ニューヨーク市で開催されたGoogleの「There’s No Place Like Chrome」イベントにて、Dark ReadingのTerry SweeneyがGoogle Cloud SecurityのJason Kemmererと対談し、進化するブラウザーセキュリティの現状やChrome Enterprise Premiumの機能について語りました。Kammererは、ここ数年で従来の職場の境界線が消失し、組織が「ブラウザーへのシフト」を進めることで、どこからでもどのデバイスからでも仕事ができるようになったと説明しています。Kammererは、VPNやファイアウォールなど従来のソリューションは通常、企業ネットワークや企業デバイスでしか機能せず、BYOD(私物端末の業務利用)シナリオではセキュリティのギャップが生じるため、ブラウザーベースのセキュリティがその課題を解決できると指摘しています。
対談では、Chromeのセキュリティ機能や、Googleが先駆けたゼロトラストセキュリティ原則をブラウザーがどのようにサポートしているかについて、3つの柱を中心に掘り下げています。それは、本人確認、デバイスの状態評価、そしてユーザーセッション中の継続的な検証です。インタビューでは、Chrome Enterprise PremiumがChromeプロファイルを通じてきめ細かなセキュリティポリシーを実装しつつ、シームレスなユーザー体験を維持できることを強調しており、現代のハイブリッドワーク環境を守るために不可欠な要素であると述べています。
この書き起こしは分かりやすさのために編集されています。
Terry Sweeney(Dark Reading寄稿編集者):Dark Readingニュースデスクへようこそ。Dark ReadingのTerry Sweeneyです。今回はニューヨーク市で開催されているGoogleの「There’s No Place Like Chrome」イベントからお届けします。Google Cloud SecurityのJason Kemmererさんにお越しいただきました。Jasonさん、Dark Readingニュースデスクへようこそ。
Jason Kemmerer(Google Cloud Security):はい、お招きいただきありがとうございます。
Sweeney:もちろん、今回はセキュリティについてお話しします。まずは現状について教えてください。現在のブラウザーの脅威の状況はどのようになっていますか?また、なぜ今、企業はこれまで以上にブラウザーのセキュリティを優先すべきなのでしょうか?
Kemmerer:ここ数年でブラウザーの状況は大きく変わりました。まず最初に言いたいのは、毎日のように多くのお客様や組織が「ブラウザーへのシフト」を進めているということです。主な理由は、在宅勤務やハイブリッドワークを実現したいからです。コロナ以前に存在していた職場の境界線は、完全に変わってしまいました。
つまり、世界中のどこからでも、どのデバイスからでもビジネスを可能にしたいというニーズが高まっています。その最も簡単な方法がブラウザーです。ご指摘の通り、私たちは高度なフィッシング、脅威、マルウェア対策、さらにはデータ損失防止などに取り組んでいます。データの流出シナリオや、ゼロトラストの観点からも、世界中のどこからでもアプリケーションにアクセスできるようにすることが求められています。
Sweeney:企業向けのブラウザーセキュリティについて、よくある誤解にはどのようなものがありますか?
Kemmerer:そうですね。よくある誤解としては、クライアントVPN、ファイアウォール、TLS、EDRソリューションなどがあります。しかし、これらのソリューションは通常、企業ネットワーク内や企業デバイス上でしか利用できません。先ほど述べたBYOD(私物端末の業務利用)の話に戻りますが、個人デバイスにはこれらを導入できません。新しく入社した社員や個人デバイスを使う従業員が、これらの製品やソリューションをインストールすることはまずありませんよね?
では、どうやって彼らを守るのか。それは、すでに使い慣れているブラウザーを活用することから始められます。
Sweeney:ChromeがITやセキュリティチームに提供するテレメトリーやインサイトについて、リスク監視の観点から少し教えてください。
Kemmerer:はい、もちろんです。Chromeはおそらく世界で最もインストールされているソフトウェアです。実際、50億台のデバイスにインストールされています。これがSafe Browsing全体を活用する理由です。Safe Browsingは多くのお客様が利用している技術で、デフォルトで有効になっていますし、完全に無料です。Googleのサービスです。
私たちはこれを世界中に提供しています。これにより、ウェブスクレイピングを通じて、脅威やフィッシング、マルウェア対策などを最初から実現しています。さらに、Chrome Enterprise Premiumでは、高度なマルウェアサンドボックスやデータ損失防止機能も追加しています。アップロード、ダウンロード、貼り付け、マスキングや画面キャプチャなど、ユーザーのあらゆる操作をChromeのログイベントとして保存できます(ライセンスがあれば)。
そして、それらをセキュリティ情報イベント管理システム(SIEM)などにエクスポートできます。これにより、プロアクティブな脅威ハンティングや、さまざまな従業員ベースでの相関分析が可能になります。
Sweeney:つまり、ポリシーの更新や利用状況の変更は、エンドユーザーにとって完全に透明ということですね。
Kemmerer:はい、まさにその通りです。すべてはChromeプロファイルから始まります。画面右上に「仕事用」などと表示され、アイコンも設定できます。テーマも追加できますが、企業管理の拡張機能やアプリケーション、ウェブサイト、アクセス可能・不可のサイト、さらにはデバイスの状態管理も大きな役割を果たします。たとえば、企業ネットワーク内や企業デバイスからでなければ、Salesforceなどの顧客管理システムにアクセスできないように保証できます。
BYODの場合はアクセスできません。
Sweeney:ゼロトラストは、CISOやセキュリティ担当者、取締役会にとって信条となっています。Chromeが組織のゼロトラストセキュリティ環境をどのようにサポートしているかについて教えてください。
Kemmerer:はい、その通りです。実際、Googleの歴史を振り返ると、ゼロトラストは私たちから始まりました。例を挙げると、ゼロトラスト戦略には3つの柱があります。ゼロトラスト自体の意味は「決して信頼せず、常に検証する」です。まず最初に、ユーザーが誰であるかを理解する必要があります。
すべてはアイデンティティから始まります。2つ目はデバイスの状態です。利用しているデバイスがどれだけ安全かという点です。BYODの場合、当然ながら管理が緩くなりますので、データ保護をより厳格にする必要があります。逆に企業デバイスの場合は、他のエージェントやシステムがあるため、ローカルマシンへのダウンロードなども許可できます。
全体的なセキュリティポスチャーを維持するために、これらを組み合わせて継続的に検証しています。つまり、サイトやアプリケーションにアクセスしたときだけでなく、そのアプリケーション内にいる間も常に検証を行います。たとえば、スターバックスで作業していて1時間後にオフィスに戻った場合でも、その状況に応じて制限を強化したり緩和したりできます。これがゼロトラストのコンセプトです。
Sweeney:エンタープライズ向けブラウザーの導入には多くのメリットがありますね。Jasonさん、本日はニュースデスクへのご出演ありがとうございました。
Kemmerer:はい、ありがとうございました。
Sweeney:今回はGoogle Cloud SecurityのJason Kemmererさんにお話を伺いました。Dark ReadingのTerry Sweeneyがお届けしました。ニュースデスクのこのセグメントにご参加いただきありがとうございました。また次回お会いしましょう。