RBI(Remote Browser Isolation)とは?Webブラウザ利用に不可欠な理由やメリットを解説
3行でわかる!本記事のサマリ
・既存のセキュリティをすり抜ける攻撃が存在し、Webブラウザ利用には注意が必要。
・RBI(Remote Browser Isolation)は、分離された仮想コンテナ上でWebコンテンツを実行し、安全な情報のみをクライアントに送るソリューション。
・RBIによって、既存のセキュリティをすり抜ける脅威の無害化が可能。
1.はじめに
日々業務を行う中で欠かせない「Webブラウザ」。
業務に欠かせない存在だからこそ、その利用にあたってのセキュリティは細心の注意が必要です。
本記事では、Webブラウザを利用する上で欠かせない情報として、これまでのセキュリティ対策をすり抜ける攻撃や、有効なソリューションとして注目されているRBI(Remote Browser Isolation)のご紹介をします。
2.業務に不可欠なWebブラウザと、代表的なセキュリティ対策
今やWebブラウザ(Google ChromeやMicrosoft Edgeなど)の利用は、あらゆる組織において業務上必要不可欠なものであり、Webブラウザを利用しない日があることの方が珍しいのではないでしょうか。
セキュリティ面では、安全なWeb利用を実現するための代表的な対策としてSecure Web Gateway(以下、SWG)を利用されるケースが多いかと思います。
SWGは、不審なURLやIPアドレスへのアクセスをブロックしたり、マルウェアなどを検知するものです。
これによって、一定の安全は保たれるものの、マルウェアの配送手段も様々であることから、
SWG製品をすり抜けてマルウェアを配布する攻撃手法も存在しており、注意が必要です。
3.既存のSWGをすり抜ける攻撃手法:HTMLスマグリング
既存のSWGをすり抜ける攻撃手法の1つに、HTMLスマグリングが挙げられます。
HTMLスマグリングは、一見無害に見えるHTMLファイルの中にマルウェアの要素を分解したり暗号化することで隠しこみ、ネットワーク上でのFirewallやSandboxなどの検知を回避した上で、エンドポイントである端末のブラウザ内で悪意のあるHTMLやファイルを生成してマルウェアに感染させる攻撃手法です。
従来のセキュリティ製品では、配送の段階でファイルとして認識することができないため、
検知をすり抜けて、端末に悪意のあるファイルが到達してしまう仕組みです。
サイバーキルチェーンにおいて、サイバー攻撃は環境の偵察から始まり、マルウェアを武器化、対象の相手に配送し攻撃を行い、マルウェアをインストールさせます。
その後、遠隔操作によって対象者の環境に侵入拡大し、情報の窃取などの目的を達成します。
各段階は全て密接に関連しており、どれか一つの段階で遮断することによって攻撃は成立しないものとなります。
既存のSWG製品などは、環境に侵入する前に阻止するため、「配送」の段階で止めることを目的としています。
しかし、実際にはSWGなどの対策をすり抜ける攻撃手法が、HTMLスマグリングを例として多く存在しています。
4.RBIとは?活用の3つのメリット
このような検知をすり抜ける脅威に対して有効な対策が、RBI=Remote Browser Isolation です。
RBIは、システムから分離された仮想コンテナ上でWebコンテンツを実行し、無害な状態の表示情報(レンダリング情報)のみをクライアントに送るソリューションです。
Web分離、インターネット分離とも呼ばれ、社内システムに侵入する前の段階で、未知のマルウェアであっても広く脅威を排除することができます。
次に、RBIを活用することによるメリットを3点紹介します。
①SWGなど従来の製品で防ぐことが出来ない攻撃への対策が可能
SWG製品などの検知型セキュリティでは、前述のHTMLスマグリングのような検知を回避する攻撃を発見することが困難です。
RBIを用いることで、仮想環境上のブラウザが代理でWebコンテンツを実行し、代理ブラウザ上でファイルが生成されるため、端末までファイルが到達することを防ぐことが可能です。
これまでの検知に頼った対策から脱却し、脅威を無害化することで、安全・かつ利便性の高いWeb利用を実現できます。
②増加するアプリケーション/Webサイトへの対策
前章でお伝えした通り、ブラウザ経由の攻撃は多く、その要因の一つに脅威を含むアプリケーションやWebサイトが挙げられます。
クラウドアプリケーションへの対策としては、CASB機能によりアプリケーションを可視化し、高リスクならブロックするといった対策も可能ですが、全てのアプリケーションを可視化することは容易ではありません。
また、Webサイトでもカテゴリ判定等の対策ではリスクが残り、セキュリティレベルを維持したままユーザーに利用させることは難しいです。
RBIは、仮想環境上で代理ブラウザを動かし、安全な情報のみをクライアントのブラウザへ表示させる仕組みです。
そのため、どのようなサイトにおいても脅威を取り除き接続させることができます。
CASB機能でリスク判定が出来ないアプリケーション、リスクのあるアプリケーション、また脅威を含むWebサイト等へアクセスしたとしても、Webサイト経由で脅威がネットワーク内に侵入することを防ぐことが可能です。
③侵入後の対応における負荷軽減
侵入前提の保護対策としてEDRやIDaaSの導入が広がっていますが、実際に侵入された際には次のような対応が求められます。
・攻撃拡大防止のための業務停止や影響範囲の調査
・侵入された経路、原因の調査、など
外部の監視サービスを利用していたとしても、管理外デバイスへ侵入されることで大量のアラートが発生する可能性もありますし、外部の監視サービスを利用していない場合は、自社で調査から対策までを行うため、高い対応工数が発生します。
また、セグメント毎にポリシーを細かく決めて被害を最小化した環境でも、攻撃を受けてしまうことには変わりありません。
EDR等はゼロトラスト実現においても重要な役割を担いますが、RBIの活用によって、なるべくウイルスを端末に届かないようにすることで、侵入後の対応における負荷軽減に繋がります。
(参考)Menlo SecurityのRBI(Isolation)について
マクニカが提供するRBIの1つとして、Menlo Securityをご紹介します。
Menlo Securityは、従来のブラウザ利用と変わらない利便性を保った上で、Webやメール経由の脅威を無害化できることが評価され、金融・官公庁・製造業などをはじめとした様々な業種で、国内250社以上・累計70万以上のユーザーに採用されています。
Menlo Security Webサイト
5.さいごに
業務に不可欠なWebブラウザ利用におけるセキュリティ対策として、RBIについてご紹介させていただきました。
「自社の環境で、本当に大丈夫だろうか?」というお客様については、既存のお客様のネットワークセキュリティに対して、クリック1つで擬似的に攻撃手法を試すことができるツールもご用意しております。
ご興味のある方は、下記からお気軽にお問い合わせください。※お問い合わせ時に「擬似攻撃を試したい」とご記入ください。