「ブラウザ」の重要性は今やOSレベル
ローカル環境と分離して守る手法とは

　企業・組織の業務環境が急速に変化する中、「ブラウザ」の利用シーンがどんどん拡大している。PC、スマートフォン、タブレットなどのモバイルデバイスの普及や、多様なクラウドサービスが活用されるようになったことで、多くのユーザーがブラウザ上で仕事をするようになっている。

　「一昔前のブラウザは、ホームページを見る、オンラインショッピングをする、ファイルを送受信するといった単純な作業しかできませんでした。それが現在は、メールや文書作成、ファイル共有、Web会議、顧客管理、勤怠管理、AI活用など、あらゆる作業をブラウザ上で実行できるようになっています。ブラウザ自体の進化も目覚ましく、中には年間100個以上の新機能が追加され続けているものもあります。ブラウザはもはやOSと化しているといっても過言ではないでしょう」。そう話すのはメンロ・セキュリティ・ジャパンの寺田 大地氏だ（図1）。 　ただ、そこで問題になるのがセキュリティーリスクである。機能の追加時には脆弱性が生まれることもあるからだ。同社の調べによれば、深刻度が「重要」または「緊急」の脆弱性だけでも年間100以上が報告されている状況だという。

　「サイバー攻撃者もこの状況を把握しています。当社の調査では、インターネット利用者を狙ったサイバー攻撃の80％がブラウザを標的にしたものでした。業務の多くがブラウザで行われている今、組織はPCやサーバー、ネットワーク機器と同様にブラウザを重要な資産であると認識し、適切に守る必要があるのです」と寺田氏は強調する。

　URLフィルタリングやサンドボックスといった既存のセキュリティー対策は、ネットワークに流れるデータの内容を判別して脅威を止めるもの。そのため、ブラウザ上で起きていること自体を捉えることはできない。

　この点を突いた攻撃も登場している。例えばHTMLスマグリングという手法では、ファイルをダウンロードさせるのではなく、ファイルをバラバラにしてWebページに隠し、ブラウザ上で動的にファイルを生成することでマルウエアをエンドポイントデバイスに送り込む。ネットワーク上では異変が起こらないため、既存の対策で検知することは難しいという。

　「セキュリティー対策をネットワークからブラウザにシフトすることが求められています。ブラウザで実際にどのようなデータが生成され、実行されているのかを捉えることで、脅威がデバイスに悪さをする前に対処するのです」と寺田氏は言う。

　そのためのソリューションとして、Menlo Security が提供するのが「セキュアエンタープライズブラウザ」だ（図2）。Google ChromeやMicrosoft Edgeなどのローカルブラウザでの操作を、同社が提供するセキュアクラウドブラウザ経由で実行する。このセキュアクラウドブラウザの状況を一元的に可視化することで、インターネット経由の攻撃からユーザー、アプリケーション、データを保護するものである。 　最大の特徴は「分離（アイソレーション）」を基本としたアーキテクチャにある。あらゆるコンテンツのダウンロードと実行・処理を、エンドポイントデバイスと分離されたセキュアクラウドブラウザ上で行うため、たとえ攻撃が実行されてもデバイスが被害にあうことはない。

　デバイスに専用ブラウザをインストールするタイプのブラウザセキュリティー製品は、汎用ブラウザをエンジンに採用していることが多くある。そのため、それらのブラウザ自体に脆弱性が見つかると、保護は不十分なものになってしまうという。「我々のアーキテクチャであれば、そのようなことは起こりません。非常に強力なブラウザセキュリティーの手法だと自負しています」と寺田氏は説明する。

　セキュアエンタープライズブラウザの機能は「Manage（管理）」「Protect（保護）」「Secure（セキュア）」の3つに大別できる。それぞれについて代表的なものを紹介しよう。

①Manage（管理）

　ブラウザ設定をデフォルトのまま使用している企業・組織は多いだろう。例えば、PCへのリモートアクセスは一般的に「許可する」状態になっているが、この状態は攻撃者にとって格好の狙い目になる。ユーザーがPCにログインして使用している状態であれば、攻撃者は認証情報を必要とせずにリモートアクセスを実行できる。ユーザーの操作を追跡してアプリケーションや情報にアクセスしたり、情報を外部に漏えいさせたりすることが可能になる。

　「これを防ぐのがブラウザポスチャー管理機能です。膨大なブラウザ設定を業界の推奨設定と照らし合わせて、より安全な状態に変更します。作成した設定はMicrosoft Intuneやグループポリシー形式でエクスポートできるため、簡単に反映可能です」と寺田氏は紹介する。

②Protect（保護）

　先に紹介した通り、ネットワーク上で検知する従来型対策では防ぎきれない攻撃が存在する。このようなHEAT（Highly Evasive Adaptive Threats：検知回避型脅威）の1つがゼロアワーフィッシング攻撃であり、それに対する備えを提供するのが「ヒートシールド（HEAT Shield）」だ。セキュアクラウドブラウザに搭載されたAIが、Webリクエストを監視して分析。脅威を検知した場合は動的な制御によって攻撃を排除する。

③Secure（セキュア）

　現在のセキュリティー対策の重要コンセプトとなっているのがゼロトラストだ。あらゆるデバイスや通信を信用せず、都度の認証に基づきアクセスを判断する。ただ、一般的なゼロトラストモデルでは、一度認証したユーザー／通信の挙動を制御することは難しい。そのため、攻撃者が正規ユーザーになりすまして内部アプリケーションやイントラサイトにマルウエアを仕込むリスクが存在する。

　「その点、ローカルのデバイス／ブラウザとセキュアクラウドブラウザが分離されている我々の仕組みであれば、仮に攻撃者が正規ユーザーになりすましていても、内部アプリケーションやイントラサイトに影響が及ぶことはありません」（寺田氏）。アプリケーションはインターネット非公開のため、攻撃者を含む不特定多数のアクセスを排除することもできるという。

　ブラウザは無料で提供されているため、「重要なIT資産である」という認識に至りにくいのが実情だ。しかし、今や業務に欠かせないものになったブラウザにこそ、徹底した可視化と制御が求められる。Menlo Securityが提案するセキュアエンタープライズブラウザの仕組みは、サイバー攻撃から組織を守るための有効な手立てになるだろう。