生成 AI サービスの活用やクラウドサービスの普及により、企業の業務はさらにブラウザへ移行している。しかし同時に、さまざまなデータがやり取りされるブラウザがデータ漏えいやマルウェア感染といったセキュリティリスクを発生させるポイントになることも増えている。こうした脅威に対して実践するべき対策が、ブラウザを起点としたセキュリティ対策だ。組織内の各ユーザーのブラウザ利用状況やセキュリティ イベントを可視化し、リスクの高い行動を素早く把握することで、より効果的なセキュリティ対策の実現へつなげていくことができる。
AI 時代の新たな脅威:ブラウザがセキュリティの穴に
生成 AI をはじめとするさまざまな最新テクノロジーを業務で活用する流れが加速する中で、企業は新たなセキュリティ脅威に直面するようになった。
生成 AI のみならず、昨今の技術の多くはクラウドサービスとして提供されており、Web ブラウザを通じてインターネット上でデータをやり取りすることが一般的だ。もちろん、そうしたサービスは標準では安全が担保されており、サービスそのものが危険であることは決してない。
しかし、クラウドサービスでは、パスワードなどの認証情報の管理や共有リンクの公開設定の範囲など、ユーザー側の不注意やミス次第で、脅威の侵入や悪意のあるユーザーによる不正アクセスが生じる可能性がある点には十分注意する必要がある。
もう 1 つ、既存のセキュリティ対策では、ブラウザ上の細かい操作までをカバーできない可能性があることも理解しておくべきである。例えば、不正な Web サイトへの接続や通信制御、危険なファイルのダウンロードへの対策などはすでに世の中に数多くの製品が存在するが、ブラウザ上でどのような情報が入力されたのか、コピー&ペーストされたのかといった細かい点までは制御が難しいという実情もある。
クラウドサービスの普及によって利便性は格段に向上したが、一方で攻撃者もそこに注目してブラウザ上で扱われている情報を搾取したり、脆弱性をついたり、様々な攻撃を仕掛ける傾向が増えてきている。
企業としても、このようなリスクに備えて、サービス利用や設定などのポリシーやガイドラインを整備していることが一般的であるが、利用者やデータが膨大になることで、これまでのような情報システム担当による「ルールで縛る」ことによる管理・制御には限界が出てきている。
「ブラウザ」を起点としたセキュリティ対策が重要である理由とは?
では、このようなリスクに対応するためにはどうすればよいか。世の中にはセキュリティ対策製品として多種多様なものが存在しているため、どのようにアプローチしてよいか迷ってしまうだろう。その中で着目したいキーワードの1つがブラウザである。
ブラウザ起点のセキュリティ管理のメリットの一つは効率性だ。クラウド化が進む現在、ブラウザは業務のほとんどをその上で行うプラットフォームのような存在になっている。ブラウザ上でSaaS を利用し、その SaaS で企業価値の源泉となるデータのやりとりが行われる。つまり、ブラウザを起点にセキュリティ対策を講じることで、アプリケーションやデータを効率的に保護できるようになる。
ブラウザを起点にすべきもう1つの理由として、ユーザーやデバイス、環境に依存しないという利点がある。複数の PC を保護するためにオンプレミスでマルウェア対策を導入する場合、PC ごとにソフトをインストールする必要がある。また、Android や iOS などのモバイルデバイスが増えれば、それぞれのモバイルデバイスごとに別々のセキュリティ対策を講じる必要があった。
これに対し、ブラウザは特定のユーザーアカウントでログインすれば、デバイス間を共通の環境で利用できる。かつ、そうしたブラウザの設定やブラウザ上のイベントを管理者側で一元管理できる仕組みを利用すれば、効率的にユーザー環境を保護できる。
このような仕組みを設ければ、組織内のユーザーのブラウザの設定がどうなっているのか、どのような通信が行われているのかを可視化でき、リスクを未然に対処しやすくなる。
追加コスト不要で始めるブラウザセキュリティ対策:Chrome Enterprise Core
ブラウザ起点のセキュリティアプローチを実践する際に役立つのが、Google の提供するブラウザ管理ツールの「Chrome Enterprise Core」だ。同ツールは、組織で利用されている Chrome ブラウザを一元管理できるツールとして、追加コストをかけず手軽に利用できるソリューションである。
Chrome Enterprise Core には、各ブラウザの設定やポリシーの一元管理、ブラウザ拡張機能の制限、サードパーティのセキュリティツールやレポートツールとの連携、セーフ ブラウジングによるマルウェア対策やフィッシング対策、パスワードの保護など無料で多くの機能がある。
中でも今回特に強調したいのが「リスクの可視化」である。ブラウザ管理の仕組みを導入していない企業の場合、そのほとんどは各ユーザーのブラウザの状況がブラックボックス状態であったはずだが、このChrome Enterprise Core を導入し、管理対象のブラウザを登録したあと、「ブラウザのレポート」機能を有効にするだけで、管理者は各ユーザーの状況を視覚的なレポートを通じて容易に把握できるようになる。
ユーザーのブラウザ上の動きをセキュリティ インサイトで「可視化」
Chrome Enterprise Core では単なる活動情報のみならず、リスクの高いユーザーやセンシティブ データの転送など、注意するべきセキュリティイベントの可視化が可能になる。この機能は「セキュリティ インサイト」と呼ばれ、現状のリスクを評価し、セキュリティ対策を講じる際に有効な機能だ。
セキュリティ インサイトでは、組織全体のブラウザのバージョン、アプリ、拡張機能、ポリシー、などを詳細に把握してレポートするほか、ユーザーのブラウザ上におけるアップロードやダウンロード、印刷が行われたコンテンツを確認し、機密データの引き出しやマルウェアによるイベントを検出できる。
この機能によって、例えば管理者は管理画面のレポートをチェックし、もし大量の顧客情報が含まれたファイルが特定部署で頻繁にダウンロードされていることが判明したら、その該当ファイルに対して DLP の設定を厳格化するといった対策につなげられる。つまり、可視化により潜在的なデータ漏洩リスクに対して、先手を打った対応を効率的に行えるということだ。
さらに、リスクの高いユーザーやドメインの特定を確認したり、データ保護に対してどのようなアラート通知があったのかの受け取り、セキュリティルールがどのファイルやデータによってトリガーされたのかという情報も確認可能だ。広範囲なイベントログを記録しているため、安全でないサイトへのアクセスやパスワードの再利用などのイベントも確認できる。
セキュリティ インサイト機能では、データ転送の多いユーザーや転送先、
よく転送される機密データの種類などを視覚的にレポート化する
その他にも、300 件以上のポリシーによる一元管理や、既に企業で導入している他社のセキュリティソリューションと連携し、横断した監査・可視化も可能だ。
可視化から始める「導入しやすい」セキュリティ対策
Chrome Enterprise Core によるブラウザ起点のセキュリティ アプローチは、さまざまなシステムが存在して複雑化している企業にとって特に実践しやすいアプローチとなる。
従業員が慣れ親しんだ Chrome ブラウザを業務で継続的に利用できるため、生産性を損なうことなくセキュリティを強化することができる。特に先述の通り、追加コスト不要で導入でき、かつブラウザベースの管理機能であるため、ユーザー側のデバイスのエージェント ソフトをインストールするといった手間もかからない。
Chrome Enterprise Core は機能がいくつもあり、300 を超えるポリシーを制御できるが、まずは今回紹介した可視化に注目して取り組みを進めることがおすすめだ。組織のセキュリティ状況を詳細に把握する第一歩となり、IT 管理者は自社の状況を踏まえ、取るべき具体的な対策の方向性を理解するのに役立つだろう。
その上で、より強力なマルウェア対策やデータ保護、アクセス制御などセキュリティをさらに強化するための具体的なステップも検討することができる。その際には、より強力な保護機能を提供するエディションである Chrome Enterprise Premium への移行パスも用意されている。
デジタル時代に適したセキュリティ対策の第一歩として、ぜひ Chrome Enterprise Core によるブラウザ管理を始めてみてはいかがだろうか。
