エンタープライズブラウザとRBIの比較：長所、短所、企業に最適なもの

著：トニー・フラム - 特別功労エンジニア

2025年9月11日 8 分読み

TL;DR

かつて私は、エンタープライズブラウザ（EB）がウェブセキュリティに革命をもたらし、Remote Browser Isolation RBI）を急速に置き換え、さらにはセキュアウェブゲートウェイ（SWG）さえも代替するだろうと考えていました。 しかし、大企業顧客との協業やアナリストとの対話を通じて、私の見方は変わりました。EBが中小企業向けにはその役割を果たす可能性は依然としてあるものの、大企業においては必ずしも適さないかもしれないと考えています。

エンタープライズ・ブラウザーへの期待

エンタープライズ・ブラウザをずっと注目していた (EB) 市場を長い間注目してきた。セキュアWebゲートウェイ (SWG) に携わってきた私にとって、この技術の斬新さは無視できません。 ご存じない方のために説明すると、エンタープライズブラウザには主に2種類あります。ブラウザ拡張機能型と、Chromiumプロジェクトのフォークである完全新規ブラウザ型です。どちらの選択肢も、ユーザーが業務時間のほとんどを費やすブラウザに新たなセキュリティ制御機能をもたらすことを目的としています。これらの制御機能には、社内アプリケーションへの安全なリモートアクセス、ブラウザ自体に組み込まれた特殊なマルウェア対策、ローカルに保存されたブラウザデータの暗号化などが含まれます。 私が最も興味を引かれたのは、クリップボード制御、データマスキング、ページへの透かし挿入、スクリーンショット保護、アップロード/ダウンロード制御といったデータセキュリティ対策だ。一般的に、ネットワークレベルで全てを実装しようとするのではなく、制御をエンドポイントに押し下げることで多くの可能性が開かれる。これはウェブセキュリティの世界において強力な新ツールと言える。正直に言えば、当初私はこれをSWG市場全体に対する直接的な脅威と見なしていた。

Remote Browser Isolation

今日、ほとんどのSWGベンダーは、Remote Browser Isolation (RBI）に注目している。RBIはその名の通り、リモートで隔離された環境でブラウザのインスタンスを起動し、ユーザーが要求したページをロードします。その後、ユーザーはリモートでブラウザを見たり操作したりできますが、ユーザーのローカルマシンにはページのコンテンツは一切ロードされません。RBIソリューションには独自のブラウザー実装が含まれているため、現在EBソリューションが行っていることをほぼ反映した制御をRBIセッションに組み込むことができる。これにより、証明書をピン留めしたアプリのような読めないコンテンツ、ウェブソケット、読めないエンコーディング、二重暗号化、ローカルクリップボードを使ったコピー＆ペーストのようなローカルでのみ発生するイベントなど、ネットワークベースのコントロールにおける多くのギャップを埋めることができる。

 

アナリストの意外な視点

EBに興味を持った私は、私たちが提携しているアナリスト会社の人物と同席し、この新しいテクノロジーと市場のいくつかのベンダーについて話を聞いた。この会話の中で、彼は私を本当に驚かせる2つのことを言った。まず、EBは大企業よりも中小企業に適した「SMBプレー」だと言った。私はほとんど大企業としか仕事をしておらず、その文脈で何が可能かについて非常に楽観的に考えていたので、これは少々ショックだった。彼はこの点を説明し始めると、もうひとつ私を驚かせたことがあった。どうやら、平均的なEBの購入価格は、1シートあたりでRBIソリューションよりも高いらしい。クラウドベースのRBIソリューションを提供するには、すべてのブラウザー・インスタンスを実行するための多大なインフラ・コストと、クラウド・データセンターを経由するトラフィックのトランジット・コストがかかるからだ。一方、EBはユーザーのエンドポイント上ですべてをローカルで行うため、ベンダーの運用コストはゼロに近い。そのアナリストは、できる限りの努力はしたが、私にはどちらも理解できなかった。私は、彼が勘違いしているに違いないと思い、その場を後にした。

現実の顧客のジレンマ

それから1年ほど経ち、SWGソリューションを長年使用している大手の顧客と会うことになった。彼らは、SWG展開にRBIを追加するか、EBソリューションを購入するかのどちらかに投資することを検討していた。アナリストが何ヶ月も前に話していたにもかかわらず、私は当社のRBIソリューションがより良い選択肢になるとは楽観視していなかった。顧客と最初に話し合い、彼らのユースケースと要件を明確にした。彼らは、アップロード／ダウンロードの制御、クリップボードの制御、ページの読み取り専用化、その他いくつかの微妙な制御を実装することで、データの制御を維持しながら「シャドーIT」アプリケーションへのアクセスを許可する機能を求めていた。

この顧客が抱えていたもう一つの重要なユースケースは、非常によくあることだが、未分類のサイトを扱うことだった。どの企業も、カテゴリー分けされていないサイトをどう扱うかという、この古典的な二律背反と戦わなければなりません。もしそれらをブロックすれば、ヘルプデスクのチケットが増えることになります。なぜなら、ベンダーのカテゴライズは完璧ではないため、必然的に合法的なサイトもブロックされてしまうからです。一方、それらを許可した場合、世の中の脅威の大半はカテゴライズされていないサイトからやってくるため、大きなリスクを背負うことになります。企業はほとんどの場合、セキュリティを維持しながら未分類のサイトを許可する方法を必要としており、この顧客はそれを必要としていた。

この大企業の顧客との関わりを通して、私はこの2つのテクノロジーの長所と短所を彼らの視点から検討する必要に迫られた。逆に、アナリストのコメントのせいで、私は絶えず中小企業の視点から物事を考えていた。最終的に、私は自分が間違っていて、アナリストが全面的に正しかったと理解するようになった！

中小企業の視点

従業員50～100名の中小企業に身を置き、SWGソリューション導入の難しさを考えてみてください。こうした組織が求めるのは、ごく基本的な制御機能と最低限のセキュリティレベルでしょう。IT担当者はいるものの、ネットワークやセキュリティの専門知識は乏しいかもしれません。インフラにも、SWG導入を成功させるために必要な主要コンポーネントが不足している可能性があります。 これに対しEBを比較してみましょう。100台のエンドポイントに新しいブラウザアプリを展開するのは非常に簡単です。これによりSWGやRBIの導入が不要になるだけでなく、ゼロトラストネットワークアクセス （ZTNA）（またはPrivate Accessソリューションの必要性も解消します。これはSWG、そして場合によってはRBIやZTNAに対しても、シンプルで効果的な代替手段となり得ます。比較的小規模なユーザーベースに対して、これほど高い価格設定を正当化する可能性を秘めているのです。

大企業の現実

では、数十万ものエンドポイントを抱え、ネットワーク専門家チーム、セキュリティ専門家チーム、そして巨大企業としてのインフラを全て備えた企業の視点から考えてみましょう。状況は一変します。 まず、そのような組織がEBソリューションを導入したと仮定しましょう。数十万ものエンドポイントへの導入は決して簡単な作業ではなく、何十万ものユーザーにこの新しいブラウザの使用方法を教育する必要があります。さらに、EB制御を適用すべきサイトにおいて非企業ブラウザの使用を防ぐための追加制御も必要となる可能性があります。

もう一つ考慮すべき点は、大企業はGoogle Chromeなどの単一ブラウザを標準化しがちであり、調達プロセスの一環として、導入する全ツールが選定ブラウザをサポートしていることを確認することです。マイナーなEBソリューションでこれをどう実現するのでしょうか？Jiraは私の選んだEBを正式サポートしていますか？組織が使用する他の数百のツールはどうでしょうか？これはすぐに実現不可能になります。 さらに悪いことに、大企業はMicrosoft Teams、Google Drive、Slackなどの厚いクライアントからのリクエストなど、ブラウザベースではないHTTPトラフィックを単純に無視できません。つまり、たとえそのEBソリューションが多くのユースケースを解決したとしても、SWGの代替として使用することはできないのです。

では、この顧客がユースケースを実現するために、EBの代わりにRBIを導入するとしたらどうだろうか。RBIは基本的にSWGの機能の一つであり、すでに持っているからだ。SWGソリューションの価値があれば、RBIの導入はライセンスを購入して機能を有効にするだけの簡単なプロセスで済むはずだ。エンドポイントはすでにウェブトラフィックをSWGに送信しているので、何千ものエンドポイントに触れる必要はない。RBIソリューションは通常、ユーザーに対して非常に透過的に設計されているため、ユーザーがRBIソリューションについて学ぶ必要はない。ユーザーに何が起きているかを知ってもらいたい場合でも、通常はカスタマイズしたポップアップを表示して、分離されたセッションを使用していることや、どのようなコントロールが適用されるかを説明するオプションがあります。多くのSWGソリューションがそうであるように、クラウドベースのRBIを使用している場合、インフラを変更する必要はない。RBIは一般的に選択的に使用されるため、組織で使用される信頼できるアプリケーションには適用されない可能性が高く、RBIソリューションでこれらのツールをテストする必要性はおそらくなくなります。

マルウェア対策

最後に考慮すべき点は、大半の大企業が解決を迫られる「分類不能なウェブサイト」というジレンマです。エンタープライズブラウザは、ブラウザのDOM内部でウェブ脅威を検知することでセキュリティを強化します。これにより、DOM内で配信・復号化された難読化脅威を発見可能です。これはエンタープライズブラウザで読み込まれる全コンテンツに対し、確実に高度な保護を提供します。しかしRBI は完全に エンドポイントをウェブサイトコンテンツから完全に隔離します。これは高度な保護ではなく、基本的に 防弾 マルウェア対策です。確かにユーザーはソーシャルエンジニアリングで騙される可能性は残りますが、その対策として「危険なページ」とユーザーに警告する、ページを読み取り専用にする、アップロードやログインを禁止する、などの制御が可能です。しかしRBI経由でエンドポイントがマルウェアに侵害される可能性はほぼ皆無です。これにより顧客は、侵害リスクを増大させることなく、未分類ウェブサイトを許可しつつ隔離することが可能になります。

請負業者と第三者アクセス

この時点で、あなたは「この人は第三者請負業者のシナリオを無視している」と思うかもしれない。サードパーティ契約者のユースケースとは、社外のユーザーに対して、社内で管理されていないデバイスから社内のプライベート・アプリケーションにアクセスする能力を与えたい場合である。このようなアクセスを許可する一方で、データを保護し、必要なものだけにアクセスを制限できるようにしたい。そう、これは追加的な考慮事項だが、この同じEB対RBIのパラダイムは、そのような状況にも存在する。当社のような完全な機能を備えたZTNAソリューションのほとんどは、プライベート・アプリケーションへの「クライアントレス」アクセスを提供し、これらのクライアントレス・セッションにRBIを適用して、データ・アクセス制御を管理されていないエンドポイントにもプッシュダウンすることができる。これは、データにアクセスするためにサードパーティの個人に追加のブラウザアプリケーションや拡張機能のインストールを求めるよりもシンプルでシームレスです。

データの分類と認識

最後に考慮すべき点は、データの分類と認識である。EBソリューションはまだ始まったばかりの技術であり、ベンダーは一般的に高度なデータ分類機能を持っていない。ほとんどのベンダーは、データ分類に比較的初歩的な正規表現ベースのアプローチを使用している。しかし、SWGやRBIを提供する成熟したSSEベンダーは、厳密なデータ一致（Exact Data Match (EDM)インデックスド・ドキュメント・マッチング (IDM）光学式文字認識 (OCR）AIベースの分類など。

顧客はこうした分類メカニズムに多大な投資を行っており、これらのソリューションにおいてデータ分類とインシデント管理に関する成熟したプロセスを既に実装済みである。このデータ認識機能は孤立したセッション内で利用可能な場合が多く、既存のSSEソリューションのネイティブRBI機能が、独立したEBソリューションよりも魅力的に映る理由である。

結論

最終的には、よくあることですが、顧客のレンズを通して私たちのテクノロジーを見ることを余儀なくされ、そうでなければ学べなかったことを学びました。エンタープライズ・ブラウザーは本当に革新的なテクノロジーで、多くの可能性を秘めています。しかし、大企業にとっては、少なくとも当分の間は、RBIがより良い選択肢になることは明らかです。 

ブログへ戻る