SaaSとクラウドネイティブな作業が企業を再構築する中、ウェブブラウザは新しいエンドポイントとして浮上しています。しかし、エンドポイントとは異なり、ブラウザはほとんど監視されておらず、現代のマルウェア攻撃の70%以上を担っています。
Keep Awareの最近のブラウザセキュリティの現状レポートは、従業員がウェブブラウザを使用して作業する際にセキュリティリーダーが直面する主要な懸念を強調しています。現実には、従来のセキュリティツールはブラウザ内で何が起こっているかを見逃しており、攻撃者はそれを知っています。
主な発見:#
- 70%のフィッシングキャンペーンがユーザーの信頼を悪用するためにMicrosoft、OneDrive、またはOffice 365を模倣しています。
- 150以上の信頼されたプラットフォーム(Google DocsやDropboxなど)がフィッシングのホスティングやデータの流出に悪用されています。
- 10%のAIプロンプトが機密性の高いビジネスコンテンツを含み、数千のブラウザベースのAIツールにリスクをもたらしています。
- 34%のファイルアップロードが会社のデバイスから個人アカウントに行われており、多くの場合検出されていません。
新しい攻撃パターンが従来の防御を回避#
リアルタイムで変化するフィッシングキットからJavaScriptベースの資格情報窃盗まで、攻撃者はファイアウォール、SWG、さらにはEDRをも回避しています。以下がその方法です:
ブラウザ内でのマルウェア再構成#
脅威は断片として配信され、ブラウザ内で組み立てられたときにのみ活性化されるため、ネットワークやエンドポイントツールには見えません。
マルチステップフィッシング#
フィッシングページは、閲覧者に応じて異なるコンテンツを動的に提供します。ユーザーには詐欺が見え、スキャナーには何も見えません。Microsoftは最も模倣されるターゲットです。
信頼されたプラットフォームを利用#
攻撃者は評判の良いSaaSプラットフォームのURLの背後に隠れます。セキュリティツールはこれをデフォルトで許可し、攻撃者に明確な侵入経路を与えています。
セキュリティスタックは、実際に脅威が発生する場所、つまりブラウザ内で検出、分析、対応するよう進化しなければなりません。SWGやネットワークセキュリティツールのような周辺防御にのみ依存することはもはや十分ではありません。
AI: 次の大きな(監視されていない)セキュリティリスク#
75%の従業員が生成AIを使用している中、多くの企業はChatGPTのようなモデルにどのようなデータが貼り付けられているのか、またはサードパーティのブラウザ拡張機能がバックグラウンドで何をしているのかを把握していません。従来のアプリとは異なり、AIツールには明確なセキュリティ境界がありません。
ITおよびセキュリティチームは、AIの採用に対して反応的に対応することが多く、積極的に管理することは少ないです。従来のポリシーベースのアプローチは、AIの採用に苦労しています。なぜなら:
- AIアプリケーションは急速に作成されており、静的な許可/拒否リストは効果的ではありません。
- 従業員は個人と企業のAI使用を頻繁に切り替え、施行がさらに曖昧になります。
- 多くのAIモデルは他のプラットフォーム内に埋め込まれており、検出と制御がさらに困難です。
これにより、セキュリティチームが明確な使用境界を持たない環境でポリシーを定義し、施行するという課題に直面する不一致なガバナンスが生じます。
AI規制が厳しくなるにつれ、AIの採用に対する可視性と制御は必須となり、もはや選択肢ではありません。組織は使用状況を追跡し、リスクを検出し、コンプライアンスの圧力が高まる前に機密データの露出を警告する必要があります。今日の積極的な監視は、明日のAIガバナンスの基盤を築きます。
DLPはブラウザに追いつけない#
従来のデータ損失防止システムは、メールやエンドポイント向けに設計されており、今日のブラウザ重視のワークフローには対応していません。ブラウザはデータ移動の主要なチャネルとなっていますが、従来のDLPソリューションはネットワークトラフィックが送信される場所しか見えず、データを処理する実際のアプリケーションは見えません。
現代のデータ流出リスクには以下が含まれます:
- ブラウザベースのツールにAPIキーを貼り付ける
- 個人のGoogleドライブにドキュメントをアップロードする
- 顧客データをAIアシスタントにコピー&ペーストする
善意の従業員でさえ、仕事と個人のアカウントを切り替える際に意図せずIPを漏洩する可能性があり、これは従来のツールでは検出できません。
これまで以上に多くのデータがブラウザを通じて移動しているため、DLPはアプリケーションのコンテキスト、ユーザーの行動、ビジネスの意図を認識するよう進化しなければなりません。統一されたブラウザベースのDLPモデルは、セキュリティチームにすべての宛先で一貫したデータ保護ポリシーを適用し、高リスクの行動に対する制御を施行する能力を与えます。
誰も見ていない拡張機能の問題#
技術的な進化がほとんどないにもかかわらず、ブラウザ拡張機能は今や組織の機密データやユーザーのアイデンティティに前例のないアクセスを持っています。セキュリティチームがソフトウェアの更新、パッチ、エンドポイントセキュリティポリシーを厳格に管理している一方で、拡張機能は従来のセキュリティフレームワークで見落とされがちな攻撃面として残っています。Keep Awareチームがユーザーデータの調査中に発見したこと:
- 46%の拡張機能が生産性のユースケースを提供しています。
- 20%がショッピングやソーシャルプラグインのようなライフスタイルカテゴリに属しています。
- 10%が過剰な権限のため、高または重大なリスクとして分類されています。
フルページアクセス、セッショントラッキング、ネットワークインターセプションを可能にする権限は、信頼されたマーケットプレイスからダウンロードされた拡張機能でも依然として非常に一般的です。
拡張機能が生産性ツールとセキュリティの責任の両方として機能し続ける中、企業はブラウザを内側から保護するために、より強力なレビュープロセス、可視性制御、積極的な防御を実施しなければなりません。
シャドーITはブラウザに存在する#
シャドーITはもはや非承認アプリケーションの偶発的な使用だけではなく、企業のセキュリティにとって大きな課題となっています。従業員は定期的にSaaSアプリケーション、個人のファイル共有サービス、サードパーティのAIツールをITの監視なしに採用し、しばしば実際のビジネスデータを日常業務に統合しています。
異なる職務の従業員が同じアプリケーションの複数の組織インスタンスと定期的にやり取りし、セキュリティの影響を認識していないことが多いです。
- マーケティング&クリエイティブチーム: マーケティングチームのメンバーが誤ってパートナーのGoogleドライブに資産をアップロードし、意図しないデータ露出を引き起こす可能性があります。
- コンサルタント&クライアント対応の役割: 複数のクライアントと仕事をするコンサルタントが、クライアント固有のSharePointサイトにアクセスし、異なる組織間で機密データが共有されることでセキュリティギャップを無意識に作り出す可能性があります。
- プロフェッショナルサービス&外部コラボレーション: 法律や会計のような外部コラボレーションに大きく依存する業界では、従業員が15以上の異なるSharePointインスタンスで作業することが頻繁にあり、データ移動の監視に大きな課題をもたらします。
このシャドーITの爆発は、特に製品主導の成長プラットフォームが調達プロセスを完全に回避する中で、巨大なセキュリティギャップを生み出します。
アプリケーションを企業用または消費者用として分類する代わりに、セキュリティチームは従業員のやり取りの意図、ツールが使用されるアカウントコンテキスト、SaaS活動に関連するリアルタイムリスクを評価しなければなりません。これは、静的なポリシーを超えて動的なリスク評価、コンテキストに応じたアクセス制御、継続的な監視を受け入れることを意味します。ブラウザは最も重要な可視性のポイントとなり、ログイン、アカウント切り替え、MFAステータス、同意ベースのアクセス要求、組織境界を越えたデータ移動を明らかにします。
進むべき道: ブラウザネイティブの可視性と制御#
Keep Awareのレポートは、セキュリティがブラウザ内に移行しなければならないことを証明する包括的な洞察とデータポイントを提供します。フィッシングキャンペーンが進化し、マルウェアの再構成がより洗練され、AIの使用が急増し、ブラウザ拡張機能が未チェックのままである中、適応しない組織は脆弱なままです。
セキュリティチームは、ブラウザセキュリティを企業のセキュリティスタックに統合し、リアルタイムの可視性を獲得し、ブラウザネイティブの脅威を検出し、従業員が働く場所を保護する必要があります。
ブラウザベースの脅威から組織を保護する方法について詳しく知りたい方は、パーソナライズされたデモをリクエストしてください。