Web分離から“セキュアエンタープライズブラウザ”へ――メンロが示す脱VDIの道筋とは：生成AIチャットサービスからの機密情報漏えいリスクにも対応

メンロ・セキュリティ・ジャパンが2024年6月26日に記者発表会を開催。「クラウド型セキュアエンタープライズブラウザ」についてMenlo Securityのアミール・ベン・エフレイム氏などが説明した。

[宮田健，＠IT]

　メンロ・セキュリティ・ジャパン（以下、メンロ）は2024年6月26日、新たに開発した「クラウド型セキュアエンタープライズブラウザ」の記者発表会を開催した。記者発表会では、Menlo Security 共同創業者 兼 CEO アミール・ベン・エフレイム氏が来日し、業務に直結する“Webブラウザ”におけるセキュリティの現状と、そこに対する脅威に対処する仕組みを提案した。

「ブラウザは重要な企業資産」

業務時間の75％が“ブラウザと向き合う”現状

　エフレイム氏はまず、現代のビジネスのスタイルが「Webブラウザ」を介して行われていることに言及する。プログラムを起動し、URLを指定してアクセスする裏で、これまで投資したさまざまなセキュリティ機構が動いているが、それでもランサムウェアは対前年で50％増加し、フィッシングに至っては2倍になっていることに触れ、「Webセキュリティはブラウザセキュリティではない」と指摘する。Webセキュリティを超えた統合セキュリティとして、メンロはWebセキュリティを超えた統合セキュリティとして、エンタープライズブラウザの必要性をアピールする。

「Webブラウザがアクセスするに当たり、これまでさまざまなセキュリティ機構が用意されてきたが、多層防御をもってしてもインシデントが発生してしまうのが現状だ」

　メンロは「ブラウザこそがビジネスにおける主要なアプリ」と定義する。Web会議に費やす業務時間の75％でブラウザが使われているが、エンドユーザーのローカルブラウザを標的とする攻撃の割合も80％に上っており、ブラウザは常に攻撃対象となっている。特に攻撃者はフィッシング、ランサムウェアを攻撃に使っているのが現状だ。

　「ブラウザは重要な企業資産。企業はブラウザを管理し、保護し、セキュリティを確保しなければならない」（エフレイム氏）

　メンロの製品は、クラウド上のバーチャルマシンで「セキュアクラウドブラウザ」を実行させる。セキュアクラウドブラウザからクラウドサービスのサーバにアクセスし、画面情報だけをローカルブラウザに送る形で保護する。ユーザーは「Google Chrome」「Microsoft Edge」といったブラウザに拡張機能を入れることで、普段利用しているブラウザをそのまま利用できる。

メンロが提供する「セキュアエンタープライズブラウザ」の概要

　「パートナー企業などに対してもプラグインを入れることで、トラフィックを必要に応じてセキュアクラウドブラウザに向けることができ、企業のポリシーを適用できる」（エフレイム氏）

　2024年5月にはGoogleとのパートナーシップも発表しており（参考）、Googleが買収したMandiantとも協業していることも併せてアピールした。

必要なのは「管理」「保護」「セキュア」

　メンロのセキュアエンタープライズブラウザ製品を利用することで、エフレイム氏は「『管理』『保護』『セキュア』の3ポイントが得られる」と述べる。管理面ではCIS（Center for Internet Security）が提供する「CIS Benchmarks」に準拠し、粒度を細かくしたポリシーを設定できる「ブラウザポスチャー管理」、アクセスを記録する「ブラウザフォレンジック」を提供する。

セキュアエンタープライズブラウザは「管理」「保護」「セキュア」といった機能ごとに導入できる。全機能を含むエンタープライズ版も選択可能

　保護面ではフィッシングやランサムウェアを検知する仕組みを提供するとともに、ゼロトラスト的なアクセスを提供したり、生成AI（人工知能）の利用を制限したりすることもできるという。

　例えば生成AIのチャットサービスからの機密情報漏えいリスクに対し、メンロの製品はブラウザから生成AIサービスへのアクセスを可視化し、コピー＆ペーストの制御／制限やアクセス記録のフォレンジックなどを実現できる。

生成AIサービスへの対策

VDIからセキュアエンタープライズブラウザへの置き換えを狙う

　メンロはこの製品によってVDI（Virtual Desktop Infrastructure）からの一部置き換えを狙う。エフレイム氏は「VDI製品を提供してきたベンダーは幾つかあるが、どのベンダーも買収されてしまった。そのため『今後はVDIに対するコストが増大するリスクがある』と顧客が懸念しているのではないか」と指摘する。メンロはVDIのコスト削減策の一つとして、VDIで最初に開くブラウザを、セキュアエンタープライズブラウザに置き換えられることをアピールしている。「これまで1人当たり15万円かかっていたコストを70％削減できる」（エフレイム氏）

VDIで最も使うのも「ブラウザ」

日本市場では金融、官公庁以外へも展開

　記者発表会に登壇したメンロ・セキュリティ・ジャパン カントリーマネージャーの高柳洋人氏は、日本国内でのビジネスに関して現状と新たな取り組みを発表した。

　日本国内でもユーザー数は80万を超え、2023年6月にはISMAP（政府情報システムのためのセキュリティ評価制度）の取得も果たしている。「国内でも『Webセキュリティ製品を入れているから大丈夫だ』という認識の方も多いが、それは間違っている。SaaSの出現、ブラウザの処理が複雑化したことで、従来の手法では守り切れない状況になっている。ブラウザ専用の対策が必要だ」（高柳氏）

　加えてエフレイム氏も「ブラウザはもはやOSだ」というメッセージを繰り返し、同社のことを「創業からブラウザ通信を守ってきたパイオニア」とアピール。「特にWeb分離のニーズが高かった公共、金融分野でのシェアを足掛かりに、今後は国内販売パートナーと連携しながら業種に関係なく、他の分野にも導入していきたい」と展望を述べた。

（左）Menlo Security 共同創業者 兼 CEO アミール・ベン・エフレイム氏と（右）メンロ・セキュリティ・ジャパン カントリーマネージャー 高柳洋人氏