リモートブラウザ分離（RBI）とは

セクションにジャンプする

Remote Browser Isolationとは何か？ Remote Browser Isolation技術はどのように機能するのか？ Remote Browser Isolationレンダリングモードとは何か？ Remote Browser Isolationの種類とそのユースケースは何か？ SASEアーキテクチャの中で、Remote Browser Isolationはどのように位置づけられているのか？

5 min read

Remote Browser Isolationとは何か？

インターネットは、ビジネスにとって最も重要な生産性ツールであると同時に、さまざまなセキュリティの脅威にさらされているため、最大限の責任をもつ必要があります。既知の危険なドメインをブロックするなどの旧来の手法でウェブ閲覧の脅威から保護することは可能ですが、これらの予防策は他の悪用を防ぐものではありません。では、組織はどのようにして、増え続けるウェブ上の脅威からユーザー、データ、システムを保護すればよいのでしょうか。

Remote Browser Isolation (RBI) は、ウェブ分離とも呼ばれ、すべての閲覧行為をクラウドベースのリモートコンテナでホストし実行することで、ユーザーのデバイスをインターネット閲覧行為から分離するセキュリティ対策です。インターネット閲覧をサンドボックス化するこの行為は、感染したウェブサイトのコードに起因する次のようなあらゆる種類の脅威から、データ、デバイス、ネットワークを保護します。

ウェブ経由でのマルウェアとランサムウェア
ゼロデイ攻撃
プラグインなどブラウザの脆弱性
感染したファイルのダウンロード
フィッシングメールに含まれる悪質なウェブリンク
その他多数

Remote Browser Isolation技術はどのように機能するのか？

Remote Browser Isolationは、ゼロトラスト原則を採用し、インターネット閲覧行為に適用しています。Remote Browser Isolationは、ウェブ閲覧の善し悪しを解読するのではなく、対象となるウェブサイトが信頼できないものであると判断し、ウェブサイトのコードがエンドポイントで実行されないコンテナに分離するものです。RBIの仕組みと、RBIがユーザーを脅威から保護する方法をもう少し詳しく見てみましょう。

コードが破損したウェブサイトの存在 – ウェブサイトのコードに脅威がプログラムされており、その特定サイトを閲覧している人を脅威にさらします。
RBIがウェブコンテンツを分離 – 特定のユーザーのRemote Browser Isolationで、すべてのウェブページはユーザーのエンドポイントデバイス (コンピュータ、スマートフォン、タブレットなど) から分離したリモートコンテナ上でホストおよびレンダリングされます。
RBIがコンテンツをユーザーにレンダリング – ユーザーは、分離されたコンテナで実行されるリモートウェブブラウザを介して、ウェブページのピクセルレンダリングを見ることができます。

ユーザーにとっては、標準的なブラウザを使う場合と同じ体験ができます。唯一の違いは、安心感です。

柵越しに虎を見るのと、檻の中で虎を見るのと同じように、ユーザーは生のウェブコードにデバイスをさらす脅威を感じることなく、インターネット閲覧の標準的なメリットをすべて享受することができます。バリアで守られていながらも、まだ虎が見えている状態です。

データシート: Netskopeリモートブラウザーの分離
詳細情報： ゼロトラストセキュリティとは

Remote Browser Isolationレンダリングモードとは何か？

Remote Browser Isolationを利用してウェブページをレンダリングする方法は1つだけでなく、より安全な方法もあります。これらは、さまざまなRBIレンダリングモードです。

1. ピクセルレンダリング
これは、機密データ、資産、インフラストラクチャに幅広くアクセスできる役員や管理者など、リスクの高いユーザーにとって理想的なRBIレンダリングモードです。ピクセルレンダリングでは、ウェブサイトのコンテンツ (画像、フォント、スタイルシート、JavaScriptなど) が、エンドポイントのブラウザやオペレーティングシステムと相互作用することはありません。すべてのウェブ閲覧がユーザーから完全に遮断されるため、リスクの高いウェブサイトを閲覧するのに適しています。

2. DOMベースレンダリング
ピクセルレンダリングの次の段階です。DOM (ドキュメントオブジェクトモジュール) ベースのレンダリングは、JavaScriptなどリスクの高いウェブページの要素を分離し、RBIを使ってリスクの高い要素をユーザーにピクセルストリームします。ただし、フォントやスタイルシートのようなリスクの低い要素は、ユーザーのローカルブラウザによってレンダリングされます。この方法は、RBIプロセスを合理化するために使用され、ユーザーのエンドポイントデバイスの処理能力を活用しながら、最も必要な部分にセキュリティを提供することができます。これは、リスクが中程度のウェブサイトに適しています。

3. ストリーミングメディア
このRBIオプションは、リスクのあるウェブページ要素をピクセルレンダリングし、安全なDOM要素をユーザーのウェブブラウザでレンダリングできるようにし、ストリーミングメディアはピクセルレンダリングせずブラウザでネイティブに提供することで、ユーザーエクスペリエンスを向上させます。これは、ユーザーエクスペリエンスを重視するリスクの低いストリーミングメディアのウェブサイトに適しています。

Remote Browser Isolationの種類とそのユースケースは何か？

1. ターゲットRBI – Secure Web Gatewayとの組み合わせにより、未分類の危険なウェブサイトから保護します。システムがこれらの危険なURLを検出した場合、使い捨てのリモートブラウザコンテナを作成します。これは、RBIの最も一般的な形式です。

2. フルRBI – 機密情報にアクセスするC-suiteやエグゼクティブレベルのユーザーなど、リスクの高いユーザーに最適です。すべてのウェブサイトは、Remote Browser Isolationを使用してレンダリングされます。

3. 電子メールRBI – フィッシング対策として、電子メールに埋め込まれたすべてのURLを「読み取り専用」としてレンダリングします。

4. ドキュメントRBI – ウェブブラウザ経由でダウンロードされたドキュメントは、すべて静的なPDFとしてクラウド上にレンダリングされます。

5. アプリケーションアクセス制御RBI – 信頼できないユーザーやデバイスに、ピクセルレンダリングされたアプリケーションやデータの表示や使用を許可し、これらの資産を変更する権限は与えません。

SASEアーキテクチャの中で、Remote Browser Isolationはどのように位置づけられているのか？

Secure Access Service Edge (SASE) は、データ、ユーザー、およびアプリケーションを保護するためのネットワーキングツールとセキュリティツールを統合したクラウドベースのアーキテクチャです。これは、私たちが慣れ親しんでいる従来のオンプレミスの境界ベースでのアーキテクチャをアプライアンス (アクセス制御リスト、ネットワークファイアウォールなど) に置き換えるクラウドセキュリティの未来です。ネットワークとセキュリティはすべて、オンロケーションデバイスからクラウドに移行する運命にあるのです。

しかし、SSEについてはどうでしょうか？Security Service Edge (SSE) は、SASEアーキテクチャの半分を占めるセキュリティサービスであり、インフラストラクチャを単一のソリューションに簡素化するために構築されたものです。

ブログ： Netskope Integrates Targeted RBI Within SASE Architecture
ブログ： 次世代SWGでのリモートブラウザ分離の実装

この中で、Remote Browser Isolationはどのような位置づけになるでしょうか？

Remote Browser Isolationは、SASE/SSEフレームワーク内のスタンドアロンソリューションではありませんが、アーキテクチャの特徴であり、Secure Web Gateway (SWG)とともに機能します。具体的に、SWGはターゲットRBIによって強化され、未分類のウェブサイトやその他の危険なウェブイトの脅威から保護します。SSEの他の機能は、データ、ネットワーク、およびクラウドベースの資産保護に重点を置いていますが、Remote Browser Isolationはユーザーのウェブ閲覧体験を保護します。RBIは、SASEのセキュリティ哲学を構成するゼロトラストベースのセキュリティモデルのもう1つの部分です。

リモートブラウザ分離とは