の通信モジュール（LTE Cat-M）を直接接続しているのです。LTE Cat-Mは「乾電池1個で数年持つ」と言われるほど省電力な通信規格です。

これにより、PCの電源がオフでも、Wi-Fiに繋がっていなくても、常にモバイル通信網と繋がった状態（常時接続）を維持できます。

木下 氏：私たちが提供するのは、大きく分けて「Find（特定）」「Lock（ロック）」「Erase（消去）」という3つの機能です。

まず、位置の特定（Find）です。これは電源オフの状態であっても、PCの現在位置を管理画面からリアルタイムで確認することが可能です。紛失・盗難時に「電源が入っていないから探せない」ということが起きません。

次に、完全なロック（Lock）です。OSが起動する前、いわゆるBIOSレベルで介入してファームウェアロックをかけます。

そして、最も重要なデータ消去（Erase）です。一般的なMDMが行うのは、「TPMの暗号化キーを消すだけ」の簡易的な消去に過ぎません。対して私たちは、HP独自の「Sure Erase」というツールを遠隔から実行します。これは、NIST（米国国立標準技術研究所）が定める「パージ（Purge）」レベルでの完全消去です。ストレージを論理的にアンマウント（切り離し）し、SSDのトリムエリア（不可視領域）まで含めて、完全にデータを消し去ります。

たとえ電源が切れていても、遠隔から『完全にデータを消去した』と証明できること。これこそが、情報漏えいを防ぐ最後の切り札になります。

今回お話した製品群の詳細については、資料にまとめていますのでぜひご覧ください。

木下 氏：一番の価値は、運用を自動化し、後回しを防げることです。 一人情シスや兼任担当者の方は、日々様々な業務に追われています。「全社員のPCのセキュリティ状態を監視し、何かあれば個別に対応する」というのは、現実的に不可能です。

HPのPCであれば、一度ポリシーを設定しておくだけで、改ざんがあれば自動で直り、紛失すれば確実な消去が実行できます。 PCの土台（ハードウェア）が信頼できるものであるか、そして、BIOSの自社開発を含め、ベンダーがサプライチェーンのリスクにどう向き合っているかということが非常に重要です。PC選びは単なるスペック比較ではなく、自社を守るための重要なセキュリティ投資なのです。

野村：木下様、ありがとうございました！次回はソフトウェアによる防御についてさらに深堀りして語っていただきます！

最終回となる第3弾は、「ソフトウェアによる防御」に焦点を当てます。 未知のマルウェアを「なかったこと」にする仮想化技術（HP Sure Click）や、運用管理の手間を極限まで減らすためのソリューションについて伺います。（4月上旬公開予定）