セキュリティの新基準、Webブラウザから始めるセキュリティ強化のカギ：ユーザーの利便性を落とさず、内部不正や情報漏えいを防ぐには？

従業員のほとんどが最も使っているにもかかわらず、企業が望む形でセキュリティが保たれていないアプリケーションがある。それはWebブラウザだ。市場では企業向けに再構築されたWebブラウザを“エンタープライズブラウザ”と呼び注目され始めている。本記事では、エンタープライズブラウザが提供する、従来のセキュリティソリューションでは対応しきれなかった課題や解決策について紹介していく。

[PR／ITmedia]

PR

　新型コロナウイルスの感染拡大を機に企業の働き方は大きく変化した。テレワークやハイブリッドワークが広がり、オフィスの自席だけでなく自宅や出先、サテライトオフィスなどからSaaSを利用して社内リソースにアクセスする機会が急増した。

　だがこうした場所を選ばない働き方が進んだ結果、SaaSから重要情報を持ち出すといった内部不正やSaaSの設定ミスなどに起因する情報漏えいなどが増えた。これらのリスクに対するセキュリティ対策は必須だが、SaaSを利用する目的の一つでもある「利便性の向上」という側面を従来のセキュリティでは妨げてはいないだろうか？

　このようなジレンマを解消すべく、今新しいセキュリティアプローチとして注目されているのが"Webブラウザ"だという。

ただの“検索窓”ではない　なぜ今Webブラウザを再考すべきなのか

　SaaS利用の拡大に伴いセキュリティリスクの増大が懸念された結果、重要データを守るためにネットワークの通信経路やクラウドにWebプロキシやCASB（Cloud Access Security Broker）といったセキュリティソリューションを導入して防御を強化する企業がある。

マクニカの勅使河原 猛氏

　しかしこの手法には課題がある。マクニカ　セキュリティ研究センターで脅威および最新の対策技術の動向を調査している勅使河原 猛氏は「このような経路を通過する暗号化通信を復号しただけでは、『ユーザーが何をしたいのか』というコンテキストを読み取れないため、通信先や通信内容だけを見てブロックの要否を判断するしかありません。こうしたルールを設けてブロックするだけのセキュリティ対策は、ユーザーの利便性を落とす可能性があります」と指摘する。

　そこで生産性や使いやすさを損なうことなく、より柔軟な制御を実現するという新たなアプローチとしてマクニカが注目するのがWebブラウザによる対策だ。

　マクニカにて、長年サイバーセキュリティ商材の市場啓発や顧客提案を行ってきた横田美咲氏は「働き方が変化してクラウドサービスの利用が広がるにつれて、業務でWebブラウザを利用する機会は非常に増えています。海外の調査では1日の業務の約75％がWebブラウザで実行されているというデータもあるほどです。Webブラウザは日々多くの重要データを処理する業務の中心であり、いわば“第2のOS”です。そのためネットワークやエンドポイントを保護するより、Webブラウザのセキュリティを向上させる方が今の時代に適していると考えています」と説明する。

マクニカの横田美咲氏

　WebブラウザはSaaSやWebアプリケーションの実行を担い、業務の中核的な役割を果たす他、マーケットプレースを用いてプラグインを追加することでSSHやRDP通信を利用できるなどの拡張が可能だ。こうした“業務のハブ”のWebブラウザでセキュアな制御を実行してデータを守るのが最もシンプルで理にかなっているというわけだ。

　しかし勅使河原氏によると、「Google Chrome」や「Microsoft Edge」「Firefox」といった既存のWebブラウザの多くは主にコンシューマーの利便性を重視しているという。

　「これらのWebブラウザはセキュリティよりもWebページや動画などの描画のスピードをはじめとするユーザー体験と利便性を第一に開発されてきました。そのため、企業が必要とするセキュリティが考慮されていない箇所が多々あります。例えば、ユーザーが画面のどこをクリックし、何をコピー＆ペーストし、何を印刷しようとしたのかといった動きさえ確認することはできません」（勅使河原氏）

　企業が守りたいと考えるデータを扱っているにもかかわらず、Webを検索して閲覧するという用途を前提とした現在のWebブラウザでは、データの流れを制御することはもちろん、可視化もできないことが課題だ。

豊富なセキュリティ機能と使い勝手を両立させたエンタープライズブラウザ

　Webブラウザが重要なSaaSを使う際のベースになっていることを考えると、Webブラウザでもユーザーの動きを可視化してコントロールすることがデータを保護する上では最適なポイントになる。ネットワークの途中でわざわざ暗号化されたデータを復号するまでもなく元のデータに直接触れられることを考えても、それが最適なはずだ。

　こうした考え方に基づき、企業のデータを保護することを考えて開発されたWebブラウザが「Island」だ。Islandは、米国企業のIsland Technologyが開発したWebブラウザであり、別途エージェントを導入する必要はなく、Islandをインストールするだけで利用できる点や、「Chromium」ベースで開発されているため、Google Chromeなどの一般的なWebブラウザと同等の使い勝手を実現している点も魅力的だ。

　Islandはビジネス用途を前提に「セキュリティを高めつつ、生産性や利便性を損なわせない。むしろ向上させる」ことを製品コンセプトとして掲げている。「ラストマイルコントロール」（後述）による柔軟かつハイレベルなデータ保護に加え、ネットワークや仮想基盤を経由するWebプロキシ／Web分離ソリューションでは考慮されてこなかった、"ブラウザ自体"を保護するためのセーフブラウジングとブラウザ堅牢（けんろう）化の機能、ゼロトラストでも求められる接続元の端末チェックや認証付与といったセキュアアクセス機能など、さまざまなセキュリティ機能を備える。

　また、Islandで実現できるようになるもう1つの観点として「ブラウザロギング」がある。

　「従来、Web検索ツールとしての利用がメインだった頃はWebブラウザのログの役割としてはせいぜい"不適切なWebサイトを見てはいないか？"だったと思います。ほとんどの企業がWebブラウザ自体のログを重要視していなかったでしょう」と横田氏は話す。

　「しかし、機密情報を扱うWebアプリケーションをWebブラウザ上で横断的に利用するようになった今、重要なWebアプリケーションで機密情報にどのようなアクションがされたか、どこに移動したかを時系列で一貫して監視できる場所がWebブラウザであり、ブラウザロギングの重要性が注目され始めています」（横田氏）

　こうした豊富なセキュリティ機能と併せて利用したいのが生産性を向上させる機能だ。「新たに入社した従業員や委託業者は、業務に必要なリソースがどこにあるか分からないことがほとんどだと思います。Islandでは必要なサービスのURLを各ブラウザの利用ユーザーやグループに対してブックマークのような形でプッシュすることができるため、すぐに業務を開始することができます。この他にもデータ保護と監査を実装した生成AI（人工知能）ツールやパスワードマネジャーなどの機能で業務効率を上げることができます」（勅使河原氏）

Islandの主な機能。セキュリティだけでなく生産性を向上させる各種機能も備えている（提供：マクニカ）

VDIやセキュアブラウザの置き換えや新しい選択肢に

　マクニカは、セキュリティレベルは保ちたいが、従業員にVDIやこれまでのセキュアブラウザのような不便を強いたくないと考えるさまざまな日本企業にWebブラウザ自体でセキュリティにアプローチするIslandを提供する方針だ。

　横田氏は「これまでもVDIやセキュアブラウザのようにWebブラウザに注目したソリューションはありましたが、ユーザーの利便性を多少犠牲にしても仕方ないという考え方でセキュリティを強固にしているものが多かったように思えます」と話す。

　例えば、VDIのようなシステムでWebアプリケーションやSaaSなどから重要な情報のコピー＆ペーストを禁止したいという要求があった場合、VDIでは一辺倒の制限を課すことになる。つまり、VDIの外から機密ではないが業務に必要な情報をペーストしたい場合でも制限されてしまうため、業務従事者の生産性を落とすことになる。

　これに対して勅使河原氏は「Islandでは、重要なデータが保存されているWebアプリケーションやSaaSからの情報持ち出しを禁止するために、Webブラウザ外のアプリケーションはもちろん、Webブラウザのタブを超えて異なるWebアプリケーションに対してペーストすることを禁止できます。一方で、同一Webアプリケーション内や、許可された他のWebアプリケーションに対するコピー＆ペーストや外部でコピーされた内容を持ち込むためにペーストを許可できます。これらの柔軟性を実現する機能をラストマイルコントロールと呼んでおり、Webブラウザでアプローチするからこそ実現できると考えています。ユーザーの生産性を落とすことなく、組織が保護したいデータを守ることができるのが、Islandの特徴的な部分です」と話す。

　セキュリティと利便性／生産性の両立といった観点の他にもIslandにはメリットがあるという。

　「VDIなどを利用されている多くのお客さまから"コストの高さ"や"スケーラビリティや運用の手間"に対する課題をご相談いただきます。Islandに置き換えることで、場合によってコストは半分以下になりますし、Webブラウザをインストールするだけという導入の容易性でスケーラビリティの課題も解決できます」（横田氏）

　「重要なデータを保持している企業では、VPNを経由してVDI上で重要なデータを扱っています。データは組織内のWebアプリケーションなどのシステムであったり、SaaSであったり、さまざまです。しかしこのアプローチは、インフラや種々のライセンスコストが大きくかかる上に、画面転送によるトラフィックの負荷、VDIシステム自体の負荷などにより、ユーザー体験が悪いことが多く、またデータ保護のための制限が多く、ユーザーが望む処理が禁止されているなど、利便性が低く、ユーザーには不満が残り、ビジネスとしても生産性が下がります。Islandであればブラウザネイティブの動作体験、柔軟な制御も可能で、ゼロトラストによるセキュアなアクセスを可能にするZTNA（Zero Trust Network Access）コネクターも搭載しているため、シンプルな構成でセキュアなアクセスが実現します」（横田氏）

セキュリティ強度を落とさずに、VDIによるユーザー体験の改善にIslandを使用したケース（提供：マクニカ）

非管理端末やサプライチェーンのセキュリティ対策にも有効

　マクニカによれば、BYOD（Bring Your Own Device）のような社内の端末、パートナーや業務委託先といった情報システム部門の管理が行き届かない端末、予算はないがセキュリティレベルの強化が求められる子会社・グループ企業での対策をコストパフォーマンス良く実現する方法としてIslandに興味を持たれることが多いという。エージェントレスで導入できるため、非管理端末で課題となるプライバシーとセキュリティの両立がしやすい点や、アクセスを制御できるだけでなく、端末のデバイスポスチャをチェックする機能を備えているからだ。

　「（BYODや業務委託先に対して）プライバシーを侵害する可能性や業務委託先で利用しているツール群とハレーションを起こす可能性のあるセキュリティソリューションを導入してもらうことは難しいかもしれません。しかし、少なくとも自社との間で業務を進めるときは“単なるブラウザ”のIslandを使ってもらうようにすることで、サプライチェーン経由の情報漏えいを防げると考えています」（勅使河原氏）

　もちろん、いきなりWebブラウザを乗り換えるとなると既存アプリケーションの動作確認などを慎重に進める必要がある。そこでマクニカは、まず特定の業務・部署から利用を開始し、徐々に広げていくスモールスタートを推奨している。

　「活用例やユースケースを紹介し、そこから具体的にどういったポリシーが必要なのかといった事柄をユーザー企業と一緒に検討し、概念実証（PoC）を経て移行していく一連の導入支援を提供しています」（横田氏）。きめ細かな制御を実現するスクリプトの作成方法についてのトレーニングも用意する。

　Islandに代表されるWebブラウザは、セキュリティレベルを保ちつつコストを削減できる上に、ユーザーの利便性も向上する三方良しのソリューションだ。こうした利点が評価され、海外の調査企業では、エンタープライズブラウザが次に注目されるソリューションとしてピックアップされている。Webブラウザというビジネスの中核を守るアプローチとして検討してみる価値はあるはずだ。