ブラウザが従来の検索やサイト閲覧ツールから、生産性を高めるうえで非常に重要なエンドポイントとしての位置づけに変化している。そこで Google では、ブラウザを軸としたエンタープライズ ブラウザ管理とセキュリティ強化を提案しており、そのためのソリューションも提供している。
ブラウザは通常、 Windows や Mac といった PC 端末や、 iOS や Android といったモバイル端末にも搭載されており、異なる端末においても同じアカウントでログインすることでブックマークや各種設定を共通化することができる。つまり、業務環境においてもブラウザを軸として考えることで、アクセス制御やユーザー管理や各種設定の配信をより管理者にとって容易に行えるようになる。
2024 年 12 月 4 日に開催されたウェビナー「ZDNET Japan DX & Security Forum ~ 企業のセキュリティ最前線。ゼロトラスト時代の新たな脅威と対策 ~」では、Google の Chrome Enterprise 事業部の毛利健 氏 が「Chrome Enterpriseで進化させる Web セキュリティとその事例」と題する講演を行い、Google の取り組みやソリューションを紹介した。ここでは、その模様をレポートする。
業務においてもブラウザが中心的な存在に
毛利氏はまず、ブラウザが業務の中心的な存在になっていくことについて説明した。すでに企業ユーザーの仕事のうち、ブラウザ上で仕事をしている時間の割合は 63 %に上る。業務のクラウド化が進み、ブラウザ上の SaaS アプリケーションで働く時間が増え、加えて、Web 標準化が進んだことで、環境に依存せずブラウザ上でアクセスできる企業のアプリケーションも増えている。この傾向は今後ますます強まっていくとした。
現在では、ブラウザ環境があれば端末に依存せずいつでもどこでも業務環境にアクセスができる。また、ブラウザでできることもどんどん増えており、昨今では Chrome でも AI 機能を拡充していると毛利氏は言う。
Chrome で利用できる AI 機能
以前は Web 検索や Web ページの閲覧といったシンプルな役割だったブラウザが、現在では生産性を高めるうえで非常に重要なエンドポイント、そして業務アプリケーション、基幹アプリケーションを動かすうえで安全性を担保する役割も担ってきている。ブラウザが果たす役割は増え続けており、また企業の業務のクラウド化が進み、ブラウザ上で重要な会社の資産やデータを扱うことも増えてきている。
ガートナーも、2030 年までにエンタープライズ ブラウザが多様な働き方を実現するうえで中心的なプラットフォームのような存在になっていくだろう、という調査データを発表している。環境に依存せず Web アプリケーションやクラウド アプリケーションをブラウザで実行し、フロントエンドであるブラウザのセキュリティ機能を高めることによって、いつでもどこでも安全に働ける環境をブラウザが支援することが可能になるとした。
こうした背景から、Google はエンタープライズ向けのブラウザ セキュリティ「Chrome Enterprise Premium」を新たに発表した。「エンドポイントのセキュリティの未来へ」と題して、製品リリースのブログも公開している。エンドポイントというと Windows や Mac などの端末、あるいは iOS、Android といったモバイル デバイスをイメージすると思われるが、ブラウザをエンドポイントとして捉えるとそれぞれの端末の依存性を解消することができ、一元的なセキュリティ対策が可能になる。
新たな Chrome のラインアップ
Chrome ブラウザは環境に依存せずゼロトラストを実現する
毛利氏はブラウザを中心に考えるメリットとして、「端末に依存しない」「場所に依存しない」「エージェントがない」「アタック サーフェス(攻撃表面)の縮小」の 4 つを挙げた。
端末や場所に依存しない
ブラウザを中心に考えれば、前述のとおりデバイスを選ばず同じ設定、環境の Chrome ブラウザを利用できるため、シンプルに一元的に守ることができ、運用もシンプルにできる。さらに、場所に依存しないというのは、社内や出先、自宅といった場所に限らず、また有線 LAN や公衆 Wi-Fi、モバイル回線でも、等しくブラウザが守られている状態を実現できる。もちろん、プロキシにも依存しない。
エージェントがない
一般的なセキュリティ ソリューションでは常駐監視型のアプリ、ソフトウェアやエージェントを展開する運用が多い。しかし、Chrome ブラウザはブラウザが元々持っているセキュリティ機能、データ損失防止やアクセス保護の機能を使うため、例えば会社のアカウントで Chrome ブラウザにサインインするだけで会社専用のセキュアなブラウザに一瞬で変えることができる。BYOD 端末からのアクセスでさえもユーザー プロファイルごとに保護ができるため、端末の展開のコストや手間を削減できる。
アタック サーフェスの縮小
一般的なセキュリティ ソリューションは新しい脅威が登場すると継ぎ接ぎで対策が取られるケースが多い。一方で、ブラウザに業務が集約されていくとリスクがブラウザに縮小されていく。ブラウザが徹底的に守られていればシンプルに対策ができるので、攻撃に対するコストを引き算していける。ブラウザにはそうしたポテンシャルがあり、こうした背景を受けてブラウザを中心に据えた、環境に依存しないゼロトラストを実現するプロジェクトを進めてきたという。
Chrome のエンタープライズ ブラウザの歴史とブラウザを中心に考えるメリット
Google が提供するエンタープライズ ブラウザ セキュリティ
2021 年、Google は「BeyondCorp Enterprise」をリリース、そして 2024 年にはよく知られている Chrome ブランドのエンタープライズ ブラウザのサービスに改めるかたちで、「Chrome Enterprise Core」と「Chrome Enterprise Premium」を発表した。これは、各社からブラウザベースのゼロトラスト・ソリューションが展開されてきたことが背景にある。Google は 2009 年に境界型のセキュリティ対策を突破された経験から、ゼロトラストのモデルにシフト。この Chrome Enterprise によるセキュアなエンタープライズ ブラウザは、Chrome、Chrome Enterprise Core、そしてChrome Enterprise Premium の3つの要素から構成される。
Chrome ブラウザでは、一般に提供されているものと同じアプリケーションをそのまま企業用のポリシーで運用できる。世界中で使われている 50 億以上の Chrome ブラウザの利用者数から来る脅威データに基づいたセーフ ブラウジング機能によって、フィッシング サイトやランサムウェア感染につながる不正なサイト、疑わしいサイトにアクセスしないよう未然にブロック、あるいは警告をする。
また、世界中のホワイトハッカーと連携して、発見された脆弱性はいち早くゼロデイの修正セキュリティ パッチを提供する。そのサイクルは最低でも 1 週間に 1 回としている。さらにサンドボックスによって、悪意のあるファイルが実行された場合はそれを隔離して、ユーザーの環境に影響がないように閉じ込める。このほか、多数の既定のセキュリティを持っている。
Chrome ブラウザの特徴
Chrome Enterprise Core は、Chrome ブラウザをエンタープライズ グレードでの管理を可能にするもの。無償で提供されており、管理コンソールを企業のドメインでセットアップし、300 を超えるブラウザのポリシーでマルチ OS 上のブラウザを一元管理することが可能になる。例えば、拡張機能のリスクを可視化して、リスクスコア ベースで怪しい挙動をブロックする。あるいはバージョン インストールの制御、更新スケジュールの変更などが行える。
ポリシーの適用方法は、デバイスレベルでブラウザを管理することもできれば、ユーザーがブラウザにサインアップしたときにポリシーを当てるプロファイル ベースのポリシーも提供している。これにより BYOD のような管理されていない端末にもポリシーを適用できる。セキュリティ ログに対する詳細なレポートも取得できるので、例えば SIEM と連携してアクセス許可を行うことも可能だ。
Chrome Enterprise Premium の特徴
Chrome Enterprise Premium は有償のサブスクリプションとなっており、環境に依存せずに Web 上のセキュリティ強化や、アクセス制御やデータ保護を行うことでシンプルにセキュリティ対策を行える。機能としては、リアルタイムなマルウェアのディープ スキャンやデータ保護、データ損失防止の情報漏えい対策、機密情報の証跡監査やアクセス制御、URL のカテゴリー フィルタリングなど、さまざまなブラウザのセキュリティの機能を追加することができる。
毛利氏はChrome Enterprise Premiumにより解決できる共通のセキュリティ課題として「インサイダーリスクの軽減、 Web /クラウド環境の検疫」「BYOD デバイスからの検疫とアクセス制御」「安全な Web アプリ接続と VDI のフットプリント縮小」「シャドー IT の抑制、生成 AI のガバナンス強化」を挙げた。
Chrome Enterprise Premium は、個人情報や知的資産など機密性の高いデータに対するアクション(アップロード、ダウンロード、印刷、コピー & ペースト)を監視し、不適切なアクションには警告やブロック、監査を行い、Chrome ブラウザ上で扱われる機密性の高いデータを保護する。また、取得されたデータは サードパーティの SIEM に連携ができ、検知・解析ができる。
これは、会社支給の端末、BYOD 端末にかかわらず、不適切な機密データの取り扱いの監視や抑止がエージェント レスで実現される。例えば、会社支給の Chrome ブラウザはダウンロードを許可して、BYOD 端末にはデータを残さないようにダウンロード制限やコピー & ペーストの制限を施すことも可能だ。
さらに、Chrome Enterprise Premium では、オープンな生成 AI のサイトやオンライン ストレージに機密性の高いデータをアップし、学習に使われ機密データの漏えいにつながるといったリスクに対するデータガバナンスにも対応。URL カテゴリごとに設定を変更でき、アップロードを試みるエンドユーザーの行動を監視し、情報漏えいにつながる危険な行動には警告を発して制止・抑止することができる。
Chrome Enterprise Premium の特徴
毛利氏はまとめとして、ブラウザが多層的なセキュリティ機能を持っており、そこに無償の管理ソリューション Chrome Enterprise Core を使うことでマルチ OS 上のブラウザ制御を一元化することでエンドポイント運用を効率化できると説明した。さらに Chrome Enterprise Premium を活用することでリアルタイムのマルウェア検知と無害化、データの徹底的な保護、アクセス制御などを実現し、いつでも・どこでも・安全に働く環境を提供できるという。
「ブラウザに業務が集約された働き方が増えている中で、今後もセキュリティ強化とコスト最適化を両立するご支援を、ブラウザを通じてご提供していきます」と毛利氏は述べ、話を締めくくった。