ブラウザーアイソレーション(Web Isolation)とは、ユーザーが遭遇する可能性のあるマルウェアからコンピューターを保護するために、サンドボックスや仮想マシンなどの隔離された環境内でWebブラウジング活動を行う技術です。この隔離は、コンピュータ上でローカルに行われる場合と、サーバ上でリモートで行われる場合があります。Browser Isolationテクノロジーは、マルウェアがエンドユーザーのデバイスにアクセスする機会をなくすことで、日々のブラウジングにマルウェア保護を提供します。
ブラウザ・アイソレーションは、基本的に、すべてのブラウジング活動を隔離された仮想環境で実行することにより、コンピュータ/ネットワークをWebベースの脅威から保護します。可能性のある脅威はこの環境に閉じ込められ、コンピュータのハードドライブやネットワーク上の他のデバイスなど、ユーザーのエコシステムのどの部分にも侵入することができません。ブラウザーアイソレーションがITセキュリティソリューションとして注目を集めているにもかかわらず、ブラウザーアイソレーションに関する多くの誤った情報が残っています。
![]()
ブラウザ分離の背景
ウェブブラウザは、現在最も一般的に使用されているビジネスアプリケーションの1つです。あらゆる業界のあらゆる規模の組織が、ビジネスを成功させるために何らかの形でインターネットに依存しています。しかし、ウェブブラウザーは、マルウェアがビジネスマシンに侵入するための主要なアクセスポイントとして、セキュリティ上の大きな責任も負っています。
従来、企業はウェブベースのマルウェア対策として、さまざまなセキュリティ・ソリューションを利用してきた。いくつかのソリューションは、ネットワークに入ってくるウェブコンテンツの善し悪しを判断するアルゴリズムを使用しています。また、危険なコードを含む可能性のあるWebサイトへのユーザのアクセスをブロックするソリューションもあります。この種のセキュリティ製品の例としては、ウェブ・プロキシやセキュア・ウェブ・ゲートウェイなどがある。
このようなアプローチは効果的ではありますが、ゼロデイマルウェアを見逃す可能性があり、また、ユーザーをウェブサイトからブロックすることは、生産性に悪影響を及ぼす可能性があります。サイバーセキュリティ業界の統計やトレンドは、マルウェアに対する適切なセキュリティ対策を提供するために組織が奮闘しているため、セキュリティ支出は高額であり、依然として増加していることを示し続けています。
このような問題に対し、ウェブベースのマルウェアがネットワークに侵入するのを完全に阻止するためには何が必要かを考え抜いた結果、「ブラウザの分離」というコンセプトが生まれました。安全でないウェブサイトからユーザーを遠ざけるのではなく、隔離されたブラウジングによって、たとえ悪意のあるウェブサイトであっても、ユーザーは安全にアクセスできるようになります。ブラウザ隔離テクノロジーは、安全なウェブ・コンテンツは存在しないというゼロ・トラスト・アプローチを採用しています。ユーザーのブラウジング活動はすべて、ユーザーのコンピューターから離れた隔離された環境に移動します。ウェブコンテンツが実際にユーザーのコンピュータに到達することはないため、マルウェアがシステムに侵入することはありません。
![]()
Browser IsolationとRemote Browser Isolationはどう違うのですか?
リモートブラウザ隔離は、ブラウザ隔離の特定の実装であり、すべてのブラウジング活動の実行をユーザーのコンピュータからリモートサーバーに移動することによって、リモートで発生します。このリモートサーバーは、クラウドでホストされることも、組織のネットワーク内のオンプレミスに配置されることもあります。
しかし、サイバーセキュリティ業界では、「Browser Isolation」というと、「Remote Browser Isolation」を意味することが多いようです。
リモートでアイソレーションを行う利点は、ユーザーのコンピュータでローカルにアイソレーションを行う場合と比較して、より高いセキュリティを提供し、クライアント側のリソースが少なくて済むということです。
![]()
Browser Isolation Technologyはどのような仕組みになっているのですか?
ブラウザ隔離ベンダーによって実装の詳細は異なりますが、一般的にブラウザ隔離は以下の方法で機能します:
-
- ユーザーのコンピューターからブラウジング動作を削除し、仮想環境で実行すること。
- ブラウジングセッションの終了時にブラウジング環境を自動的に破壊するため、ユーザーが悪意のあるものに出会っても、セッションの終了時に消去されます。ユーザーが再び安全な仮想ブラウザに接続すると、マルウェアのないクリーンで新しいイメージを得ることができます。これは、ブラウザ分離が機能するための必須条件ではありませんが、様々なソリューションに共通する機能であると思われます。
ブラウザーアイソレーションは、戦闘機パイロットとドローンパイロットの違いと考えることができます。ドローンパイロットは、実際の戦闘機パイロットができることはほとんど何でもできますが、戦場に行ってパイロットの命を危険にさらすことはありません。
Browser Isolationの使用は、ドローンパイロットになるようなものです。遠隔地からウェブを閲覧し、ネットワークを危険から遠ざけることができますが、まるで自分がその場にいるような感覚になります。
![]()
アイソレーテッドブラウジングの種類
アイソレーション技術には、大きく分けて「ローカルアイソレーション」と「リモートアイソレーション」の2種類があります。
ローカルアイソレーション
多くの人が知っているのはローカルアイソレーションで、これは従来から行われていたアイソレーションの方法です。これは、ユーザーのローカルコンピュータ上でサンドボックスか仮想マシンを使い、危険なウェブブラウジングからコンピュータ上のデータを隔離するものです。
リモートアイソレーション
リモートブラウザアイソレーションでは、仮想化と隔離はリモートサーバ上で行われます。ユーザーのブラウジング活動は、リモートの仮想環境に移動し、サーバー上で起こっていることのリアルタイムの視覚的なストリームのみがユーザーのコンピュータに送信されます。リモートサーバーは、組織のネットワーク内のオンプレミスに配置することも、クラウドでホストすることも可能です。
リモートブラウザ隔離の分野では、特定の技術がユーザーのコンピュータをウェブコンテンツから隔離する程度が決まっています:
-
- DOMミラーリングは、危険と思われる特定の種類のウェブコンテンツをフィルタリングしますが、それでも一部の種類のウェブコンテンツは、インターネットから直接ユーザーのコンピュータに元の形式で送信することができます。これは真の分離ではありません。
- Isolationは、ユーザーのコンピューターにウェブコンテンツを送信することはありません。ピクセルの形をしたビジュアルストリームのみを送信します。
![]()
孤立ブラウジングが必要な理由
一般に信じられていることとは異なり、あらゆる規模の組織がウェブベースのマルウェアによって深刻な影響を受ける可能性があります:
ウェブブラウジングは危険である
ウェブブラウザは、今日使用されている最も一般的なビジネスアプリケーションであり、その複雑さゆえに、本質的にセキュリティを確保することが困難です。ブラウザは、信頼できないコードをダウンロードし、ユーザーのコンピュータ上で直接実行するという、コンピュータプログラムが実行できる最も危険な動作を実行します。ブラウザベースの攻撃が、攻撃者にとってユーザーをターゲットにした主要な脅威のベクトルであることは不思議ではありません。
サイトブロックは生産性に影響する
リモートブラウザアイソレーションは、セキュアWebゲートウェイによってまだ分類されていないWebサイトへの安全なアクセスを可能にすることで、セキュアWebゲートウェイを補完するものです。組織は通常、Webベースのマルウェアからネットワークを保護するために、分類されていないWebサイトへのアクセスをブロックしています。しかし、Webサイトへのアクセスを積極的にブロックすることは、エンドユーザーと、Webサイトのブロック解除を要求するエンドユーザーのフォローアップを担当するITチームの双方にとって、生産性の低下を招くことになります。リモート・ブラウザ・アイソレーションは、ユーザーとITチームが、ユーザーエクスペリエンスに悪影響を与えたり速度を落としたりすることなく、通常通りウェブを利用することで生産性を向上させ、同時にウェブベースの脅威から完全に保護することを可能にします。
ユーザは巨大なリスク
ほとんどのユーザーは注意深くなく、ソーシャルエンジニアリングの手口で簡単に悪意のあるリンクをクリックさせられてしまうことがあります。しかし、一人の不注意な従業員が悪質なリンクをクリックすることで、そのすべてを回避し、攻撃者に門戸を開いてしまう可能性があります。
![]()
Web分離技術によるメリット
遠隔地の仮想環境ですべてのブラウジングを隔離することで、悪意のあるウェブコンテンツが企業ネットワークに到達しないようにする「Isolated browsing」。Web Isolationテクノロジーは、すべてのWebベースの脅威から保護します。
このアプローチの主な利点は、次のとおりです:
- 悪意のあるウェブサイトからの保護:
ユーザーのコンピュータ上でローカルコードが実行されないため、ユーザーはすべての悪意のあるウェブサイトから保護されます。
- 悪意のあるリンクからの保護:
URLは、ウェブページ、電子メール、ドキュメント、Skypeなどのいずれであっても、隔離されたウェブブラウザで自動的に開かれるため、ユーザーはソースに関係なく保護されます。
- 悪意のある電子メールからの保護
Web Isolationを使用すると、すべてのWebベースの電子メールはリモートサーバーで無害化され、電子メールクライアントのリンクもリモートサーバーで自動的に開かれます。
- 悪意のあるダウンロードからの保護:
管理者は、ユーザーにダウンロードを許可するファイルを細かく制御でき、許可されたダウンロードはすべて最初にスキャンされ、脅威が排除されます。
- 悪質な広告からの保護:
広告やトラッカーは自動的にブロックされます。広告が表示された場合は、リモートでレンダリングされ、悪意のあるコンテンツからユーザーを保護します。
- 匿名ブラウジング:
高度な匿名ブラウジング機能により、ユーザーの身元を隠すことができます。
- データ損失防止:
内蔵のDLP機能により、企業データが偶発的または意図的に流出するのを防ぎます。これらの機能により、管理者はユーザーがインターネットにアップロードできるファイルを制限することができます。
- ユーザー行動分析:
コンプライアンス監視、内部脅威や非生産的な従業員の検知に利用できる。
- セキュリティアラート数の削減:
リモートサーバー上のすべてのウェブコンテンツを隔離することで、調査が必要なセキュリティアラートと誤検知の数を減らすことができます。
- ウェブベースのマルウェアのコストを削減します:
マルウェア感染の影響は深刻で、修復には多額の費用と時間がかかります。隔離されたブラウジングは、ウェブベースのマルウェアからネットワークを完全に保護します。