エンタープライズブラウザとRBIの比較：長所、短所、企業に最適なもの

著：トニー・フラム - 特別功労エンジニア

2025年9月11日 8 分読み

TL;DR

I once believed Enterprise Browsers (EB) would revolutionize web security—quickly replacing Remote Browser Isolation (RBI), and possibly even Secure Web Gateways (SWG). After working with large enterprise customers and talking to analysts, I’ve changed my perspective. I still believe that EB may fill that role for small and medium businesses, but it may not fit as well in large enterprises.

エンタープライズ・ブラウザーへの期待

I’ve had my eye on the Enterprise Browser (EB) market for a long time. Having worked with Secure Web Gateways (SWG) for the majority of my two decades in the security market, it’s impossible to ignore the novelty of the technology. If you’re not familiar, Enterprise Browsers generally come in two flavors – either browser extensions or entirely new browsers which are forks of the Chromium project. Both options aim to bring new security controls to the browsers in which users spend most of their workday. These controls can include secure remote access to internal applications, specialized anti-malware detection in the browser itself, encryption of locally stored browser data, and more. What intrigued me the most was the data security controls such as clipboard controls, data masking, watermarking pages, screenshot protection, and upload/download controls. In general, pushing controls down to the endpoint instead of trying to implement everything at the network level opens a lot of doors, so this is a powerful new tool in the web security world. If I’m being honest, I originally saw this as a direct threat to the SWG market as a whole.

Remote Browser Isolation

今日、ほとんどのSWGベンダーは、Remote Browser Isolation (RBI）に注目している。RBIはその名の通り、リモートで隔離された環境でブラウザのインスタンスを起動し、ユーザーが要求したページをロードします。その後、ユーザーはリモートでブラウザを見たり操作したりできますが、ユーザーのローカルマシンにはページのコンテンツは一切ロードされません。RBIソリューションには独自のブラウザー実装が含まれているため、現在EBソリューションが行っていることをほぼ反映した制御をRBIセッションに組み込むことができる。これにより、証明書をピン留めしたアプリのような読めないコンテンツ、ウェブソケット、読めないエンコーディング、二重暗号化、ローカルクリップボードを使ったコピー＆ペーストのようなローカルでのみ発生するイベントなど、ネットワークベースのコントロールにおける多くのギャップを埋めることができる。

 

アナリストの意外な視点

EBに興味を持った私は、私たちが提携しているアナリスト会社の人物と同席し、この新しいテクノロジーと市場のいくつかのベンダーについて話を聞いた。この会話の中で、彼は私を本当に驚かせる2つのことを言った。まず、EBは大企業よりも中小企業に適した「SMBプレー」だと言った。私はほとんど大企業としか仕事をしておらず、その文脈で何が可能かについて非常に楽観的に考えていたので、これは少々ショックだった。彼はこの点を説明し始めると、もうひとつ私を驚かせたことがあった。どうやら、平均的なEBの購入価格は、1シートあたりでRBIソリューションよりも高いらしい。クラウドベースのRBIソリューションを提供するには、すべてのブラウザー・インスタンスを実行するための多大なインフラ・コストと、クラウド・データセンターを経由するトラフィックのトランジット・コストがかかるからだ。一方、EBはユーザーのエンドポイント上ですべてをローカルで行うため、ベンダーの運用コストはゼロに近い。そのアナリストは、できる限りの努力はしたが、私にはどちらも理解できなかった。私は、彼が勘違いしているに違いないと思い、その場を後にした。

現実の顧客のジレンマ

それから1年ほど経ち、SWGソリューションを長年使用している大手の顧客と会うことになった。彼らは、SWG展開にRBIを追加するか、EBソリューションを購入するかのどちらかに投資することを検討していた。アナリストが何ヶ月も前に話していたにもかかわらず、私は当社のRBIソリューションがより良い選択肢になるとは楽観視していなかった。顧客と最初に話し合い、彼らのユースケースと要件を明確にした。彼らは、アップロード／ダウンロードの制御、クリップボードの制御、ページの読み取り専用化、その他いくつかの微妙な制御を実装することで、データの制御を維持しながら「シャドーIT」アプリケーションへのアクセスを許可する機能を求めていた。

この顧客が抱えていたもう一つの重要なユースケースは、非常によくあることだが、未分類のサイトを扱うことだった。どの企業も、カテゴリー分けされていないサイトをどう扱うかという、この古典的な二律背反と戦わなければなりません。もしそれらをブロックすれば、ヘルプデスクのチケットが増えることになります。なぜなら、ベンダーのカテゴライズは完璧ではないため、必然的に合法的なサイトもブロックされてしまうからです。一方、それらを許可した場合、世の中の脅威の大半はカテゴライズされていないサイトからやってくるため、大きなリスクを背負うことになります。企業はほとんどの場合、セキュリティを維持しながら未分類のサイトを許可する方法を必要としており、この顧客はそれを必要としていた。

この大企業の顧客との関わりを通して、私はこの2つのテクノロジーの長所と短所を彼らの視点から検討する必要に迫られた。逆に、アナリストのコメントのせいで、私は絶えず中小企業の視点から物事を考えていた。最終的に、私は自分が間違っていて、アナリストが全面的に正しかったと理解するようになった！

中小企業の視点

Put yourself in the shoes of a small business of 50-100 employees and consider the challenge of deploying a SWG solution. Such an organization is most likely looking for some very basic controls and a basic level of security. They may have an “IT guy” with some basic knowledge but no serious networking or security expertise. Their infrastructure may lack some key components that are necessary for a successful SWG deployment as well. Now, contrast that with EB. It would be pretty straightforward to push out a new browser app to 100 endpoints, and it could not only eliminate your need to deploy SWG and RBI but also a Zero-Trust Network Access (ZTNA), or “Private Access”, solution. This represents a simple, effective alternative to SWG and, possibly, RBI and ZTNA which might justify such a high price point for a relatively small user base.

大企業の現実

Now consider this from the perspective of an enterprise with hundreds of thousands of endpoints, a team of networking experts, a team of security experts, and all the infrastructure that goes along with being a huge enterprise. This changes things entirely. First, let’s assume that such an organization did deploy an EB solution. Deploying to, potentially, hundreds of thousands of endpoints is no small task and hundreds of thousands of users would have to be educated to use this new browser. Additional controls may also have to be in place to prevent them from using non-enterprise browsers for sites where EB controls need to be applied.

Another thing you might not consider is that large enterprises tend to standardize on a single browser such as Google Chrome, and part of their procurement process is to ensure that all the tools they acquire support their chosen browser. How are they to do this with an obscure EB solution? Does Jira officially support my EB of choice? What about the hundreds of other tools our organization uses? This quickly becomes untenable. What’s worse,a large enterprise can’t simply ignore non-browser based HTTP traffic such as requests from a thick client like Microsoft Teams, Google Drive, Slack, and others. This means that even if the EB solution did solve a lot of their use cases, they cannot use it as a SWG replacement.

では、この顧客がユースケースを実現するために、EBの代わりにRBIを導入するとしたらどうだろうか。RBIは基本的にSWGの機能の一つであり、すでに持っているからだ。SWGソリューションの価値があれば、RBIの導入はライセンスを購入して機能を有効にするだけの簡単なプロセスで済むはずだ。エンドポイントはすでにウェブトラフィックをSWGに送信しているので、何千ものエンドポイントに触れる必要はない。RBIソリューションは通常、ユーザーに対して非常に透過的に設計されているため、ユーザーがRBIソリューションについて学ぶ必要はない。ユーザーに何が起きているかを知ってもらいたい場合でも、通常はカスタマイズしたポップアップを表示して、分離されたセッションを使用していることや、どのようなコントロールが適用されるかを説明するオプションがあります。多くのSWGソリューションがそうであるように、クラウドベースのRBIを使用している場合、インフラを変更する必要はない。RBIは一般的に選択的に使用されるため、組織で使用される信頼できるアプリケーションには適用されない可能性が高く、RBIソリューションでこれらのツールをテストする必要性はおそらくなくなります。

マルウェア対策

One last thing to consider is the catch-22 uncategorized website problem that most large enterprises need to solve. Enterprise Browsers bring improvements to web security by looking for web threats within the browser DOM itself. This allows them to find obfuscated threats after they’ve been delivered and deobfuscated within the DOM. This definitely provides an elevated level of protection for all content loaded in the EB. However, RBI fully isolates the endpoint from the website content. It’s not elevated protection. It’s basically bulletproof protection against malware. Sure, the user can still be tricked by social engineering, but that can be addressed by coaching the user that a page is risky, making the page read-only, preventing uploads or logins, and other similar controls. However, there’s basically no way the endpoint can be compromised by malware via RBI. This empowers customers to allow, but isolate, uncategorized websites without increasing their risk of compromise.

請負業者と第三者アクセス

この時点で、あなたは「この人は第三者請負業者のシナリオを無視している」と思うかもしれない。サードパーティ契約者のユースケースとは、社外のユーザーに対して、社内で管理されていないデバイスから社内のプライベート・アプリケーションにアクセスする能力を与えたい場合である。このようなアクセスを許可する一方で、データを保護し、必要なものだけにアクセスを制限できるようにしたい。そう、これは追加的な考慮事項だが、この同じEB対RBIのパラダイムは、そのような状況にも存在する。当社のような完全な機能を備えたZTNAソリューションのほとんどは、プライベート・アプリケーションへの「クライアントレス」アクセスを提供し、これらのクライアントレス・セッションにRBIを適用して、データ・アクセス制御を管理されていないエンドポイントにもプッシュダウンすることができる。これは、データにアクセスするためにサードパーティの個人に追加のブラウザアプリケーションや拡張機能のインストールを求めるよりもシンプルでシームレスです。

データの分類と認識

最後に考慮すべき点は、データの分類と認識である。EBソリューションはまだ始まったばかりの技術であり、ベンダーは一般的に高度なデータ分類機能を持っていない。ほとんどのベンダーは、データ分類に比較的初歩的な正規表現ベースのアプローチを使用している。しかし、SWGやRBIを提供する成熟したSSEベンダーは、厳密なデータ一致（Exact Data Match (EDM)インデックスド・ドキュメント・マッチング (IDM）光学式文字認識 (OCR）AIベースの分類など。

Customers tend to be heavily invested in these classification mechanisms and have already implemented mature processes around data classification and incident management in these solutions.  This data awareness is often available within isolated sessions which is why the native RBI capability of an incumbent SSE solution might be more attractive than a disjoint EB solution.

結論

最終的には、よくあることですが、顧客のレンズを通して私たちのテクノロジーを見ることを余儀なくされ、そうでなければ学べなかったことを学びました。エンタープライズ・ブラウザーは本当に革新的なテクノロジーで、多くの可能性を秘めています。しかし、大企業にとっては、少なくとも当分の間は、RBIがより良い選択肢になることは明らかです。 

ブログへ戻る