リモート ブラウザー分離とは

リモート ブラウザー分離の仕組み

RBIはWeb分離とも呼ばれ、ユーザーがリスクの高いWebコンテンツにアクセスする際に分離環境を生成して、コンテンツをレンダリング データとしてクラウドでホストし、ユーザーに提供する仕組みです。Web閲覧時のアクティビティーをクラウドに移行して、コンテンツそのものをダウンロードしないようにすることで、コンテンツに潜むマルウェアがエンドポイントに到達したり、ネットワーク上を移動したりすることを防止できます。これによって、既知の脅威に対しても未知の脅威に対しても効果的に防御を行い、他の主要なサイバー セキュリティ機能を補完します。

リモート ブラウザー分離の仕組みは以下のとおりです。

• ユーザーが悪意のある可能性があるWebコンテンツにアクセスしようとします。
• リクエストが定義済みのポリシーに照らして評価され、このポリシーに該当する場合、分離されたブラウザー セッションがプラットフォーム上に生成されます。
• プラットフォームがコンテンツに接続し、分離されたリモートのブラウザーにコンテンツをロードします。
• レンダリングされたWebコンテンツが、HTML5 Canvasを通じてエンド ユーザーのネイティブ ブラウザーに画素(ピクセル)としてストリーミングされます。

ブラウザー分離テクノロジーのタイプ

ブラウザー分離テクノロジーには、基本タイプとして以下の3つがあります。

• リモート ブラウザー分離：組織の内部環境から分離された、クラウド上のサンドボックス(分離されたテスト環境)で実行されます。
• オンプレミス ブラウザー分離：RBIと同様に機能するものの、組織の内部IT環境の一部としてホストされます。
• クライアントサイド/ローカル ブラウザー分離：ユーザーのエンドポイントの仮想化サンドボックス内で動作し、セッション後に閲覧データを消去します。

ブラウザー分離が重要な理由

データとアプリケーションがデータ センターからクラウドへ移行するにつれ、従業員がインターネット上で行う業務は増えています。ほぼ常にインターネットに接続しているというケースも多いでしょう。これにより生産性を保つことはできますが、同時にリスクも生じます。

フィッシングなどのサイバー攻撃は、マルバタイジング(悪意のある広告)や悪意のあるコンテンツに誘導するクリック ベイト、ブラウザーベースのトロイの木馬などを使い、ユーザーのWebブラウザーを通じて標的を狙います。ブラウザーがこうしたサイトに接続すると、サイバー犯罪者はユーザーが使用する機器、そして最終的にはネットワークにも侵入することができるようになります。

ファイアウォールを使って高リスクなWebサイトをブロックすることも可能ですが、ブロックリストを使えば未知の脅威を網羅しきれず、許可リストを使えば各種の制限によってユーザーの不満が募ります。従来のネットワーク セキュリティ対策は、クラウドと現代のオープンなインターネットを想定して構築されていません。そこで、リモート ブラウザー分離が必要になります。

リモート ブラウザー分離(RBI)はネットワーク セキュリティではありません。ユーザーのブラウザー セッションをクラウド上の分離されたサンドボックスに配置することで、ランサムウェアやその他のマルウェアなどのサイバー脅威が、侵害されたWebページを通じてネットワークに侵入することを防ぎます。

リモート ブラウザー分離のメリット

リモート ブラウザー分離には、Webブラウジングの安全性を高める次のようなメリットがあります。

• 安全なアクセスの実現：ユーザーをWebアプリケーションから分離し、Webコンテンツの安全なレンダリングを提供することで、リスクの高いWebコンテンツへの安全なアクセスを可能にします。デバイスごとのエンドポイント エージェントは必要ありません。
• 機密データの保護：Webページ、ダウンロード可能なWebコンテンツ、そして脆弱なプラグインに潜む、情報漏洩につながる恐れのあるさまざまな標的型攻撃から機密データを保護します。
• データ流出の脅威の排除：ブラウザーが脆弱であったり、安全でないプラグインがインストールされている場合でも、Webページ経由のエンドポイント侵害を防止し、データ流出につながる脅威を排除します。
• よりオープンなインターネット ポリシーの実現：ポリシーの複雑さを最小限に抑え、リスクを低減し、より自由なWebブラウジングを可能にします。

リモート ブラウザー分離の課題

このようなメリットの一方で、リモート ブラウザー分離サービスの多くには欠点もあります。大量の閲覧セッションをサンドボックスで処理し、そのセッションをユーザーにストリーミングすることで、しばしば次のような弊害が生じます。

• レイテンシーの増大：ユーザーのエンドポイントとサンドボックスとの間でセッション データの移動距離が長くなるほどラグ タイムも長くなり、ユーザー エクスペリエンスの低下につながります。当然ながら、複雑なセキュリティ スタックがあれば、状況はさらに悪化します。
• 帯域幅の消費量増大：画素のストリーミングには大きな帯域幅が必要になるため、それに対応できるよう構築されていないインフラでは、すぐに過負荷の状態に陥ります。
• コストの増大：暗号化された動画コンテンツをストリーミングするには高い計算能力が必要です。そこで追加のリソースに費用を投じるとなると、高いコストが発生することになります。

従来のネットワーク アーキテクチャーや容量の限られたハードウェアを通じた長距離のデータ伝送に基づくRBIソリューションでは、現在の分散型の働き方のニーズには決して対応できません。そこで、優れたRBIソリューションとクラウド ネイティブのゼロトラスト アプローチを組み合わせると非常に効果的です。

ゼロトラスト セキュリティ アーキテクチャーとリモート ブラウザー分離の組み合わせが効果的な理由

ゼロトラストは、ネットワークとユーザー アクティビティーは原則としてすべて信頼してはいけないという前提に立った考え方です。正しいテクノロジーを用いれば、ビジネスの現場においてゼロトラスト アプローチとRBIを同時に活用し、ユーザーをセッションから分離し、不慮のデータ流出や悪意による情報漏洩を防ぐことができます。

ゼロトラストRBIにより、ユーザーがインターネット、SaaS、プライベート アプリで行うあらゆる行動にゼロトラストの概念が適用されます。クラウド配信型の完全なセキュリティ スタックとのネイティブな統合を通じて、スケールと柔軟性の限界が取り払われ、速度とセキュリティのどちらかを犠牲にする必要がなくなります。そして、世界最大のセキュリティ クラウドの力でこれを実現し、Fortune 500の企業の40%以上から信頼されている唯一のベンダーがZscalerです。

Zsclaerによるリモート ブラウザー分離

Zscaler Browser Isolationは、当社のクラウド配信型のゼロトラスト プラットフォームであるZero Trust Exchange™の一部です。業界を牽引するこのサービスは、ユーザーとエンドポイントをすべてのアクティブなWebコンテンツから分離し、ゼロデイ脆弱性やランサムウェア、未承認プラグイン、高度な脅威から保護できるため、セキュリティ部門にとっても頼もしい存在となります。加えて、セッションからユーザーを分離することで、不慮のデータ流出や悪意による情報漏洩を阻止して、全体的なリスクを軽減できます。

Zscalerは、ユーザー、インターネット、SaaS、プライベート アプリ間の検問所として機能し、すべてのトラフィックの検査とポリシーの適用をインラインで行います。Zero Trust Exchangeを通過するWebトラフィックは、Zscaler Browser Isolationによってリアルタイムで分離されます。Webコンテンツはピクセルに変換され、安全な形でユーザーにストリーミングされます。ユーザーとWebの間にエア ギャップを形成することで、ユーザーの生産性維持とユーザー エクスペリエンスの向上につながります。