リモートワークの定着と企業のDXへの取り組み拡大が背景となって、多くの企業がデジタル技術をフル活用したオフィス環境（デジタルワークプレイス）の構築に取り組んでいます。場所に捉われない、柔軟で働きやすいワークスタイルの実現により、ビジネスの俊敏性や従業員のエンゲージメントが向上する一方、サイバーセキュリティの脅威にさらされるリスクも増大します。そのため、ゼロトラストモデルの導入とエンドポイントの保護による対策が重要となります。

エンドポイントとは、PCやスマートフォンなど、ネットワークの末端に位置するデバイスを指します。場所に捉われない働き方を実現するデジタルワークプレイス環境では、ファイヤーウォールに守られたオフィスネットワークの外部で従業員が働くことになります。そのため、外部からの攻撃への対処と内部からの情報漏洩の両面に対するエンドポイント・セキュリティ対策が不可欠です。

このような背景の中、注目されているのが「エンタープライズブラウザ」です。
本コラムでは、エンタープライズブラウザの特徴とその利点を解説し、エンドポイント・セキュリティを強化するための実践的な選択肢として、どのように活用できるかを探っていきます。

エンタープライズブラウザは、一般的なブラウザとは異なり、アクセス管理やマルウエアブロック、データ漏洩防止といった高度なセキュリティ機能を備えています。従来のブラウザでは対応が難しいセキュリティ課題に対し、本ブラウザはカスタマイズ可能なソリューションを提供し、安全かつ効率的なデジタルワークプレイスの実現をサポートします。

エンタープライズブラウザが登場した背景には、業務アプリケーションのSaaS化や業務システムのSaaS採用に伴いブラウザの利用機会が増えたため、ブラウザのセキュリティ対策の重要性が高まっています。また技術的にも、ブラウザの中核的な機能がオープンソースのChromium（クロミウム）に統一化される流れが進んでおり、これにより互換性の問題も無くなることが期待されます。ユーザエクスペリエンスを保ったまま、ブラウザをエンタープライズ向けWebアプリケーションに活用しやすい環境が整ってきたことも後押ししています。

ブラウザのセキュリティ対策のこれまでの考え方として、Webブラウザを経由したサイバー攻撃への対応策としてのブラウザ分離（RBI：Remote Browser Isolation）があります。RBIとは、ユーザのWebサイトの閲覧リクエストをデバイスから分離された安全な領域で処理し、その描画結果のみをユーザに送信する仕組みです。従来のWebブラウジングでは、ユーザのデバイスを直接インターネットに接続しているため、マルウエアや悪意のあるスクリプトがWebブラウザ経由でデバイスに侵入するリスクが常に存在します。しかし、RBIはブラウジングセッションをクラウドや隔離されたサーバー上などで実行し、ユーザのWebブラウザでは表示のみが行われます。このようにブラウジング処理とWebブラウザへの表示処理を分離することで、これらの脅威がデバイスに到達することを防ぎます。また、RBIはダウンロード、コピー、ペースト、およびスクリーンショットなどのユーザ操作を許可するかどうかをサーバー側でコントロールできます。これにより、Webブラウザを介して機密データが持ち出される事態を防ぎます。さらに必要に応じて、監査ログを生成し、ユーザの行動をトラッキングする機能も備えています。

RBIを実装したWebブラウザは一般的に「セキュアブラウザ」と呼ばれており、別のサーバーやクラウドサービスなどエンドポイントの外で隔離を行うタイプ（リモート分離型）とエンドポイント内のサンドボックス^※1で隔離を行うタイプ（ローカル分離型）があります。しかし、セキュアブラウザを経由するWebサイトまたはしないWebサイトを都度登録する必要があったり、個々のエンドポイントでサンドボックスの設定が別途必要となるなど管理が複雑になりがちです。また、Webコンテンツの無害化や独自ブラウザエンジンを利用する弊害として、コンテンツが正しく表示されないなどの互換性の問題が生じることもあります。

一方エンタープライズブラウザは、Edge、Google Chromeなどの主要なブラウザと同じChromiumを採用しています。そのため、互換性、操作性の観点で優れています。それに加えて、セキュリティ制御対象とするWebサイトをURLの正規表現やカテゴリなどで指定したり、クラウドの管理コンソールにてブラウザ設定内容やインストール先のエンドポイントを一元管理することが可能です。また、結果としてエンタープライズブラウザはセキュアブラウザと比較して、セキュリティ管理の柔軟性と通常のWebブラウザとの使い勝手を損なうことなく高いセキュリティを実現できます。

【図：処理方式の違い】

【表：セキュリティ、互換性、操作性の比較】

エンタープライズブラウザの主な3つの機能について説明します。

• 高度なセキュリティ機能
  エンタープライズブラウザは、フィッシング対策やマルウエア防御、コンテンツフィルタリングなど、企業のデータを保護するための高度できめ細やかなセキュリティ機能を備えています。以下はその例です。

  ✔機密情報を取り扱うシステムにアクセスする際に、個人情報の撮影を防止するためにWebブラウザ内のコンテンツに持ち出し禁止の透かし（ウォーターマーク）を表示する ✔コンテンツに含まれるクレジットカード番号を自動でマスクし、Webブラウザ上で表示されないようにする ✔Webブラウザでのオンライン会議において、画面共有を禁止する ✔Webサイト単位でファイルダウンロード・アップロードやデータコピー・データ入力の許可・禁止を制御する

• セキュリティ設定の一元管理
  システム管理者は、管理サイトにてセキュリティポリシーを一元管理し、ブラウザの設定やブラウザを利用するデバイスの情報管理などを容易に行えます。PCやタブレット、スマートフォンなど、様々なデバイスにエンタープライズブラウザのインストーラを自動配付し、インストールされたデバイスの状態を管理できます。会社貸与デバイスに限らず、BYODや委託先企業のデバイスなども対象であるため、管理負荷の軽減につながります。さらに、Webサイトの利用状況を可視化し、許可しないSaaSアプリケーションや自社以外のWebサイトへのアクセス制御も可能です。

  また、利用者のブラウジング行動を監視し、必要に応じて制限を加えることができます。例えば、従来のSWG（Secure Web Gateway）^※2ソリューションなどでは取得が難しいブラウザ操作（クリック、コピー、ペースト、スクリーンショット、ダウンロード、キーストロークなど）の詳細なログ取得が可能です。

• 柔軟なカスタマイズ性
  各企業のニーズに応じて機能やインターフェースをカスタマイズすることができ、特定の業務要件に対応したアドオンや機能拡張が可能です。例えば、ユーザのホームページやお気に入り、拡張機能の設定などを個別に設定できるため、共通のエクスペリエンスや各業務システムへの導線を確保できます。

エンタープライズブラウザは、セキュアなブラウザ利用環境を提供します。その利用シーンをいくつか紹介します。

• 外部委託先による社内システムの利用
  外部委託先が社内システムを利用する際は、自社のセキュリティポリシーで管理された環境が必要です。社内システムがブラウザ環境のみの場合は、エンタープライズブラウザを導入することで、自社のセキュリティポリシーを適用できます。
• 様々な端末からの社内アクセス（BYOD）
  エンタープライズブラウザは、様々なデバイス上で利用できます。エンタープライズブラウザを従業員の個人所有端末（PC、タブレットなど）に導入することで、自社のセキュリティポリシーを適用したブラウザ環境をそれぞれの端末に作ることができます。
• セーフブラウジング
  従来、Webブラウザに対するセキュリティ対策としてはセキュアブラウザの利用が一般的でしたが、独自レンダリングや無害化に伴い正常に表示されないサイトがある、セキュアブラウザ利用対象外とするサイトリスト（ホワイトリスト）の管理が煩雑でかつ対象外となったサイトに対するセキュリティ対策が行えないなどの課題がありました。
  エンタープライズブラウザはChromiumベースで表示の互換性もが高く、細かなセキュリティポリシーを設定できるため、より安全かつ快適にWebブラウジングを行うことが可能です。
• 情報漏洩対策強化・アプリケーション利用可視化
  エンタープライズブラウザはDLP（Data Loss Prevention：情報漏洩対策）やラストマイルコントロールにより、一般のブラウザより強固なセキュリティ対策が可能です。加えて利用アプリケーションの可視化や、ブラウザ操作ログの取得、既存のセキュリティポリシーに反するアプリケーションへのアクセス防止などにより、より強固な情報漏洩対策が行えます。

一方で、注意事項もあります。エンタープライズブラウザのカバー領域はWebブラウザ経由のアクセスであり、エンドポイント・セキュリティの全てをカバーするわけではありません。あくまでWebブラウザ利用時にのみ適用されるため、ネイティブアプリケーション（以下、ネイティブアプリ）利用に関しては従来どおりVDI・VPNやゼロトラスト・ソリューションの利用が必要となります。
Webブラウザ利用時においても、レガシーアプリケーション向けにMicrosoft Edgeで提供されている「IEモード」を利用する場合、利用可能な機能が制限されるため注意が必要となります。

本稿では、エンドポイント・セキュリティについて、エンタープライズブラウザを中心に解説しました。上記で述べたとおり、エンタープライズブラウザは、セキュリティ制御の柔軟性と操作の利便性は高い一方で、対象はWebブラウザ経由の情報アクセスに限られます。そのため、エンドポイントの環境選定にあたっては、利用するアプリケーション、利用者と取り扱うデータ、求められるセキュリティ要件など、業務特性に応じた適切なソリューションの選択を推奨します。

最近では、ランニングコストが高い、ユーザビリティが低いなどの理由によりVDIの代わりにFAT PC（シンクライアントではない通常のPC）の採用を検討するケースが増えてきています。またセキュリティやリソースなどの問題からVPNの代わりにゼロトラストネットワーク（SWG、ZTNA^※3）の導入が検討されるケースも増えてきています。いずれのケースでも、ブラウジングセッションの保護とデータ漏洩リスクをどう回避するかが課題となりますが、エンタープライズブラウザを利用することで、エンドポイント・セキュリティをより強固なものとすることができます。

利用例としては、社内機密情報など、環境分離が必須要件となるリソースへのアクセスやネイティブアプリを利用する業務には引き続きVDIを採用し、一般OA業務向けには、セキュアブラウザの代替や一部ユーザ向けVDIの代替としてエンタープライズブラウザを採用する、という組み合わせと使い分けが想定されます。また、将来的には外部委託先や自社の従業員に対し自社端末の貸与を止め、BYOD活用が進む可能性も考えられます。

【図：エンドポイント・セキュリティの適用例】

NRIでは、様々な新しいソリューションの調査・検証を通じて、企業の生産性向上と従業員のエンゲージメントを促進するデジタルワークプレイスを提供しています。多様な働き方の定着とデジタル技術活用への期待が膨らむ中、今後も本活動を継続し、持続可能な未来の働き方の実現に取り組んでいきます。

1. ※1サンドボックス
   プログラムを隔離された環境で実行する仕組み
2. ※2SWG（Secure Web Gateway）
   企業や組織のユーザが社内外からインターネットにアクセスする際の安全性を確保し、Webトラフィックを管理・制御するためのセキュリティ方式およびソリューション
3. ※3ZTNA（Zero Trust Network Access）
   「情報資産にアクセスするものは全て信用せずにその安全性を検証する」というゼロトラストのモデルに従って、安全に社内リソースへのアクセスを実現するためのセキュリティ方式およびソリューション