クラウドサービスの普及によって業務の多くが Web ブラウザ上で行われるようになる中、サイバー攻撃対策の観点からブラウザに課せられる役割は大きなものになっている。一方で、他のセキュリティ対策と比較して、ブラウザの保護は後回しになりやすいという実情もあり、この認識のギャップを突いた巧妙な攻撃が、今まさに企業を脅かしている。しかし、適切な対策を講じることで、ブラウザを強固な防御線へと変えることができる。本記事ではブラウザに関連した 4 つのリスクと実践的な対策を紹介する。
なぜ「今」ブラウザ セキュリティ対策が不可欠なのか?
働き方が多様化する中で、サイバー攻撃のトレンドが変化し、その手法も巧妙化・高度化している。サイバー攻撃に対抗するためのアプローチはさまざまだが、近年重要性が高まっているのがブラウザだ。ブラウザは今や、コラボレーション ツール、生成 AI アプリケーション、CRM ツールなど業務の多くが実行される「プラットフォーム」とも言える存在だ。さらに、ブラウザ上では重要なデータがやりとりされるケースも増加している。その分、サイバー攻撃者も Web アプリケーションの脆弱性などを狙った攻撃をしかけて侵入への突破口にしようとしている。このことは最新の統計データからも明らかだ。
Mandiant が定期的に公表する脅威レポート「M-Trends」によると、攻撃の主要な初期感染ベクトルとして、ブラウザを介して行われるものが多いことが明らかになっている。具体的には「脆弱性利用型不正プログラム」が 33 %、「認証情報の盗難」が 16 %、「メール フィッシング」が 14 %、「ウェブ上の認証情報の侵害」が 9 %となっている。
一方で、従来のセキュリティ対策はファイア ウォールやアンチウイルスのように、ネットワークやエンドポイントに集中しており、ブラウザへの対策が後手にまわっているケースが目立つ。ユーザーは従来のセキュリティ対策などによって、自分が保護されていると思い込みがちだ。しかし、実際にはそうした対策不足による「油断」や「穴」が攻撃者にとって格好のターゲットになる。巧妙化・高度化するサイバー脅威から組織を保護するために、高度なブラウザ セキュリティを有効にすることが求められる。
実際のブラウザ攻撃と Chrome Enterprise Premium による対策
先述した課題に対応し、高度なブラウザ セキュリティを実現するのが、Google が提供するブラウザの「Chrome Enterprise」だ。追加コスト不要で利用できる Chrome Enterprise Core と、さまざまな脅威に対応できる高度なセキュリティ機能を搭載した 有料の Chrome Enterprise Premium の 2 つのラインアップを提供している。
今回は、実際に確認されている 4 つのセキュリティリスクと、これに対抗できる Chrome Enterprise Premium のブラウザ セキュリティを紹介しよう。
1. クリック 1 つからのデータ侵害
1 つめのリスクは、QR コードを悪用したフィッシング攻撃の事例だ。攻撃者は、業務で利用しているチャットツールを通じて、認証の緊急アップデートと偽ったメッセージを従業員に送信した。メッセージには、「スマートフォンで以下の QR コードをスキャンし、認証を完了してください」という指示と悪意のあるサイトへ誘導する QR コードが添付されていた。
従業員は、その QR コードが業務と関係のあるものだと誤認し、不審に思わずスキャンを行った。ただ、QR コードを読み取ったのは私用スマートフォンだったため、企業が講じていたセキュリティをくぐり抜けてしまった。スキャン 1 回で企業のデータが侵害されてしまったのだ。
こうした不要なクリックやスキャンが引き起こすデータ侵害に対して、Chrome Enterprise Premium は強化された「セーフ ブラウジング」で対抗できる。強化されたセーフ ブラウジングでは、悪意のあるサイトへのアクセスを未然に防ぐことが可能だ。また、万が一、ブラウザ上で悪意のあるファイルがダウンロードされようとしても、高度なマルウェア検出で脅威を特定、阻止する。
悪意のあるサイトへのアクセスをブロックする強化されたセーフ ブラウジング機能
さらに Web サイトへアクセスしようとしたユーザーのデバイスなどの状態や属性に基づいてアクセス制御を行える「コンテキスト アウェア アクセス」の機能があるため、通常とは異なる不審なログインを識別し防御することができる。
2. 自宅からのデータ侵害
2 つめのリスクは、自宅からのデータ侵害の事例だ。働き方が多様化し自宅でリモートワークを行うことが増えた昨今では、私物の端末で業務を行う BYOD を採用しているケースも多い。そうした中で、ある企業の従業員は自宅で BYOD 端末を使って業務アプリケーションを利用したところ、攻撃を受け、社内データを侵害することにつながった。具体的には、組織で利用している SaaS の認証情報が盗まれ、攻撃者はその認証情報を使って別の社内システムに侵入し、重要データを侵害したのだ。
こうしたリモートワーク環境下でのデータ侵害について、Chrome Enterprise Premium では、先述した「コンテキスト アウェア アクセス」が役立つ。この機能を用いることで、例えば特定のデータ保管領域やファイルに対して、登録済み以外のブラウザからのアクセスや健全性チェックで条件を満たさないユーザーおよび端末からのアクセスをブロックできる。
また認証セキュリティを強化するという観点では、パスキーを有効化することで生体認証を用いた認証の強化が可能だ。また、認証情報が残留することで生じるセッション ハイジャックなどに備えるため、ブラウザデータの自動消去やアイドル時のタイムアウト機能なども提供する。
Chrome Enterprise では、キャッシュ・Cookieなどのブラウザデータの自動消去設定も可能
これらの設定は、Chrome Enterprise Premium はもちろん、追加コスト不要で利用できる Chrome Enterprise Core でもサポートしている。
3. 内部不正(インサイダー)による機密情報流出
3 つめのリスクは、内部不正(インサイダー)による機密情報流出だ。退職した社員が転職先に情報を持ち出したり、元の職場に対して損害を与えようと攻撃をしかけるケースが日本でも増えている。実際に、元従業員が会社のコラボレーション ツールやファイル共有サービスにアクセスし、組織のファイルやデータを自身の個人用デバイスにダウンロードするといった事例が報告されている。昨今の Web 化や SaaS・AI のトレンドによって、情報漏洩のルートは OS のデータ操作よりもブラウザ上のアップロード・ダウンロード・コピー&ペーストといった操作の方が、内部不正リスクが高い傾向に変わってきている。
こうした内部不正による機密情報流出に対して、Chrome Enterprise Premium では、データ損失防止(DLP)機能で対応できる。DLP 機能では、すべてのサイトからの機密情報のダウンロードやアップロードを防ぐことはもちろん、Web ページのスクリーンショット、コピー & ペースト、画面共有、印刷などをブラウザレベルで制御・ブロックできる。
DLP 機能で機密情報の含まれたファイルのアップロードを防止する例
また、情報持ち出しの抑止効果の付与、漏洩時の追跡に役立つウォーター マーク(透かし)機能や個人情報をブラウザの描画で自動的に隠すデータ マスキングの機能も提供する。監査対応の機能も備えており、ユーザーのファイルやデータに対する操作の詳細を記録しており、内部不正イベントをリアルタイムで監視・追跡する DLP ログ監査が活用可能だ。
4. 悪意のあるブラウザ拡張機能
4 つめのリスクは、悪意のあるブラウザ拡張機能の利用による脅威の侵入である。ブラウザには作業の効率化に役立つさまざまな便利機能を追加できる拡張機能が用意されており、企業でも日々の業務に活用しているケースが多いだろう。しかし、中にはユーザーから情報を窃取する悪意のある拡張機能の存在が報告されている。こうしたものは、すぐに摘発されウェブストアから削除されるが、すぐに気づくことは難しく、さらにブラウザ上での動作では、既存のエンドポイント対策のセキュリティ製品で検出が難しい場合も多い。また、ユーザーが意図せずウェブストア外から拡張機能をダウンロードし、ブラウザに入れてしまうことも少なくはない。
こうした悪意のあるブラウザ拡張機能に対して、Chrome Enterprise Core では、拡張機能のリスク評価と制御が可能だ。リスクスコアに基づいて危険度を判定するほか、承認ワークフロー機能を備えているため、ユーザーからの申請・承認を経て使えるようにするという運用も可能となる。ブラウザ拡張機能の利用の際に行われる、ブラウザ上のアクセス許可や挙動を可視化し、不審なデータ引き出しなどを検知する動的な拡張機能制御も備える。
管理コンソール画面において拡張機能の使用状況レポート、リスク スコア可視化ができる様子
ブラウザを「強固な防御線」にするセキュリティ戦略
ここまで、日々のブラウザ利用の際に起こり得るリスクを紹介してきた。ブラウザは今や単なるWeb サイト閲覧ツールではなく、重要な情報のやり取りが行われる場所である。違う見方をすれば、サイバー犯罪者の格好の標的であり、セキュリティ対策で厳重に保護するべき領域と言えるだろう。ただ、実際の対策は後手に回っているのが現状であり、そうしたリスクがさらに攻撃をしやすくするという悪循環を招いている。
そこで、Chrome Enterprise Core 及び Chrome Enterprise Premium のように、企業の中で使われるブラウザを一元的に保護するソリューションを活用することで、このようなリスクを効率的に防ぐことができる。さらに、本ソリューションはブラウザに組み込まれたセキュリティ ソリューションであるため、ユーザーのデバイスにエージェントをインストールしたりそれらをアップデートしたりといった運用業務も不要だ。IT 管理者の運用負荷を軽減し、従業員は生産性を損なうことなく安全に業務に集中することができる。
セキュリティ対策の盲点となりやすいが「攻撃の最前線」でもあるブラウザのセキュリティを強化し、ぜひ「強固な防御線」を構築してみてはいかがだろうか。
