シャドーITや内部不正、ブラウザー
拡張機能の悪用にどう対応するか
拡張機能の悪用にどう対応するか
株式会社インターネットイニシアティブ
サービスプロダクト推進本部
営業推進部 セキュリティソリューション課
サービスプロダクト推進本部
営業推進部 セキュリティソリューション課
川﨑 瑠香氏
リスクの代表例がシャドーITである。例えば、会社が承認していない個人契約のクラウドサービスやアプリケーションを使うと、組織のセキュリティーポリシーの管理外になるためマルウエア感染や不正アクセスのリスクが高まる。「誰が、いつ、何を持ち出したのか」も把握できないため、退職時にデータを持ち出す“手土産転職”に悪用されることもある。
「未承認のオンラインストレージ、Webメール、SNSなどがリスクの温床になっています。さらに、生成AIの利用拡大がこの状況に拍車をかけています。悪意はなくても、プロンプトに機密情報を入力してしまうと、それをAIが学習データとして取り込み、第三者の回答に利用されてしまう恐れがあるからです」とインターネットイニシアティブ(以下、IIJ)の川﨑 瑠香氏は話す。
また、外部からの攻撃も日増しに高度化している。一例が、ブラウザー拡張機能を悪用した攻撃である。ブラウザー拡張機能とは、プラグインを組み込んでブラウザーを使いやすくしたり、自分好みにカスタマイズしたりできる機能のこと。この中に悪意のあるプログラムが仕込まれていることがあり、気付かずにインストール/アップデートすると、それがスパイウエア化して勝手に情報を外部に送信したり、フィッシングサイトに誘導したりするという。
これらのリスクに対応するためには、狙いを定めた対策強化が欠かせない。「シャドーIT対策にはCASB(Cloud Access Security Broker)が有効です。生成AIからの情報漏洩防止はDLP(Data Loss Prevention)を活用することで、データの書き込みを制御できます。そしてブラウザー拡張機能の悪用対策には、拡張機能を可視化・制御する仕組みが欠かせません」と川﨑氏は説明する。
CASB、DLPを手軽かつ
省コストに導入できる
省コストに導入できる
CASBは、企業が利用するクラウドサービスのセキュリティーを一括管理するソリューションだ。ネットワークアクセスを可視化して監視・制御することで、データ保護、脅威検出、コンプライアンス順守を実現する。DLPは、機密情報や重要データの外部への漏洩を防ぎ、セキュリティーを強化するためのシステムである。
「これらはいずれも監視や制御をネットワークレベルで行うため、導入に当たってはWANの構成やプロキシの変更が必要になります。そのため、これまで導入のハードルが高いことが企業・組織にとっての課題でした」と川﨑氏は指摘する。特に拠点を多数展開している企業の場合は影響範囲が大きいため、手間も増大する。また、サービス自体が高額で多くのコストがかかることも難しい問題だった。
そこでIIJはこの課題を解決するため、手軽かつ省コストでCASB、DLPを導入できるサービスを提供している。それが「ブラウジング保護(SecureLayer)」だ(図1)。クラウド型の統合エンドポイントセキュリティーサービス「IIJセキュアエンドポイントサービス」の機能の1つとして提供される。 「Microsoft Edge、Google Chromeなど主要なブラウザーに専用プラグインを追加するだけで導入できます。専用ブラウザーを別途用意する必要がないので、ユーザーの使用感を変えることもありません。すべての制御をブラウザー上で実行するため、ネットワーク環境の見直しや再設計も不要です」と川﨑氏は説明する。
機能も多彩だ。CASB機能では組織内のWebアプリやSaaSの利用状況を可視化する。「どのアカウントが、どんなWebアプリやSaaSを利用しているかを一覧できるため、シャドーITの検出が容易になります。会社ドメインのみログインを許可したり、未承認のWebアプリやSaaSの利用を制限したりするなどの動的制御も可能です」(川﨑氏)。
DLP機能ではIPアドレス、クレジットカード番号、マイナンバーなど定義したデータの入力制限が可能だ。システムへのログイン、コピー&ペーストやファイルアップロードなどの操作を制限することもできる。「生成AIへの機密情報や重要情報の入力を制御することで情報漏洩を抑止できます。生成AIとのやり取りの内容も確認できるので、使い方が適正かどうか、意図せず外部に出たデータがないかをチェックでき、ガバナンスも強化できます」と川﨑氏は続ける。
さらに、ブラウザー拡張機能の制御も実現できる。組織内で使われている拡張機能を洗い出し、リスクの高低をスコアで表示する。非アクティブなブラウザー画面のぼかし、ウォーターマーク挿入、パスワードセキュリティー強化などの対策も実施可能だ。
「また、ブラウジング保護では実際にPCを操作しているユーザーの画面上にアラートが上がるため、セキュリティー/コンプライアンス意識の向上にも役立ちます。内部不正行為の中には『悪いことをしている』とは知らずにやってしまうケースもあります。意識の向上によって、そのような事態の発生を減らすことができるはずです」と川﨑氏は語る。
「これらはいずれも監視や制御をネットワークレベルで行うため、導入に当たってはWANの構成やプロキシの変更が必要になります。そのため、これまで導入のハードルが高いことが企業・組織にとっての課題でした」と川﨑氏は指摘する。特に拠点を多数展開している企業の場合は影響範囲が大きいため、手間も増大する。また、サービス自体が高額で多くのコストがかかることも難しい問題だった。
そこでIIJはこの課題を解決するため、手軽かつ省コストでCASB、DLPを導入できるサービスを提供している。それが「ブラウジング保護(SecureLayer)」だ(図1)。クラウド型の統合エンドポイントセキュリティーサービス「IIJセキュアエンドポイントサービス」の機能の1つとして提供される。 「Microsoft Edge、Google Chromeなど主要なブラウザーに専用プラグインを追加するだけで導入できます。専用ブラウザーを別途用意する必要がないので、ユーザーの使用感を変えることもありません。すべての制御をブラウザー上で実行するため、ネットワーク環境の見直しや再設計も不要です」と川﨑氏は説明する。
機能も多彩だ。CASB機能では組織内のWebアプリやSaaSの利用状況を可視化する。「どのアカウントが、どんなWebアプリやSaaSを利用しているかを一覧できるため、シャドーITの検出が容易になります。会社ドメインのみログインを許可したり、未承認のWebアプリやSaaSの利用を制限したりするなどの動的制御も可能です」(川﨑氏)。
DLP機能ではIPアドレス、クレジットカード番号、マイナンバーなど定義したデータの入力制限が可能だ。システムへのログイン、コピー&ペーストやファイルアップロードなどの操作を制限することもできる。「生成AIへの機密情報や重要情報の入力を制御することで情報漏洩を抑止できます。生成AIとのやり取りの内容も確認できるので、使い方が適正かどうか、意図せず外部に出たデータがないかをチェックでき、ガバナンスも強化できます」と川﨑氏は続ける。
さらに、ブラウザー拡張機能の制御も実現できる。組織内で使われている拡張機能を洗い出し、リスクの高低をスコアで表示する。非アクティブなブラウザー画面のぼかし、ウォーターマーク挿入、パスワードセキュリティー強化などの対策も実施可能だ。
「また、ブラウジング保護では実際にPCを操作しているユーザーの画面上にアラートが上がるため、セキュリティー/コンプライアンス意識の向上にも役立ちます。内部不正行為の中には『悪いことをしている』とは知らずにやってしまうケースもあります。意識の向上によって、そのような事態の発生を減らすことができるはずです」と川﨑氏は語る。
「デバイス側で制御する」
IIJのSASEモデル
IIJのSASEモデル
なお、ここまで紹介したCASBやDLP、ブラウザー制御といった機能は、現在のセキュリティー対策で重要度を増す「SASE(Secure Access Service Edge)」の構成要素である。つまり、ブラウジング保護を導入することで、SASEの実現を大きく加速することができるのだ。
「一般的なSASEのモデルではインターネット通信を制御することでユーザーのアクセス、やり取りされるデータなどを監視・制御します。一方、IIJのSASEモデルでは、独自技術を用いることでPCなどのデバイス側で制御を行うことが可能です。ネットワーク変更の必要がなく、容易に導入できるのも、これが要因です」と川﨑氏は強調する(図2)。 さらに、ゼロトラストを実現するリモートアクセス「IIJフレックスモビリティサービス/ZTNA」、クラウド型のデバイス管理「IIJフレックスレジリエンスサービス」など、IIJの別のサービスと組み合わせることで、SASE環境を構築することが可能だ。
「体感プログラム『IIJ Touch & Experience College』では、複数のIIJのサービスを組み合わせた、実際のSASE環境を体感できます。導入イメージをつかむためにも、ぜひこのようなプログラムも併せてご検討いただければと思います」と川﨑氏は述べる。
AI時代、内部と外部の両方のセキュリティーリスクに適切に対処するために、ブラウジング保護をはじめとするIIJのサービス群は重要な選択肢になるだろう。
「一般的なSASEのモデルではインターネット通信を制御することでユーザーのアクセス、やり取りされるデータなどを監視・制御します。一方、IIJのSASEモデルでは、独自技術を用いることでPCなどのデバイス側で制御を行うことが可能です。ネットワーク変更の必要がなく、容易に導入できるのも、これが要因です」と川﨑氏は強調する(図2)。 さらに、ゼロトラストを実現するリモートアクセス「IIJフレックスモビリティサービス/ZTNA」、クラウド型のデバイス管理「IIJフレックスレジリエンスサービス」など、IIJの別のサービスと組み合わせることで、SASE環境を構築することが可能だ。
「体感プログラム『IIJ Touch & Experience College』では、複数のIIJのサービスを組み合わせた、実際のSASE環境を体感できます。導入イメージをつかむためにも、ぜひこのようなプログラムも併せてご検討いただければと思います」と川﨑氏は述べる。
AI時代、内部と外部の両方のセキュリティーリスクに適切に対処するために、ブラウジング保護をはじめとするIIJのサービス群は重要な選択肢になるだろう。
