- ライター:佐々木 裕樹
- ネットワーク/セキュリティ製品の調査・検証に従事。現在は Palo Alto Networks 社の Strata / SASE 製品の技術支援を担当。
【保有資格/認定】
Palo Alto Networks CYBERFORCE Hero
Palo Alto Networks Certified Network Security Engineer
目次
セキュリティ対策とユーザーエクスペリエンスのジレンマ
企業のネットワークセキュリティ強化の一環として、SASE(Secure Access Service Edge)を導入し、Webセキュリティを活用する企業が増えています。しかし、運用する中でユーザーエクスペリエンスの低下に悩むケースが少なくありません。
例えば、次のような課題はありませんか?
● サイトの閲覧は許可したいが、入力はさせたくない
URLフィルタリングでは「アクセスを許可する」か「完全にブロックする」しか選択できず、一部の機能のみを制限できない。
● ファイルのアップロードは禁止したいが、閲覧は許可したい
Google Drive や Dropbox など業務に必要なクラウドストレージを利用する場合、アップロードを許可すると情報漏えいリスクが高まる。
● 業務に必要なサイトがブロックされる
ゼロデイ攻撃対策やブラウザの脆弱性を狙う攻撃への対策が厳しすぎると、必要な情報まで遮断され、ユーザーの不満が増大する。
こうした悩みを解決するのが、Palo Alto Networks 社 の Remote Browser Isolation(RBI) です。
RBI(Remote Browser Isolation)とは?
RBI は、「Webサイトをクラウド上で開き、安全な映像のみをユーザーに届ける」技術です。
通常、ブラウザはサイトのデータを直接 PC にダウンロードして表示します。しかし、RBI ではクラウド上の仮想環境でWebページを処理し、その映像のみを転送します。これにより、ユーザーのPCには実際のデータが届かず、マルウェア感染や情報漏えいのリスクを大幅に軽減できます。
Palo Alto Networks 社 の RBI の特長
Palo Alto Networks 社 の RBI は同社のSASE 製品である Prisma Access とシームレスに統合されており、一元管理が可能です。また、次のような特長を備えています。
● 柔軟なポリシー適用
RBI 用プロファイル(設定)は Prisma Access の既存のセキュリティポリシーに適用できます。たとえば、Prisma Access で設定した特定のカテゴリーやユーザーグループだけを RBI の対象にすることが可能です。
● スムーズなブラウジング体験
従来の RBI 製品は遅延が大きい「ピクセルプッシング方式」や、セキュリティ上のギャップがある「DOM方式」を採用していました。Palo Alto Networks 社 の RBI では、ベクトルベースとピクセルベースの最新技術を併用し、オリジナルの Web ブラウジングに近いスムーズな体験と高いセキュリティを両立 しています。
● 高度なデータ損失防止(DLP)機能
RBIではブラウザ上の操作を制御できます。コピー&ペースト、キーボード入力、ファイルのアップロード・ダウンロードなどの操作 が制御可能です。これにより、機密情報の漏えいを防ぐことが可能です。
● Webベースのゼロデイ脅威対策
クラウド環境に分離したトラフィックは様々なセキュリティサービス(Advanced WildFire,Advanced ThreatPrevention,Advanced URLFiltering,DNS Security,SaaS SecurityなどのCDSS)によって分析と脅威防御が適用されます。
実際に触ってみた感想
Palo Alto Networks 社 の RBIを実際に触ってみました。
まずは設定から。画面はとてもシンプルです。
最初に制御する項目を設定(Profileを作成)します。
下記ではファイルのダウンロードとキーボード入力以外を禁止してみました。
次にRBIの対象とするカテゴリを設定します。
対象とするサイトに対して、先ほど作成した制御する為の設定(Profile)を適用します。
これでどのカテゴリにどの制御をかけるかを設定したRBIのProfileを作成することができました。
最後にPrisma AccessのSecurity Profileに対して作成したRBIのProfileを適用します。
RBIの実際の動作も端末にて確認しました。
RBIの対象としたサイトに接続すると、RBIが機能しているメッセージがバナーとして表示されます。
5秒間表示され、メッセージは設定で変更が可能です。
制限している動作を端末上で実行するとどうなるでしょうか?
操作が制限されるとともに、ポップアップにて制限されている操作であることを視覚的にも伝えてきます。
例えば、下記はコピー/ペーストを制限している設定で、実際にポップアップされたメッセージになります。
また、RBIの環境からユーザーが直接不具合などをレポートする機能も備わっています。
レポートはログに出力され確認することができます。
動作の不具合を別途伝える手段が必要なく、RBIの環境内で完結できるのは良い機能だと感じました。
まとめ - Palo Alto Networks 社の RBI で実現できること -
● 「閲覧はOK、入力はNG」を実現
ニュースサイトやフォーラムの閲覧は許可しつつ、コメント投稿やフォーム入力を禁止できます。たとえば、フィッシングサイトでも認証情報を入力できないため、情報漏えいを防げます。
● 「ファイルアップロードは禁止、閲覧はOK」を実現
クラウドストレージの閲覧は許可しつつ、アップロードは禁止できます。たとえば、社内で承認されたサイトのみアップロードを許可し、それ以外は閲覧のみとするなど、部門やユーザーごとのルール適用が可能です。
● 「不審なサイトでも安全に閲覧したい」を実現
Palo Alto Networks 社の RBI を利用すれば、PC に実際のコードやスクリプトが届かないため、マルウェア感染の心配がありません。未知の脅威にも安全に対応できます。
Palo Alto Networks 社の RBIについて詳細な説明やデモをご希望の方は、担当営業までお問い合わせください。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
