ゼロトラストの盲点「Webブラウザ」をどう守る？ RBI、VDIでもない新たな手法：攻撃の5割がWebブラウザを経由！？

業務の中核インタフェースであるWebブラウザ。それがゼロトラストの「盲点」と化している。セキュリティ、コスト、ユーザーの利便性を損なわずにWebブラウザ経由の脅威を断つ新たなアプローチとは。

PR／ITmedia

PR

　DXの推進やクラウドサービスの普及、働き方の多様化に伴い、Webブラウザは今や日々の業務に欠かせない中核インタフェースになった。利便性が高いWebブラウザだが、サイバー攻撃者にとっても便利な侵入経路と化している。

　セキュリティ対策の多くがネットワークの入り口やPC内部の監視に重点を置いており、Webブラウザを狙った巧妙な攻撃に対する防御が足りていない。見過ごされがちなセキュリティリスクにいかに立ち向かうべきか。

サイバー攻撃の5割がWebブラウザを経由

　日立ソリューションズの西村寛嗣氏は、Webブラウザがサイバー攻撃の格好のターゲットになっていると警鐘を鳴らす。

　「情報処理推進機構や警察庁のデータから、ランサムウェア被害を含むサイバー攻撃の4割から5割がWebブラウザを狙ったものだと当社は見ています。攻撃者は正規のWebサイトに偽の入力画面を重ねる『ブラウザインブラウザ攻撃』や電子メールを使った『フィッシング攻撃』などを駆使してIDとパスワードを窃取しています」

日立ソリューションズの西村寛嗣氏（セキュリティサイバーレジリエンス本部 エンドポイントセキュリティ部）

　偽のCAPTCHA認証を装う「ClickFix攻撃」や正規のブラウザ拡張機能を装う攻撃など、従来の検知網を擦り抜ける巧妙な手口も増えている。こうした攻撃が起点になり、大規模なシステム停止や機密情報の漏えいにつながる事例が後を絶たない。

　Webブラウザ経由の脅威に対して多くの企業が採用する対策として、例えばリモートブラウザ分離（RBI：Remote Browser Isolation）や仮想デスクトップ基盤（VDI：Virtual Desktop Infrastructure）が挙げられる。これらも一定の防御は可能だが、西村氏は「RBIとVDIはセキュリティ強度、コスト、ユーザーの利便性のいずれかを犠牲にしてしまうケースが見受けられる」と指摘する。

　RBIは、Webコンテンツの表示や処理をサーバで実行して画面情報のみをクライアントに転送して無害にする技術だ。しかし、Webページの構造を可視化し、操作を可能にする仕組み（DOM：Document Object Model）の再構築や通信過程で遅延が発生し、ユーザーの生産性を低下させてしまう。RBI経由では正常に動作しないWebサイトやSaaSはコンテンツ無害化の対象外にせざるを得ず、これがセキュリティホールになりかねない。

　VDIは、利用するたびに実行環境をリセットする揮発型運用であればリスクを低減できるが、インフラの構築と維持に多くのコストと工数を要する。OSやWebブラウザのアップデート管理も必要で、更新を怠ると脆弱（ぜいじゃく）性を抱えたままになる。ネットワーク帯域の圧迫による遅延も避けられない。

セキュリティを強化しながら、導入コスト・工数を大幅に削減するSeraphic

　これらの課題を解決するのが「エンタープライズブラウザ」だ。専用ブラウザ型のエンタープライズブラウザに切り替えるという手もあるが、今使っているWebブラウザをそのまま利用する「エージェント型」が注目されている。国内では日立ソリューションズが提供する「Seraphic」（セラフィック）がある。

　Seraphicは、PCに軽量なエージェントをインストールすると、PC内のWebブラウザに拡張機能として自動でアドオンされる。「Google Chrome」「Microsoft Edge」「Firefox」「Safari」などに対応しており、専用ブラウザの導入に伴う業務ドキュメントの修正やWebアプリケーションの再検証などは不要だ。「見た目や操作感は、使い慣れたWebブラウザと変わらないので、教育の必要がありません。既存のWebアプリケーションとの互換性も維持されます」

　Webブラウザに加えて、「Slack」「Microsoft Teams」「Notion」などのデスクトップアプリケーションも保護できる。これらはWebブラウザのレンダリング機能を使ったフレームワーク「Electron」で動作しており、Webブラウザと同じ構造を持っている。チャットツール経由で送られてくる悪意のあるリンクやアプリケーション内でのWebコンテンツのプレビューに対しても、Webブラウザと同様のセキュリティポリシーを適用して脅威を遮断する。

Seraphicの利用イメージ（提供：日立ソリューションズ）《クリックで拡大》

　Seraphicは導入コストを抑えられるという利点もある。管理コンソールはSaaSとして提供されるため、VDIのような大規模な仮想デスクトップ用のサーバ構築や専用インフラの維持が不要だ。利用料金は月額換算で1ユーザー当たり数百円台から導入できる。

特許技術でWebコンテンツのゼロトラストを実現

　Seraphic最大の特長は、特許技術「Chaotic Defense Engine」による防御の仕組みだ。

　EDR（Endpoint Detection and Response）などのセキュリティソリューションは、登録された既知の攻撃パターンや不審な挙動を検知してブロックすることで、攻撃実行後の対応や感染拡大の阻止を担う。攻撃コードが実行される前の段階で無力化しようとすると、また別の技術が必要になる。

　Chaotic Defense Engineは、Webブラウザ内部のメモリ構造を制御することで攻撃を無効にする。攻撃コードは、攻撃に必要な特定の関数やデータが「メモリの特定の番地に存在している」という攻撃者作成の「メモリ地図」（メモリマップ）を前提に実行される。Seraphicは、WebブラウザがWebページを読み込む際にこのメモリの配置をランダムにすることで攻撃者が持つメモリ地図を無効にし、攻撃コードを破綻させる。

　「Seraphicのコンセプトは『Webコンテンツに対するゼロトラストセキュリティ』です。コンテンツが安全かどうかを判断するのではなく、Webブラウザのメモリ空間を攻撃不可能な状態に変えます。正常なコンテンツは、Seraphicが正しいメモリ番地（メモリアドレス）にマッピングし直して表示するが、攻撃コードはアクセスした先に期待した関数やデータを見つけることができず破綻するため、攻撃を防止できるのです」

Chaotic Defense Engineでの防御イメージ（提供：日立ソリューションズ）《クリックで拡大》

生成AIを悪用した攻撃や内部不正による情報漏えいも遮断

　Seraphicは、AIによって高度化しているフィッシング攻撃対策でも効果を発揮する。

　URLフィルタリングなどのリスト型対策だけでは、AIによって巧みに複製されたフィッシングサイトを防ぐのは困難だ。SeraphicのDLP（Data Loss Prevention：データ漏えい防止）機能は、Webサイトのロゴやレイアウト、コード構造など200以上のメタデータを解析する。フィッシングサイトと判定したらWebブラウザを読み取り専用モードに切り替え、ID／パスワードの入力フォームを無効化する。

　「ChatGPT」などの生成AIツールやAIエージェント機能を搭載したAIブラウザも制御可能だ。個人情報やソースコード、APIキーなど特定の機密情報の貼り付けを禁止したりファイルアップロードをブロックしたりできる。

　生成AIサービスの利用状況を可視化するダッシュボードも用意されている。把握していない「シャドーAI」の利用実態を明らかにし、適切なガバナンスを効かせる上で有効だ。

Seraphicの生成AIダッシュボードで、利用されている生成AIツールや操作内容（コピー、ペースト、ファイルアップロード、など）を確認できる（提供：日立ソリューションズ）《クリックで拡大》

IT部門も納得する軽快さと高互換性

　Seraphicを導入することで「PCの動作が重くなるのではないか」「業務アプリケーションの動作に支障が出るのではないか」といったパフォーマンスへの影響を懸念する声に対して、西村氏は「心配ない」と話す。

　「SeraphicはCPU（Central Processing Unit）やメモリへの負荷がとても低いことも特長です。導入によるPCのパフォーマンス低下は、体感に現れるほどではなく無視できるレベルです。実際に導入された企業からは、Seraphicがインストールされていることに気が付かない、というお声も聞きます」

　RBIのようにサーバ側でコンテンツを描画して転送する方式ではないため、表示崩れは発生しない。SaaSやスクラッチ開発したWebアプリケーションも利用でき、フォント表示のズレやJavaScriptの互換性に悩まされることもない。

　「Seraphicを数千から数万ユーザー規模で導入している欧米の企業は『本当に入っているのか疑うほど動作が軽い』『処理遅延を感じない』と高く評価しています。互換性の問題が発生しないため検証作業がスムーズに進み、素早く全社展開できます」

「誰が、いつ、どのWebサイトで、何の操作をしたか」を詳細に追跡

　Seraphicは、セキュリティ状況の可視化でも効果がある。ネットワーク機器やEDRのログだけでは確認し切れなかった、Webブラウザにおけるユーザーの操作やイベント情報を取得して「誰が、いつ、どのWebサイトで、何の操作をしたか」を追跡できる。

　また、SeraphicとSIEM（Security Information and Event Management）ツールを連携させてほかのセキュリティ機器のログと突き合わせて相関分析することで、不審な挙動を明らかにして的確に対応できる。

　さらに、「iOS」「Android」のモバイル版Webブラウザにも対応している。ただし、モバイル版Webブラウザは、全てがエージェントの追加をサポートしているわけではないため、西村氏は「Seraphic社はモバイル向けには専用ブラウザアプリケーションを開発し、モバイルOSにおけるSeraphicの利用方法について選択肢の幅を広げています」と説明する。このほか、AIセキュリティ、Webブラウザ内部の情報の分析機能、レポーティング機能の強化も予定されている。

日立ソリューションズがセキュリティ強化を包括支援

　日立ソリューションズは、Seraphicの国内初ディストリビューターとしてポリシーの策定から運用開始後の技術支援まで手厚くサポートしている。

　Seraphic単体の提供にとどまらず、エンドポイントセキュリティやネットワークセキュリティ、ID管理、ゼロトラストなどのソリューションのラインアップと知見を生かし、企業のIT環境に合わせてトータルコーディネートできる体制がある。EDRとの組み合わせやゲートウェイセキュリティとの役割分担など、顧客の環境に合わせたアーキテクチャを設計・提案可能だ。

　「『本当に攻撃を無効化できるのか』『軽快に動作するのか』と半信半疑の方もいるでしょう。お客さまの目でご確認いただくために、Seraphicの製品評価を無償でご用意しています」

　ゲートウェイセキュリティやEDRといった対策をどれだけ強化しても、侵入を完全に防ぐことは難しい。インシデント報告で侵入後の攻撃者の動きは詳細に分析される一方、入り口となったWebブラウザがどのように突破されたのかは曖昧なことが多い。西村氏は「サイバーハイジーンの原則に従い、『見えないものは守れない』。だからWebブラウザも可視化する必要があります」と話し、Webブラウザセキュリティに対する意識改革の重要性を強調する。

　「Webブラウザが業務における中核インタフェースとして浸透したため、内部をしっかりと見える化し、保護する必要があります。Seraphicによって、Webブラウザの中身を可視化して守るという『新しい当たり前』を定着させていきます」

Google Chrome は Google LLC の商標です。

その他、記載の会社名、製品名は、それぞれの会社の商号、登録商標または商品名称です。