Overview
ブラウザ分離(Browser Isolation)とは、Webブラウジングの処理をエンドポイントから切り離し、隔離された環境で実行することで、Webベースの脅威がユーザーの端末に到達することを根本的に防止するセキュリティ技術です。特にRBI(Remote Browser Isolation:リモートブラウザ分離)は、クラウドまたはオンプレミスの隔離サーバー上でブラウザを実行し、ユーザーには安全なレンダリング結果のみを転送します。
従来のWebセキュリティは、マルウェアやフィッシングサイトを「検知して防御する」アプローチに依存していましたが、ゼロデイ攻撃やポリモーフィック型マルウェアの増加により、検知ベースの防御には限界があります。ブラウザ分離は「脅威を検知するのではなく、脅威が端末に到達しない構造を作る」という分離ベースのゼロトラストアプローチを採用しています。
ブラウザ分離技術は、メールに含まれるURLリンクの安全な閲覧、未分類サイトへのアクセス保護、機密データへのアクセス時のデータ漏洩防止(コピー・ペースト・ダウンロードの制限)など、多様なユースケースに対応しています。SASE(Secure Access Service Edge)やSSE(Security Service Edge)アーキテクチャの重要コンポーネントとして、急速に普及が進んでいます。
Details
ブラウザ分離の3つの方式
ブラウザ分離技術は実装方式により大きく3つに分類されます。リモートブラウザ分離(RBI)は、クラウドまたはデータセンター上の隔離コンテナでブラウザを実行し、レンダリング結果をピクセルストリーミングやDOMミラーリングでユーザーに転送します。ローカルブラウザ分離は、エンドポイント上の仮想マシンやサンドボックス内でブラウザを実行します。クライアントレス分離は、Webプロキシ上でコンテンツを変換し、安全なHTMLとして再構成してユーザーに配信します。
RBIが最も広く採用されている方式であり、エンドポイントの性能に依存せず、管理が容易で、すべてのWebコンテンツ(JavaScript、Flash、プラグイン等)を完全に隔離できるメリットがあります。
ピクセルベース vs DOMベースの転送方式
ピクセルベース(ピクセルプッシュ)方式は、隔離環境でレンダリングされた画面を画像・動画ストリームとしてユーザーに転送します。完全な分離を実現しますが、帯域幅を多く消費し、テキストのコピーやフォーム入力の応答性に課題があります。
DOMミラーリング(DOMリコンストラクション)方式は、隔離環境でWebページのDOMを解析し、悪意のあるスクリプトやコンテンツを除去した安全なDOMをユーザーのブラウザに再構成します。帯域幅の効率が高く、ネイティブに近いユーザー体験を提供できますが、複雑なWebアプリケーションでは互換性の問題が生じる場合があります。
ゼロトラストとSASE / SSEとの統合
ブラウザ分離は、SASE(Secure Access Service Edge)やSSE(Security Service Edge)フレームワークの中核機能として位置づけられています。SWG(Secure Web Gateway)がURLカテゴリに基づいてアクセスを制御し、分類不能または低リスクと判定されたサイトをブラウザ分離経由でアクセスさせることで、利便性とセキュリティを両立します。
CASB(Cloud Access Security Broker)との統合により、SaaSアプリケーションへのアクセス時にデータ漏洩防止ポリシーを適用できます。例えば、非管理デバイスからSalesforceにアクセスする際、ブラウザ分離を介してダウンロード・コピー・印刷を制限することで、BYODデバイスからの情報漏洩を防止します。
メールセキュリティとの連携
フィッシングメールに含まれるURLリンクは、従来のURLフィルタリングでは検知が困難な短縮URL、リダイレクトチェーン、タイムディレイ型の攻撃が増加しています。ブラウザ分離をメールセキュリティと統合することで、メール内のすべてのURLクリックを隔離ブラウザ経由で開き、フィッシングサイトやドライブバイダウンロード攻撃から端末を保護できます。
さらに、添付ファイルのプレビューもブラウザ分離環境で行うことで、マクロ付きドキュメントやPDFに埋め込まれたエクスプロイトがエンドポイントに到達することを防止します。
パフォーマンスとユーザー体験の課題
ブラウザ分離の最大の課題はユーザー体験への影響です。ピクセルベース方式ではレイテンシの増加や画質の劣化が問題となり、DOMベース方式では一部のWebアプリケーションが正常に動作しないケースがあります。これらの課題に対し、各ベンダーはアダプティブレンダリング(コンテンツに応じて転送方式を動的に切り替え)やエッジコンピューティングの活用による低遅延化を進めています。
Security Measures
- 01リスクベースの分離ポリシーを設計:すべてのWebトラフィックを分離するのではなく、URLカテゴリやリスクスコアに基づいて分離対象を決定してください。未分類サイト、新規ドメイン、高リスクカテゴリ(ファイル共有、個人メール等)を優先的に分離し、業務上必須の信頼済みSaaSは直接アクセスを許可することで、パフォーマンスとセキュリティのバランスを最適化しましょう。
- 02データ漏洩防止ポリシーの適用:ブラウザ分離環境でのコピー・ペースト、ダウンロード、アップロード、印刷、スクリーンキャプチャの各操作に対して、ユーザーロールやアクセス先に応じたDLPポリシーを設定してください。特に非管理デバイスやBYODからのアクセスでは、厳格な制限を適用しましょう。
- 03メールリンクの自動分離を実装:メールに含まれるURLリンクをすべてブラウザ分離経由で開くポリシーを導入してください。URLの書き換え(URL Rewriting)と組み合わせることで、ユーザーが意識することなくフィッシングリンクやドライブバイダウンロード攻撃からの保護を実現できます。
- 04ファイルの無害化(CDR)との連携:ブラウザ分離環境でダウンロードされたファイルに対して、CDR(Content Disarm and Reconstruction)技術による無害化処理を適用してください。悪意のあるマクロ、埋め込みスクリプト、エクスプロイトコードを除去した安全なファイルのみをエンドポイントに配信しましょう。
- 05ユーザー体験の定期的な評価と最適化:ブラウザ分離のレイテンシ、画質、Webアプリケーションの互換性を定期的に測定し、ユーザーからのフィードバックを収集してください。パフォーマンスの問題がセキュリティポリシーの回避行動(シャドーIT等)を誘発しないよう、継続的にチューニングを行いましょう。
- 06セッション分離とコンテナの使い捨て:各ブラウジングセッションは独立したコンテナで実行し、セッション終了時にコンテナを完全に破棄してください。Cookie、キャッシュ、一時ファイルなどの残留データが次のセッションに影響しないよう、エフェメラル(一時的)なコンテナ運用を徹底しましょう。
Incidents
📋 大手金融機関を狙ったドライブバイダウンロード攻撃(2019年)
2019年、欧州の大手金融機関に対して、正規のニュースサイトに埋め込まれた不正広告(マルバタイジング)を経由したドライブバイダウンロード攻撃が発生しました。従業員が業務中に閲覧したニュースサイトに挿入された悪意のあるJavaScriptが、ブラウザの脆弱性を悪用してマルウェアを自動ダウンロード・実行しました。
この金融機関では当時ブラウザ分離を導入しておらず、URLフィルタリングでは正規サイトであるためブロックされませんでした。事件後、リモートブラウザ分離を全社導入し、特に金融取引に関わらない一般的なWebブラウジングをすべて分離環境経由に切り替えることで、同様の攻撃を構造的に防止する体制を構築しました。
📋 政府機関を標的としたゼロデイブラウザエクスプロイト(2021年)
2021年、複数の政府機関を標的としたAPT攻撃において、Chromeのゼロデイ脆弱性を悪用した水飲み場攻撃(Watering Hole Attack)が確認されました。攻撃者は政府関係者が頻繁にアクセスする専門サイトを改ざんし、ゼロデイエクスプロイトを埋め込みました。
ブラウザ分離を導入していた一部の機関では、エクスプロイトは隔離コンテナ内で実行され、エンドポイントへの影響はありませんでした。一方、未導入の機関ではバックドアがインストールされ、数か月にわたり機密情報が窃取されました。この事件は、ゼロデイ対策としてのブラウザ分離の有効性を示す事例として広く知られています。
📋 リモートワーク移行時のフィッシング被害増加(2020年)
2020年のパンデミックに伴うリモートワークへの急速な移行期間中、多くの企業でフィッシングメールによる被害が急増しました。自宅のネットワーク環境では企業のWebプロキシやURLフィルタリングが適用されず、従業員がフィッシングサイトにアクセスして認証情報を入力する事案が多発しました。
クラウドベースのブラウザ分離を導入した企業では、従業員のアクセス場所に関係なくすべてのWebアクセスを分離環境経由とすることで、フィッシングサイト上でのパスワード入力を検知・ブロックする機能(Read-Only URL制御)により被害を大幅に低減しました。この経験から、場所を選ばないセキュリティ対策としてのクラウドRBIの重要性が再認識されました。