メインコンテンツへスキップ
ブログへ戻る 業界の視点

AIツールによって、ネットワークからは検知できないセキュリティ上の脆弱性が生じています。ブラウザの制御機能でこれを解消しましょう。

執筆:サラン・ワルドカー(シニア・テクニカルPMM)

2026年5月19日 4 読了時間:数分

生成AIの導入は、多くの組織がまだ対応しきれていない形で企業のセキュリティ環境を一変させた。そのリスクは、高度な攻撃から生じたものではなかった。それは、ブラウザのタブから生じたものだった。

従業員は1日の大半をブラウザ上で過ごし、CRMレコード、財務ダッシュボード、共有ドキュメント、そしてChatGPT、Microsoft 365 Copilot、GeminiといったAIツールにアクセスしています。生産性の向上は明らかです。しかし、それに伴うリスクもまた明らかです。

AIアプリケーションでは、従業員のクリップボードから外部モデルへデータを直接転送できるプロンプトフィールドが導入されました。Microsoft Teams WebやWhatsApp Webなどのメッセージングプラットフォームは、従来のネットワークセキュリティツールでは検査できない永続的なWebSocket接続に依存しています。また、最新のSaaSアプリケーションでは、コンテンツがプロキシに到達する前に暗号化が行われます。

その結果、既存のネットワークセキュリティ対策では検知も制御もできない「セッション内」のアクティビティというカテゴリーが拡大しつつあります。こうしたアクティビティはブラウザ内部で発生するため、保護対策も同様にブラウザ内部で講じられる必要があります。

ブラウザの表示に関する問題

従来のネットワーク監視は、プロキシを経由するHTTPおよびHTTPSトラフィックに依存していました。このモデルは長年にわたりうまく機能してきましたが、2つの変化によって状況はさらに複雑化しました。

まず、現代のSaaSアプリケーションでは、WebSocket接続の利用がますます増えています。Microsoft Teams、WhatsApp、Microsoft 365 Copilotなどのアプリは、永続的なブラウザセッションを確立するため、従来のプロキシ検査を迂回してしまい、セキュリティチームはセッションの活動状況を把握できなくなってしまいます。

第二に、エンドツーエンド暗号化が施されたアプリケーションでは、トラフィックがプロキシに到達する前にコンテンツが暗号化されます。ネットワークセキュリティツールは接続を確認することはできますが、ペイロードの内容を検査することはできません。

これにより、既存のセキュリティ対策の監視範囲外でブラウザ上の活動が行われることになる。

日常的なユーザー操作に伴うリスク

データ漏洩事故の多くは、高度な攻撃者によるものではなく、アクセス許可が与えられた後にブラウザ内で行われる従業員の日常的な操作、例えばコピー&ペースト、スクリーンショットの撮影、ファイルのアップロード、AIプロンプトの入力などが原因となっています。

セッション中のデータ漏洩インシデントのうち、最も一般的なものには共通のパターンが見られます。これらは、従業員が通常の業務中に日常的に行う行動であり、ネットワークエッジで動作するツールでは検出や管理が困難です。

例としては、次のようなものがあります:

  • プロンプトの漏洩 – ある財務担当者が、給与データをChatGPTなどのAIツールに貼り付けて要約を作成した。ファイルのダウンロードは行われず、DLPアラートも発動しなかった。
  • スクリーンショット/印刷 – 請負業者がブラウザセッションを通じて顧客記録にアクセスし、個人の端末でスクリーンショットを撮影したり、印刷を試みたりする。監査証跡は存在しない。
  • クリップボード転送 – ある従業員が、社内ダッシュボードから財務データを個人のウェブメールにコピーしました。データはファイルシステムを経由することはありません。

こうした行為は通常の業務中に発生するため、従来の監視手段では検知が困難です。

AIが緊急性を帯びる

生成AIは、貼り付けられたあらゆるコンテンツを受け入れるブラウザのプロンプト欄を作成することで、この問題をさらに深刻化させました。従業員は、ソースコード、顧客の個人識別情報(PII)、財務データ、法的文書、あるいはM&A計画を、わずか数秒で外部のAIシステムに送信できてしまいます。最近の業界調査によると、 従業員の41%が、貼り付けやアップロードの内容を管理するガバナンス制御が一切ないAIウェブツールを定期的に利用していることが明らかになった。ほとんどの組織において、従業員のクリップボードと外部のAIモデルの間には、技術的な制御が一切存在しない。 

多くの組織において、従業員のクリップボードと外部のAIプロンプト入力欄との間には、技術的な制御が一切存在しない。

コンプライアンスへの圧力が高まっている

規制では、機密データに対する技術的な保護措置がすでに義務付けられている。

一般データ保護規則(GDPR)第32条は、個人データの処理における保護を義務付けています。医療保険の相互運用性と説明責任に関する法律(HIPAA)は、医療データに対する保護措置を義務付けています。インドのデジタル個人データ保護法は、個人データに対する技術的な保護措置を義務付けています。ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード(PCI DSS)は、カード会員データに対する管理措置を義務付けています。

監査人は、従業員が機密データを外部のAIツールにコピーすることを何が阻止しているのか、と問うことが増えてきている。多くの組織では、これに対する明確な技術的な回答が示せていない。

エージェントレスなブラウザ制御:このギャップを埋めるための新たなアプローチ

市場では、セッション中のブラウザセキュリティに対するいくつかのアプローチが確立されています。セキュアなエンタープライズブラウザは、従業員が使用するブラウザを管理された企業用ブラウザに置き換えることで、セッション中の詳細な制御を実現します。このモデルは厳格に管理された環境では有効ですが、導入における大きな障壁、3~6か月の導入期間、そしてBYODや契約業者の端末に対する構造的なカバー範囲の不足といった課題をもたらします。

エージェントレス型のセキュアブラウザ制御は、異なるアプローチを採用しています。既存のSSEインフラを通じて、アクティブなブラウザセッション内でデータ保護ポリシーを適用します。これにより、ブラウザの置き換えやエンドポイントエージェントのインストールが不要となり、従業員が業務のやり方を変える必要もありません。対象範囲は、管理対象デバイス、BYODエンドポイント、および契約業者のデバイス上のChrome、Edge、Firefox、Safariに等しく適用されます。導入には数ヶ月ではなく、わずか数分で完了します。

その結果、ブラウザの入れ替えに伴う導入やコスト面でのトレードオフを伴わずに、エンタープライズ向けのブラウザセキュリティのメリットを享受できます。ブラウザはそのまま使い続けられ、ガバナンスが導入されるのです。

次に読むべき本

もし、上記のセッション中の活動が御社の環境でも見受けられるのであれば、次のステップとして、エージェントレス型のセキュアブラウザ制御がどのようにこの問題に対処するのかを学ぶのが最も手っ取り早いでしょう。

こちらをご覧ください Skyhigh Secure Browser Controls の製品ページにアクセスして、この機能の仕組み、既存のSSEプラットフォームを通じた導入方法、および管理対象デバイス、BYOD、外部委託先のエンドポイントにおけるカバー範囲の詳細をご確認ください。

また、 Skyhighの「Secure Browser Controls」の Skyhighの「Secure Browser Controls」のデモをリクエストすることも可能です。

著者について

サラン・ワルドカール

サラン・ワルドカール

シニア・テクニカルプロダクトマーケティングマネージャー

Sarang Warudkarは、サイバーセキュリティ分野で10年以上の経験を持つ経験豊富なプロダクトマーケティングマネージャーであり、技術革新を市場のニーズに合わせることに長けています。CASB、DLP、AI駆動型脅威検出などのソリューションに関する深い専門知識を持ち、効果的な市場投入戦略と顧客エンゲージメントを推進しています。サランはIIMバンガロールでMBAを、プネ大学で工学の学位を取得しており、技術的および戦略的洞察力を兼ね備えています。

ブログへ戻る