リモートブラウザ分離 りもーとぶらうざぶんり
RBIゼロトラストマルウェア対策WebセキュリティサンドボックスSASE
リモートブラウザ分離について教えて
リモートブラウザ分離とは
リモートブラウザ分離(Remote Browser Isolation、RBI) とは、Webブラウザの実行環境をユーザーのデバイスから切り離し、クラウドや専用サーバー上で動作させるセキュリティ技術です。ユーザーのPCにはWebページの「描画結果」だけが安全な形式で転送されるため、悪意あるスクリプトやマルウェアが端末に到達することを根本から防ぎます。
企業のセキュリティ事故の多くは「怪しいWebサイトを開いてしまった」ことがきっかけです。従来のウイルス対策ソフトは「既知の脅威」を検知しますが、ゼロデイ攻撃(まだ知られていない新種の攻撃)には対応しきれないケースがありました。RBIは「何が来ても端末には届けない」という発想で、脅威の性質を問わずに防御できる点が大きな強みです。
ゼロトラスト(何も信頼しないことを前提にセキュリティを設計する考え方)の文脈でも注目されており、SASE(Secure Access Service Edge) や SWG(Secure Web Gateway) と組み合わせて導入されるケースが増えています。
RBIの仕組みと方式
RBIには大きく3つの実装方式があります。どれも「ブラウザをリモートで動かす」点は共通ですが、端末への届け方が異なります。
| 方式 | 仕組み | 帯域への影響 | 主な用途 |
|---|---|---|---|
| ピクセルストリーミング | 画面を動画・画像として転送 | 大きい | 高いセキュリティが必要な場面 |
| DOM再構築(リライト) | HTMLを無害化して再構築し転送 | 小さい | 一般業務・大規模展開 |
| ネットワーク分離 | 社内ネットワークと外部を完全分離し専用端末で閲覧 | 端末分だけ | 機密性の高い組織(官公庁など) |
「遠隔ロボット」で覚える
爆発物処理班が危険物を遠隔ロボットで扱い、作業員は安全な場所でモニターを見ているのと同じ構造です。RBIでは「クラウド上のブラウザ=ロボット」「ユーザーの画面=モニター」と対応します。
保護できる脅威の範囲
- ✅ ドライブバイダウンロード(サイト閲覧だけで感染するマルウェア)
- ✅ ゼロデイ攻撃(未知の脆弱性を狙った攻撃)
- ✅ フィッシングページ経由のクレデンシャル窃取
- ✅ 悪意あるJavaScript・広告(マルバタイジング)
- ⚠️ ユーザー自身が騙されて情報を入力するソーシャルエンジニアリングは別途対策が必要
歴史と背景
- 2000年代初頭:企業でインターネット利用が本格化。Webブラウザ経由のマルウェア感染が急増し始める
- 2010年代前半:サンドボックス型セキュリティが普及。ファイルを隔離環境で実行して安全確認する手法が主流に
- 2013年頃:クラウドインフラの低コスト化を背景にRBIの商用製品が登場。Ericom(現Cradlepoint)などが先行
- 2017年:Gartnerがエンドポイント保護の有望技術としてRBIを取り上げ、注目度が急上昇
- 2020年〜:コロナ禍でリモートワークが加速。VPN経由のWebアクセスが増え、端末を信頼しないゼロトラスト設計の一部としてRBIが再評価される
- 2022年〜現在:CrowdStrike・Zscaler・Cloudflareなど大手ベンダーがSASEソリューションにRBI機能を統合。単独製品からプラットフォーム機能へと進化
RBIと関連技術の比較
RBIは単独で使うよりも、他のセキュリティ技術と組み合わせることで効果を発揮します。
RBI・SWG・サンドボックスの違い
| 技術 | 主な役割 | 脅威への対応タイミング | 端末への影響 |
|---|---|---|---|
| RBI | ブラウザ実行をクラウドに隔離 | 実行前に分離(予防) | ほぼゼロ |
| SWG(Secure Web Gateway) | URLフィルタ・通信検査 | 通信時に検知・遮断 | 軽微 |
| サンドボックス | 怪しいファイルを隔離環境で実行 | 実行後に判定(事後) | ファイルは一時的に存在 |
| EPP/EDR | エンドポイントでマルウェア検知 | 感染後に検知・対応 | 端末上で動作 |
導入時の実務ポイント
ビジネスの現場でRBIを検討・導入する際に押さえておきたいことをまとめます。
発注・選定時のチェックリスト
- 方式の確認:ピクセルストリーミング型かDOM再構築型か。業務用Webアプリの動作検証を必ずすること
- 既存ツールとの統合:SWGやZTNA(ゼロトラストネットワークアクセス)とAPI連携できるか
- ユーザー体験:動画・音声の再生、コピー&ペーストの制御ポリシーを確認
- スケーラビリティ:クラウド型かオンプレ型か。同時接続ユーザー数の上限
- ログ・監査:誰がどのサイトにいつアクセスしたか記録できるか
主なベンダー例
| ベンダー | 提供形態 |
|---|---|
| Cloudflare Browser Isolation | SASE統合型(クラウド) |
| Zscaler Cloud Browser Isolation | SASE統合型(クラウド) |
| Ericom Shield | 専用製品/クラウド |
| Menlo Security | クラウド型(DOM再構築方式) |
関連用語
- ゼロトラスト — 「何も信頼しない」を前提にしたセキュリティ設計思想
- SASE — ネットワークとセキュリティをクラウドで統合するアーキテクチャ
- SWG(Secure Web Gateway) — Webトラフィックを検査・フィルタリングするゲートウェイ
- ZTNA(ゼロトラストネットワークアクセス) — アプリケーションへのアクセスを最小権限で制御する仕組み
- サンドボックス — 怪しいファイルやプログラムを隔離して安全に実行する技術
- マルウェア — 悪意を持って作られたソフトウェアの総称
- ゼロデイ攻撃 — 未公開の脆弱性を狙った攻撃手法
- DLP(情報漏洩防止) — 機密データが外部に流出しないよう監視・制御する技術