リモート ブラウザー分離とは

リモート ブラウザー分離の仕組み

Web分離とも呼ばれるRBIは、ユーザーがリスクの高いWebコンテンツにアクセスする際に分離環境を作成し、コンテンツをレンダリング データとしてクラウドでホストして提供する仕組みです。Web閲覧時のアクティビティーをクラウドに移行させて、コンテンツそのものをダウンロードしないようにすることで、コンテンツに潜むマルウェアがエンドポイントに到達したり、ネットワーク上を移動したりできないようにします。このように、RBIは既知および未知の脅威に対して効果的に防御を行い、他の主要なサイバー セキュリティ機能を補完します。

リモート ブラウザー分離の仕組みは以下のとおりです。

• ユーザーが潜在的に悪意のあるWebコンテンツにアクセスを試みる
• 定義済みのポリシーに照らしてリクエストが評価され、一致する場合は、プラットフォームが分離されたブラウザー セッションを作成する
• プラットフォームがコンテンツに接続し、それをリモートの分離されたブラウザーに読み込む
• レンダリングされたWebコンテンツが、HTML5 Canvasのピクセル データとしてエンド ユーザーのネイティブ ブラウザーにストリーミングされる

ブラウザー分離のその他の種類

ブラウザー分離技術には、大きく分けて3種類あります。

• リモート ブラウザー分離は、組織の内部環境とは別の、クラウドでホストされるサンドボックス(隔離されたテスト環境)で実行されます。
• オンプレミス ブラウザー分離は、RBIと同じように機能しますが、組織の内部IT環境の一部としてホストされます。
• クライアントサイド/ローカル ブラウザー分離は、仮想サンドボックス内にあるユーザーのエンドポイント上で実行され、セッション後に閲覧データを消去します。

ブラウザー分離が重要な理由

データとアプリケーションがデータ センターからクラウドに移行するにつれて、より多くの作業がインターネット経由で行われるようになっています。そのため、従業員はほぼ常にインターネットに接続して生産性を確保していますが、これは同時にリスクも生み出します。

フィッシングなどのサイバー攻撃は、マルバタイジング(悪意のある広告)や悪意のあるコンテンツに誘導するクリックベイト、ブラウザーベースのトロイの木馬などを配信し、ユーザーのWebブラウザーを介して標的を獲得します。ブラウザーがサイトに接続されると、サイバー犯罪者はユーザーのマシン、そして最終的にはネットワークに侵入できるようになります。

ファイアウォールを使ってリスクの高いWebサイトをブロックすることもできますが、その際にブロックリストを使えば未知の脅威に対処しきれず、反対に許可リストでは制限が行われるためユーザーの不満が募ることになります。従来のネットワーク セキュリティ対策は、クラウドや現代のオープンなインターネットのためには構築されていません。そしてこの点こそ、リモート ブラウザー分離が必要となる理由です。

RBIはネットワーク セキュリティではありません。ユーザーのブラウザー セッションをクラウド内の分離されたサンドボックスに配置することで、ランサムウェアやその他のマルウェアなどのサイバー脅威が侵害されたWebページを通じて、ネットワークに侵入できないようにします。

リモート ブラウザー分離のメリット

Web閲覧をより安全に行うために、リモート ブラウザー分離は以下を実行します。

• 安全性の低いWebコンテンツにも安全にアクセスできるように、ユーザーをWebアプリから分離させてWebコンテンツを安全にレンダリングする(各デバイスでエンドポイントのエージェントは不要)
• 情報漏洩につながる可能性のあるWebページやダウンロード可能なコンテンツ、脆弱なプラグインに潜んだ標的型攻撃から機密データを保護する
• 情報漏洩の脅威を排除するために、ブラウザーに脆弱性があったり、安全でないプラグインがインストールされていたりしても、Webページがエンドポイントを侵害するのを防ぐ
• よりオープンなインターネット ポリシーを許可することで、ポリシーの複雑さを最小限に抑え、リスクを軽減し、より自由なWeb閲覧を可能にする

リモート ブラウザー分離の課題

リモート ブラウザー分離サービスにはメリットがある一方、その多くは欠点もあります。大量の閲覧セッションをサンドボックス化し、そのセッションをユーザーにストリーミングすると、次のような弊害が生じる場合があります。

• 高いレイテンシー：セッション データがユーザー エンドポイントとサンドボックス間で移動しなければならない距離が長くなるにつれてタイムラグも長くなり、ユーザー エクスペリエンスの低下につながります。複雑なセキュリティ スタックは、当然ながらこの状況をさらに悪化させます。
• 帯域幅の大量消費：ピクセル データのストリーミングには大量の帯域幅が必要になるため、それに対応できないインフラでは、すぐに過負荷の状態に陥る可能性があります。
• 高コスト：暗号化された動画コンテンツのストリーミングには大量の計算能力が必要であり、追加のリソースに対して料金を支払う場合はコストが高くなる可能性があります。

従来のネットワーク アーキテクチャーに基づき、長距離にわたって容量制限のあるハードウェアを介してデータを転送するRBIソリューションでは、現代の分散した従業員のニーズを満たすことはできません。この点こそが、効果的なRBIがクラウド ネイティブなゼロトラスト アプローチと完璧な組み合わせになる理由です。

ゼロトラスト セキュリティ アーキテクチャーとリモート ブラウザー分離の組み合わせが効果的な理由

ゼロトラストは、すべてのネットワークとユーザーのアクティビティーがデフォルトでは信頼されないことを前提にした概念です。適切なテクノロジーを使用すれば、企業はRBIによるゼロトラスト アプローチを同時に活用して、ユーザーをセッションから分離させ、意図しないデータ流出や悪意による情報漏洩を阻止できます。

ゼロトラストRBIにより、ユーザーがインターネット、SaaS、プライベート アプリで行うあらゆる振る舞いにゼロトラストの概念が適用されます。クラウド型のセキュリティ スタックとのネイティブな統合により、無制限の拡張性と柔軟性が得られるため、スピードとセキュリティを両立することができます。Fortune 500の40%以上から信頼されている唯一のベンダーであるZscalerは、世界最大のセキュリティ クラウドでこれを実現します。

Zsclaerによるリモート ブラウザー分離

Zscaler Browser Isolationは、Zscalerのクラウド型ゼロトラスト プラットフォームであるZero Trust Exchange™の一部です。業界を牽引するこのサービスは、ユーザーとエンドポイントをすべてのアクティブなWebコンテンツから分離させ、ゼロデイ脆弱性やランサムウェア、未承認プラグイン、高度な脅威から保護することで、セキュリティ部門をサポートします。また、セッションからユーザーを分離させることで、意図しないデータ流出や悪意による情報漏洩を阻止して、全体的なリスクを軽減できます。

Zscalerは、ユーザー、インターネット、SaaS、プライベート アプリ間の検問所として機能し、すべてのトラフィックの検査とポリシーの施行をインラインで行います。Zero Trust Exchangeを通過するWebトラフィックは、Zscaler Browser Isolationによってリアルタイムで分離されます。Webコンテンツはピクセル データに変換され、安全な形でユーザーにストリーミングされます。ユーザーとWebの間にエア ギャップを形成することで、ユーザーの生産性維持とユーザー エクスペリエンスの向上につながります。