リモートブラウザ分離（RBI）はなぜ重要？仕組みや具体的なユースケースなどを解説

リモートブラウザ分離（RBI）とは？

リモートブラウザ分離（RBI）とは、ウェブブラウザのレンダリングなどを遠隔のサーバー上で実施するセキュリティ技術の一つです。「リモートブラウザアイソレーション」と表現されることもあります。リモートワークが一般的に普及している現在、リモートアクセスをセキュアな環境で実現するために役立っています。

まずはリモートブラウザ分離のビジネスシーンにおける重要性や、そもそもの仕組みについて解説します。

リモートブラウザ分離の重要性・必要性

リモートブラウザ分離は企業のセキュリティ体制を向上させるための、非常に重要な技術・ソリューションです。「ゼロデイ（未知の攻撃）を含むあらゆるリスクと組織内のユーザが、ウェブブラウジング経由で接触する前に切り離す」機能があり、社内ネットワークから社外にアクセスする際に真価を発揮します。

現在、フィッシングサイトなどのウェブブラウジングを通したサイバー攻撃には、ウイルス対策ソフトやURLフィルタリングなどで、攻撃が実際に発生した時点で対応することが一般的です。しかし、リモートブラウザ分離は攻撃される前に切り離し、ユーザーデバイスを危険にさらすのを防ぐため、サイバー攻撃の課題の根本的な解決につながります。機密情報を取り扱うビジネスシーンにおいて、リモートブラウザ分離は必要不可欠な技術といえるでしょう。

リモートブラウザ分離の仕組み

極めて重要度の高いリモートブラウザ分離ですが、そもそもどんな仕組みで実現されているのでしょうか。全体の流れとしては下記のようなイメージです。

1. ユーザがブラウザでウェブサイトにアクセスする
2. 企業内の専用サーバもしくはクラウドにて、ウェブページの読み込み・処理を実行
3. サーバ上で処理された結果のみ、画面には画像やストリームとして送信・表示
4. 各端末にはウェブコンテンツの実際のコードが送信されないため、コードに含まれている不正コードやマルウェアを回避

こうした仕組みによって、サイバー攻撃の根本的な解決につながっています。

リモートブラウザ分離（RBI）とZTNA・VDI・サンドボックスの違い

リモートブラウザ分離（RBI）にはいくつか混同されがちなITサービス・技術があります。ここからはZTNA・VDI・サンドボックスといったサービスとリモートブラウザ分離の違いに着目しつつ、ビジネスにおけるリモートブラウザ分離のセキュリティ技術の大切さを考えます。

ZTNA

ZTNA（Zero Trust Network Access）とは、「誰も信頼しないセキュリティ概念（ゼロトラスト）」を実行するためのアクセス制御モデルです。ユーザやデバイスに対して最小限のアクセス権を与えるのが基本方針で、リソース・アプリ単位でアクセス制御することで従来のVPN（境界型モデル）よりも強固なセキュリティ体制になります。

（参考）「ゼロトラストネットワークアクセス（ZTNA）とVPNの違いとは？ ―進む 脱VPN の背景、メリットも解説」

リモートブラウザ分離との関係性を考えると以下のようなイメージです。

ユーザ（≒従業員）の社内ネットワークへのアクセス制御に活躍するのがZTNAで、社内ネットワークからユーザが社外ネットワークへアクセスする際に不正コードなどを隔離するのがリモートブラウザ分離です。

ZTNAとリモートブラウザ分離を併用することで、様々なアクセスと社内外のネットワークを包括的に監視・制御できます。もし、これからゼロトラストなセキュリティ体制を構築するのであれば、リモートブラウザ分離の機能を備えたゼロトラストサービスの導入をおすすめします。

VDI

VDI（Virtual Desktop Infrastructure）はデスクトップ全体を分離対象として、その環境全体を仮想化して管理・保護するシステムです。VDI専用の基盤・ライセンスを使用して、リモートワーク時のセキュアな業務環境を構築できます。

リモートブラウザ分離が外部サイト閲覧時のブラウザのみに保護対象を絞っている一方で、VDIはリモート環境全体のセキュリティ体制を包括的に保護するイメージです。保護対象の範囲はVDIが優れているものの、導入・運用時の負荷（コスト）は高い場合が多いため、導入する際は自社にVDI規模のセキュリティ体制の構築が必要かどうか確認しましょう。リモートワーク環境をある程度保護しつつ、運用負荷をVDIよりも抑えたい時にはリモートブラウザ分離がおすすめです。

サンドボックス

サンドボックスとは疑わしいファイルやコードの動作分析のための技術です。ファイル・スクリプト・マルウェアの実行時に作動し、その安全性を確認します。リモートブラウザ分離がWebアクセス時の隔離を目的にしているのに対して、サンドボックスはファイル実行時の分析・検知を行うというのが主な違いです。機能や目的が重複しないため、双方導入することでセキュリティ体制を無駄なく向上できます。

リモートブラウザ分離（RBI）のメリット6選

これからセキュリティ対策を強化しようとする企業にとって、リモートブラウザ分離（RBI）を採用することで得られる主なメリットは次のとおりです。

1. あらゆる脅威を防御

リモートブラウザ分離は、ブラウザを使用する際に感染する可能性のあるWebベースの脅威からユーザを守ります。Webブラウジングをサンドボックス化し、危険なドメインからデータ、ユーザ、デバイス、およびネットワークを保護し、マルウェア、ランサムウェア、ゼロデイ攻撃、またはプラグインなどのブラウザの脆弱性、感染ファイルのダウンロード、悪意のあるウェブリンクや広告、フィッシングメールなどの脅威に対処します。

2. 安全なダウンロードを可能に

企業ネットワークへ不正アクセスするための最も一般的な方法の1つに、悪意のある攻撃者がマルウェアをダウンロードさせるドライブ・バイ・ダウンロード攻撃があります。リモートブラウザ分離は、これらの悪意のあるダウンロードやドライブ・バイ・ダウンロード攻撃からユーザを保護します。ファイルはリモートサーバにダウンロードされ、ユーザがアクセスする前にスキャンされます。また、セッションのたびに、取得したすべてのCookieとダウンロードデータが削除されます。

3. データ損失を防止

企業が貴重なビジネスデータを失う危険性は常に存在します。リモートブラウザ分離は、Webページ、プラグイン、ダウンロードしたコンテンツに隠された標的型攻撃を回避することで、データの破損や盗難を防止可能です。また、ブラウザに保存されたパスワード、同期されたデータや自動入力情報なども、セッション後に毎回そのデータを消去します。ファイルのダウンロードとアップロードを制御する機能もあり、ユーザの人為的ミスによる機密データの漏洩を防ぐことができます。

4. 悪質なスクリプトから保護

WebページとWebアプリケーションは、JavaScript、HTML、CSSで構成されます。悪質なJavaScriptの場合、ブラウザがページからJavaScriptを自動的に実行するため危険です。ブラウジングを分離することで、あらゆるアプリケーションやWebサイトからのソースコードをユーザから離れた場所で実行することが可能です。また、リスクの高いソースコードとは別に、リダイレクト攻撃、クロスサイトスクリプティング、クリックジャックのような脅威からも企業のブラウザを安全に保つことができます。

5. ゼロ・デイ・エクスプロイトから身を守る

ゼロデイ攻撃は、開発者が気付く前に、攻撃者がソフトウェアの脆弱性を悪用する方法を見つけてしまうことで起こります。攻撃者は、メール、添付ファイル、拡張機能など、あらゆる手段を通じて脆弱性を探します。この問題に単一のソリューションで対処できるわけではありませんが、リモートブラウザ分離によって悪意のあるコンテンツを排除することで、このリスクを大幅に軽減可能です。

6. シームレスで安全なWebアクセスを実現

信頼性の高いWebサイトでさえ、不正広告、意図していないリダイレクトや不正なスクリプトが含まれている可能性があります。ブラウザを分離することで、アクセシビリティを妨げることなく、これらの脅威からユーザを保護します。従来のブラウザとは異なり、ユーザが安全な環境にいるかどうかにかかわらず、仮想ブラウザからあらゆるWebサイトやサービスにアクセスすることができるため、ウイルス、マルウェアに感染するリスクがありません。

業界別で考える！リモートブラウザ分離の種類とユースケース

最後にリモートワークブラウザ分離（RBI）の種類とユースケースを紹介します。あらゆるユースケースが考えられるリモートブラウザ分離について「種類×業界」の観点でまとめていますので自社で導入する際の参考にしてみてください。

【教育機関・一般企業向け】スムーズな導入が可能なクラウド型RBI

クラウド型RBIは、リモート環境でWebサイトを分離・処理できるセキュリティ技術です。リモートブラウザ分離の種類の中でも最も主流とされています。教育機関はセキュリティガバナンスを効かせにくく、実際に教職員や生徒が所持しているプライベート端末から外部へのアクセスを一元管理できません。

このような場合に、端末からの外部アクセスを管理できるクラウド型RBIが役立ちます。各端末にソフトウェアを追加することなく、学内ネットワークに環境構築するだけで運用できるため導入障壁が低いのもメリットです。

（参考）学校・教育機関の情報漏えい対策に必須の「教育情報セキュリティポリシーに関するガイドライン」とは?

教育機関と同じく、ITガバナンスに苦労しているグローバル企業にもおすすめです。業界・規模問わず普遍的に活用しやすいのがクラウド型RBIといえるでしょう。

医療機関でもクラウド型RBIが使える

教育機関と同様に医療機関でもクラウド型RBIが活用できます。医療機関では電子カルテ・保険情報といった個人情報を多数抱えているため、近年では教育機関と並んでサイバー攻撃の標的になっています。

そこでクラウド型RBIを導入すれば、例えば、医師・看護師・その他のスタッフが偽装の学会メール経由でフィッシングサイトへアクセスしてしまう前に隔離可能です。また、事務スタッフや薬剤師が外部情報を調査する際でも活用できるでしょう。クラウド型のため導入障壁が低く、大規模な病院だけでなくクリニック・診療所でも手軽に導入・運用できるのも魅力です。

（参考）病院・医療機関は必読!「医療機関におけるサイバーセキュリティ対策チェックリスト」とは?

OT部門のある製造業でもクラウド型RBIは活用できる

近年、製造業ではITシステムとは切り離されているセキュリティ精度が脆弱なOT環境に対して、サイバー攻撃による不正アクセスが増加しています。DX化が進むことで、OTとITの連携が不可欠となる中、セキュリティ体制が依然として低いOT環境が狙われるのです。

OT部門を完全に切り離している場合はクラウド型RBIを導入しにくいですが、OT部門の中でも直接制御系機器にアクセスしないWeb業務がある場合には活用できるでしょう。クラウド環境がOT業務に悪影響を与えないようにルール化しておく事が必要になります。

（参考）工場システム・OTセキュリティ対策～工場システムにおける「経産省ガイドライン」要点まとめ！実現のための3ステップとは？

【研究機関・公的機関向け】閉域運用可能なオンプレミス型RBI

オンプレミス型RBIは、社内データセンターやサーバ内に直接構築します。データが社内にとどまり、ネットワークに密接に統合できるのが最大のメリットです。研究機関や公的機関などデータの機密性が高い組織や、通信の低遅延が求められる職場で活躍します。

例えば、法律や政策資料などの重要な行政情報へのアクセス時に、端末にリスクを持ち込ませないために活用できます。一方で運用コストや導入障壁が高いため、中小企業にはあまり向いていません。

【大学・専門学校向け】運用しやすいハイブリッド型RBI

ハイブリッド型RBIはクラウド型とオンプレミス型のメリットを集約したタイプです。機密性の高い情報を持つ場合と、その情報に利便性を高めつつ、安全にアクセスするというニーズを同時に実現する事ができます。

例えば、学内に機密性の高い研究データや内部システムを抱えている大学・専門学校ではハイブリッド型RBIが活用できます。これらの情報へのアクセスはオンプレに集約すると良いでしょう。その一方で、学生が気軽に学外サイト閲覧などする際は、クラウド型の柔軟さが役立ちます。

RBI機能付きゼロトラストソリューション・Safous

インターネットへのアクセスが必要な複数のビジネスプロセスにおいて、Webが不可欠であることは否定できません。サイバー脅威やデータ侵害が増加していることを踏まえると、企業は悪意のある攻撃者による混乱を防ぎ、常に必要なセキュリティ基準を満たしている必要があるのです。

サイバー攻撃がますます巧妙化する中、企業は自社のセキュリティシステムを強化するために、リモートブラウザ分離（仮想ブラウザによるWeb分離）をサポートする信頼性の高いソリューションを導入する必要性が高まっています。上記でご紹介したリモートアクセス分離はゼロトラストセキュリティの考え方をベースに、非常に拡張性が高く未知のサイバー脅威にも対処することができます。

IIJでは、よりセキュアな環境を求めるお客様向けに、リモートブラウザ分離コンポーネントを備えたセキュリティサービスIIJ Safousを提供しています。ソフトウェアにすることで導入・運用しやすく、業種・業界を問わず活用いただいているサービスです。詳細を知りたい方は下記リンクからお気軽に無料のデモにお申し込みください。

無料デモのお申し込み

Safous公式ウェブサイト

関連リンク

• ゼロトラストネットワークアクセス（ZTNA）とは？背景やゼロトラストを実現する機能を解説
• ゼロトラストネットワークアクセス（ZTNA）とVPNの違いとは？ 進む脱VPNの背景やメリットも解説