エンドポイントを守る「ブラウザ隔離」、Web経由攻撃への新たな防御アーキテクチャ

背景

フィッシングサイト、マルバタイジング、ドライブ・バイ・ダウンロード、ブラウザゼロデイ攻撃など、インターネットブラウジング経由の脅威は依然としてサイバー攻撃の主要経路です。従来は、エンドポイントのアンチウイルスやブラウザのパッチ適用、プロキシでのURLフィルタリングといった対策が中心でしたが、攻撃コードの難読化やゼロデイ脆弱性の増加により、「完全な予防」は困難になっています。この状況を受け、「そもそも危険なWebコンテンツをローカル端末で実行しない」という発想から生まれたのが、ブラウザ隔離（Remote Browser Isolation：RBI）のアーキテクチャです。ユーザーのWebアクセスを隔離された環境で実行し、その描画結果のみを安全な形式で端末に転送することで、Web経由の攻撃を根本から遮断します。

実態

ブラウザ隔離では、ユーザーのWebアクセスは社内外の隔離環境（クラウド上のコンテナやデータセンター内の専用サーバー）で実行され、その描画結果だけが安全な形式（画像ストリーミングやレンダリングデータ）でエンドポイントに転送されます。これにより、JavaScript、プラグイン、ブラウザ脆弱性を突く攻撃コードがユーザー端末上で直接実行されることはありません。実運用では、「不審カテゴリのサイトは強制的にRBI経由」「業務に必要な特定ドメインのみローカル実行を許可」といったハイブリッド運用が一般的です。また、ダウンロードファイルについても、隔離環境内でマルウェアスキャンやコンテンツ無害化（CDR：Content Disarm & Reconstruction）を行ってから社内に受け渡すことで、未知のマルウェアを大幅に減らすことができます。一方で、全トラフィックをRBIにするとレイテンシや表示品質に影響が出るため、適切なポリシー設計が重要になります。特に、動画ストリーミングやリアルタイム性が必要なWebアプリケーションでは、ユーザー体験とセキュリティのバランスを慎重に調整する必要があります。

影響と対策

RBIを導入することで、ブラウザを狙うゼロデイ攻撃や、エクスプロイトキットによるドライブ・バイ感染のリスクを大幅に低減できます。これは特に、役員・財務担当・開発者など、高リスクユーザーの保護に有効です。対策としては、まず既存のWebフィルタ・プロキシ・ファイアウォール製品（FortiGateやCheck Pointなど）と連携可能なRBIソリューションを選定し、「どのカテゴリ・どのユーザー・どのデバイスのトラフィックを隔離するか」をポリシーベースで定義します。また、SaaSアプリや社内Webシステムなど、ローカル実行が必要なサイトについては例外リストを整備し、ユーザー体験とのバランスを取ります。さらに、RBIの導入に合わせて、「Web閲覧は原則として隔離環境経由」という社内ルールを定め、利用者に対して仕組みと目的を丁寧に説明することで、不必要な例外申請やシャドーITの発生を抑制できます。段階的な導入では、まず特定部門（経営層、財務部門）から開始し、効果を検証してから全社展開する手法が推奨されます。

まとめ

「全ての脅威を見つけてブロックする」従来モデルには限界が見えつつあります。ブラウザ隔離は、「脅威が存在することを前提に、重要資産から物理的・論理的に距離を取る」ゼロトラスト的な発想に基づく有効なアプローチです。Web経由攻撃の完全遮断により、エンドポイントセキュリティの負荷軽減と安全性向上を同時に実現できます。PSIでは、FortiGateやCheck Pointなど既存インフラと連携したRBI導入設計から、ポリシーチューニング、ユーザー教育まで、一貫したWeb脅威対策強化をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp