The Definitive Enterprise Browser Buyer’s Guide
2024/01/02 TheHackerNews — 現代の企業環境において、Web ブラウザは重要な役割を担っている。したがって、その管理/保護の方法の再評価が必要であると、セキュリティ関係者たちは認識し始めている。Web に起因するリスクは、エンドポイント/ネットワーク/クラウドなどの各ソリューションの、パッチワークのようなもので対処されてきたが、それらのソリューションが個別に提供する部分的な保護では、もはや不十分であることが明らかだ。
そのため、数多くのセキュリティ・チームが、Web ブラウザのセキュリティ上の課題に対する答えとして、エンタープライズ向けブラウザという、新たなカテゴリーに目を向けるようになっている。
しかし、このセキュリティ・ソリューションのカテゴリーは最近のものであり、また、Web ブラウザ・セキュリティのベストプラクティスや共通の評価基準は確立されていない。
User-First Enterprise Browser Extension である LayerX は、セキュリティ・チームのニーズに対応するために、ダウンロード可能な Enterprise Browser Buyer’s Guide を作成した。このガイドは読者に対して、最適なソリューションを選択するための要点を説明し、評価プロセスに有用なチェック・リストを提供している。
Web ブラウザは最も重要かつ狙われる攻撃対象
Web ブラウザは、現代の企業における中核的なワークスペースとなっている。Web ブラウザは、認可された SaaS アプリなどのサードパーティ Web デスティネーションへのゲートウェイであるだけではなく、クラウド Web 環境と物理/仮想エンドポイントとの交差点でもある。そのため、Web ブラウザは、多種多様な攻撃の標的となるだけではなく、意図しないデータ漏えいの潜在的な原因にもなり得る。
こうした攻撃の中には、Web ブラウザの脆弱性の悪用や、悪意のファイルのダウンロードといった、10年以上も前から存在する手法もある。また、フィッシング・ページを介してユーザーにソーシャル・エンジニアリング仕掛けるという、 SaaS の急速な普及につれて勢いを増したものもある。また、Web ページ・テクノロジーの進化を利用して、Web ブラウザ機能の悪用や、巧妙で検知の難しい改ざんを行い、機密データを窃取/流出させる手口もある。
ブラウザ・セキュリティ – 守るべきものとは?
Web ブラウザ・セキュリティを分析する際には、意図しないデータ露呈の防止と、多種多様な悪意の行為からの保護という、2つのグループに分けることができる。
データ保護の観点から見ると、企業向け Web ブラウザで実施すべきポリシーとしては、許可されたアプリから安全でない方法で、機密性の高い企業データが共有またはダウンロードされないこと、そして、管理されたデバイスから企業以外の Web ディスティネーションに対して、機密性の高い企業データがアップロードされないことがある。
その一方で、脅威に対する防御の側面から見ると、エンタープライズ・ブラウザは3種類の攻撃を検知して防御する必要がある:
- ホスト・デバイスまたは Web ブラウザ内に存在するデータ (Cookie/パスワードなど) を侵害する目的で、ブラウザ自体を標的とする攻撃。
- 侵害された認証情報を介して Web ブラウザを悪用し、公認および非公認の SaaS アプリケーションに存在する企業データにアクセスする攻撃。
- 最新の Web ページを攻撃ベクターとして悪用し、多様なフィッシング手法やブラウザ機能の改変により、ユーザーのパスワードを狙う攻撃。
正しいソリューションの選び方
あなたの環境に合った、企業向け Web ブラウザ・ソリューションを選ぶ際に、何に注目すべきなのか? また、各種のソリューションの違いがもたらす現実的な影響はどこにあるのか? さらに、導入方法/ソリューションのアーキテクチャ/ユーザーのプライバシーを総合的に考慮する上で、どこに重きを置くべきなのか?脅威とリスクは、どのように優先順位付けされるべきなのか?
前述のとおり、他のセキュリティ・ソリューションとは異なり、同業者の一人に ping を打って、その人が何をしているのか尋ねることはできない。また、エンタープライズ・ブラウザは新しいものであり、一般における知恵が形成されていない。実際のところ、あなたの同業者が今、あなたと全く同じ疑問に悩んでいる可能性は大いにある。
エンタープライズ Web ブラウザの Buyer’s Guide
この Definitive Enterprise Browser Buyer’s Guide (PDF) では、Browser Security という大見出しを、解決すべき具体的なニーズとしての小さな塊に分解している。それらは、Deployment/User Experience/Security Functionalities/User Privacy という、5本の柱で提示される。それぞれの柱には、Web ブラウザのコンテキストについての短い説明と、機能についての詳細な説明がある。
最も重要な柱は、もちろん Security Functionalities であり、5つのサブセクションに分かれている。ほとんどの場合において、この柱が Web ブラウザ・セキュリティ・プラットフォームを追求する、最初の原動力となるため、より詳細に説明する価値がある:
企業向け Web ブラウザの深層
企業向け Web ブラウザの必要性は、一般的に以下のいずれかから生じる:
- 攻撃サーフェスの管理:Web ブラウザが各種の脅威に晒されることを未然に防ぎ、敵の実行能力を排除する。
- ゼロトラスト・アクセス: ユーザー名とパスワードが、正当なユーザーにより提供されたものであり、漏洩していないことを保証するために、認証要件を厳格化する。
- SaaS の監視と保護: 企業データの漏洩や紛失がないように保護しながら、許可/未許可のアプリおよび、企業以外の Web サイトにおける全てのユーザーのアクティビティとデータ使用状況を 360度 可視化する。
- 悪意の Web ページからの保護:敵対者が最新の Web ページに埋め込む、すべての悪意の手口をリアルタイムで検出/防止する。具体的には、クレデンシャル・フィッシング/悪意のファイルのダウンロード/データの盗難などが挙げられる。
- セキュアなサードパーティ・アクセスと BYOD:社内の従業員だけではなく、社外の請負業者やサービス・プロバイダーの管理されていないデバイスからの、企業の Web リソースへのセキュアなアクセスを確保する。
このリストにより、誰もが簡単に、企業向けブラウザ検索の目的を特定し、それを満たすために必要な機能を見つけることができる。
Buyer’s Guide – 評価への近道
このガイドにおいて、最も重要で実用的な部分は、企業向け Web ブラウザが提供すべき、すべての必須機能を簡潔にまとめた文末のチェックリストである。このチェックリストにより、評価プロセスが、これまで以上に簡単になっている。あとは、候補に挙げたソリューションを、このチェックリストと照らし合わせ、最もスコアの高い製品を確認するだけだ。すべてのソリューションを並べたら、自身の環境のニーズを理解した上で、十分な情報に基づいた決定を下すことができる。
あらゆるオペレーティング・システム上で、最も頻繁に利用されるアプリが Web ブラウザであり、その大半が Cromium というオープンソース・プロジェクトに依存しているという、いまの状況があります。そして、Web ブラウザは、コンシューマからエンタープライズにいたるまでの、ありとあらゆるニーズに対応していますが、それで良いのだろうかという疑問を、誰もが持っているのだろうと思います。たとえば、Brave などは、よりセキュアな Web ブラウジングに、特化した製品だと捉えることが可能です、2024年は、このあたりの議論が活発に行われるのかもしれませんね。
IoT OT Security News 
You must be logged in to post a comment.