Web ブラウザのセキュリティ：体系化された５本の柱で分解／整理してみよう

The Definitive Browser Security Checklist

2023/01/25 TheHackerNews — セキュリティ関係者は、現代の企業環境におけるブラウザの重要な役割と、その管理／保護の再評価が必要であることを認識するようになった。少し前までは、エンドポイント／ネットワーク／クラウドの各ソリューションのパッチワークで Web ベースのリスクに対応していたが、これらのソリューションが提供する部分的な保護では、もはや不十分であることが明らかになった。そのため、多くのセキュリティ・チームが、ブラウザのセキュリティ上の課題に対する答えとして、専用に構築されたブラウザ・セキュリティ・プラットフォームという、新たなカテゴリーに注目するようになってきた。

しかし、このセキュリティ・ソリューションは新しいカテゴリーであるため、ブラウザ・セキュリティのベストプラクティスや、共通の評価基準が確立されていないのが現状である。User-First の Browser Security Platform である LayerX は、セキュリティ・チームのニーズに応え、downable な Browser Security Checklist を作成し、読者にとって最適なソリューション選択の要点を紹介しながら、評価プロセスで使用する実用的なチェックリストを提供している。

ブラウザは最も重要なワーク・インターフェースであり、最も狙われやすい攻撃対象である

ブラウザは、現代の企業において、中核的なワークスペースとなっている。ブラウザは、認可された SaaS アプリケーションや、パーソナルな Web サイトへのゲートウェイとして存在するだけではなく、クラウド Web 環境と物理／仮想エンドポイントとの間の交差点でもある。そのため、ブラウザは各種の攻撃のターゲットになり、また、意図しないデータ漏えいの原因となる可能性もある。

このような攻撃の中には、ブラウザの脆弱性を悪用するものもあれば、悪意のファイルをダウンロードさせるものもあり、10年以上前から存在しているものもある。また、フィッシング Web ページを使ったソーシャル・エンジニアリングのように、SaaS の普及が急速に進む中で勢いを増しているものもある。また、Web ページ技術の進化を悪用することで、検知が困難なブラウザ機能を用いて、機密データを取得／流出させるものもある。

ブラウザ・セキュリティ – 守るべきものは何か？

ブラウザのセキュリティは、意図しないデータの流出を防ぐこと、そして、さまざまな悪意の行為から保護することの、２種類に分けられる。

１：このようなプラットフォームに対して、データ保護の観点からポリシーを適用する。

具体的に言うと、承認されたアプリの存在する企業の機密データが、安全が確保されない方法で共有／ダウンロードされることを防ぎ、また、管理対象デバイスから企業以外の Web ディスティネーションにアップロードされることを防ぐべきだ。

２：このようなプラットフォームでは、脅威防御の観点から３種類の攻撃を検知／防止する。

• ホスト・デバイスやブラウザ・アプリケーション内に存在するデータ (クッキー ／パスワードなど) を侵害する目的で、ブラウザ自体を標的とする攻撃。
• 不正な認証情報を介してブラウザを利用し、許可された SaaS や、許可されていない SaaS に存在する、企業データにアクセスする攻撃。
• 最新の Web ページを攻撃ベクターとして活用し、さまざまなフィッシング手法や、ブラウザ機能の悪意の変更により、ユーザーのパスワードを狙う攻撃。

正しいソリューションの選び方

自社環境に適したブラウザ・セキュリティ・ソリューションを選択する場合に、どのような点に着目すべきだろうか？ さまざまな製品の違いには、実用上、どのような意味があるのだろうか？ 導入方法／ソリューションのアーキテクチャ／ユーザーのプライバシーを、総合的に考慮する必要があるのか？ 脅威とリスクについて優先順位を付ける方法は？

以前にも述べたように、他のセキュリティ・ソリューションとは異なり、同業者に対して「何をしているのか」と尋ねることはできない。ブラウザ・セキュリティは新しいものであり、群衆の知恵は形成されていない。実際のところ、あなたの仲間も、あなたと同じような疑問で、頭を悩ませている可能性が高いのだ。

ブラウザ・セキュリティ・プラットフォーム・チェックリストの決定版 – その内容と使い方

このチェックリストは、ブラウザ・セキュリティというハイレベルな見出しを、解決すべき具体的なニーズという、消化しやすい小さな塊に分解している。つまり、デプロイメント／ユーザー・エクスペリエンス／セキュリティ機能／ユーザー・プライバシーという５本の柱で、それらが読者に提供される。それぞれの柱には、そのブラウザのコンテキストに関する短い説明と、機能に関する詳細な説明がある。

最も重要な柱は、もちろんセキュリティ機能の柱であり、５つのサブセクションに分けられている。ほとんどの場合において、この柱がブラウザ・セキュリティ・プラットフォームを追求する最初の原動力となるため、より詳細に説明する価値がある。

ブラウザ・セキュリティの深堀り

ブラウザ・セキュリティ・プラットフォームの必要性は、以下の項目から生じることになる。

• 攻撃対象領域の管理：ブラウザが各種の脅威にさらされる機会を積極的に減らし、敵対者による脅威の実行能力を排除すること。
• ゼロトラスト・アクセス：ユーザー名とパスワードが、本当に正規のユーザーから提供されたものであり、漏洩していないことを保証するために、認証要件を厳しくすること。
• SaaS のモニタリングと保護：許可されたアプリ／許可されていないアプリなどの、企業以外の Web サイトにおける、すべてのユーザーのアクティビティとデータの使用状況を 360° 可視化し、企業データの漏洩や損失から保護すること。
• 悪意の Web ページからの保護：認証情報のフィッシング／悪意のファイルのダウンロード／データの窃取などの、敵対者が最新の Web ページに埋め込む、悪意の手口をリアルタイムで検出／防止すること。
• 安全なサードパーティー・アクセスと BYOD：社内だけでなく、社外の請負業者やサービス・プロバイダーの管理されていないデバイスから、企業の Web リソースへの安全なアクセスを可能にするもの。

このリストにより、誰でも簡単にブラウザ・セキュリティ・プラットフォームを検索する目的を特定し、その目的を達成するために必要な機能を見つけることが可能になる。

チェックリスト – 評価の近道となるもの

このガイドで、最も重要かつ実用的な部分は、最後のチェックリストである。このチェックリストでは、ブラウザ・セキュリティ・プラットフォームが提供すべき、すべての必須機能の簡潔な要約が提供されている。このチェックリストにより、評価プロセスが、これまで以上に簡単になる。あとは、候補に挙げたソリューションをチェックリストに照らしてテストし、どのソリューションが最も高いスコアを獲得できるのかを、確認するだけだ。すべてのソリューションを並べたら、自分の環境のニーズを理解した上で、十分な情報に基づいた決断を下すことが可能となる。

たしかに、ブラウザのセキュリティが重要になってきますね。エンドポイント検出だけでは対処できない問題が、たくさん残されています。特に気になるのは、エクステンションを介した攻撃です。この領域にある、脆弱なもの、あるいは、悪意のものを、知らず知らずのうちに使用しているケースも多々あると思います。その意味で、2023/01/14 の「Chrome エクステンションに新機能：サイトごとの ON／OFF に取り組み始めた」に記されている方向性は、とても良いと思います。よろしければ、Browser + Extension で検索も、ご利用ください。話がエクステンションへと流れてしまいましたが、LayerX の The Ultimate Browser Security Checklist も、ぜひ、ご参照ください。