この買収により、フィッシング、データ漏えい、AIリスクから保護するためのブラウザ制御がZscalerのZero Trust Exchangeに追加される。
クラウドセキュリティ企業のZscalerは、シンガポール拠点のブラウザ検知・対応(BDR)技術スタートアップであるSquareXの買収を発表した。この取引により、Zscalerは管理対象・非管理対象デバイスの双方にわたり、標準的なWebブラウザへ直接、Zero Trust Exchangeの機能を拡張できるようになる。
同社はZscaler Private Access(ZPA)により、軽量エージェントを用いて企業のゼロトラストアーキテクチャ採用を支援してきた。SquareXの買収により、軽量な拡張機能を通じて一般的に利用されるブラウザ内で直接セキュリティを提供するZscalerの能力がさらに強化され、別途エンタープライズブラウザを必要としなくなる見込みだ。
この買収は、ユーザーの既存ワークフローにそのまま組み込む形で、姿勢(ポスチャー)に近いセキュリティと高度なスピアフィッシングおよびIDベースの攻撃に対する保護を実現するのに役立つと、ZscalerのCEO、会長、創業者であるジェイ・チャウドリー氏はLinkedIn投稿で述べた。
ブラウザ:攻撃の新たな最前線
従来は単なるインターネットへの入口として扱われてきたWebブラウザは、SaaSアプリケーションやクラウドサービス、そして生成AIツールの利用増加により、いまや企業活動の中心となっている。従業員がブラウザセッションを通じて機密データをアップロード、コピー、共有するようになるにつれ、この依存の高まりはセキュリティリスクの新たな経路も開いてしまった。
「多くのセキュリティスタックは、アプリケーション、エンドポイント、またはネットワークのいずれかを保護します。残念ながらブラウザは、その間にある盲点です。従来の対処法もありますが、リスクが大きすぎたり、制約が強すぎるアプローチになりがちです」と、Primus Partnersの共同創業者兼MDであるDevroop Dhar氏は述べた。
SquareXは、軽量な拡張機能ベースのアプローチにより、あらゆるデバイス上のあらゆるブラウザを、よりセキュアなエンタープライズブラウザのように機能させることを可能にする。「この拡張機能は一種のランタイム強制エージェントとなり、ブラウザベースのDLP、動的コンテンツ分離、ユーザー行動のリアルタイム監視、リスクレベルやセッションコンテキストに応じた的を絞ったセキュリティ強制といった、セッション固有の制御を提供します」と、Greyhound ResearchのCEO兼チーフアナリストであるSanchit Vir Gogia氏は述べた。
またSquareXのアプローチは、機密データが公開AIツールに貼り付けられるのをブロックし、不審なプロンプトにフラグを立てたり、ユーザーの役割やデータの機密性に基づいてやり取りを制限したりする、とDhar氏は述べた。これは非常に重要だ。なぜならAIの誤用は悪意によるものより、偶発的なものがほとんどだからである。ブラウザネイティブのセキュリティは、ミスがインシデントになる前に防ぐのにより適している。
SquareXの拡張機能ベースのセキュリティは、Chrome、Edge、Firefox、Safariを含む、最も一般的に使用されるWebブラウザの多くと統合できるため、企業が別の専用セキュリティツールを展開・管理することなく、従業員は好みのブラウザを使い続けられる。
顧客にとってWin-Winか?
Zscalerは、ブラウザのランタイム挙動が同社のゼロトラストセキュリティにおける欠けていたピースであることを認めており、ポートフォリオにSquareXのソリューションを加えることでそのギャップを埋めるのに役立つと、Gogia氏は指摘した。
Zscalerの顧客にとって、この買収は、ブラウザセキュリティがもはや後回しや別個に評価すべきツールではなく、プラットフォームのネイティブな一部になることを意味する。
「特に外部ユーザーに対して、VPNやVDIのようなレガシーなアクセス手法への依存を減らします。また、ネットワークアクセス、アプリ利用、そして今やブラウザ挙動にまで、ポリシー強制を統合する能力をZscalerに与えます。Zscalerの顧客は、これまで見えなかったクリップボード操作、拡張機能の挙動、AIプロンプト送信といった活動に対して、セッション内制御を適用できるようになります。さらに、セッション分離、ファイルダウンロード検査、ブラウザ経由の最小権限アプリアクセスといった選択肢も得られます」とGogia氏は付け加えた。
一方、SquareXの顧客にとっては、スケールと統合を意味する。SquareXの創業者兼CEOであるVivek Ramachandran氏は、ブログ投稿で、顧客の導入と投資は保護され、時間の経過とともにZscalerサービスとのより緊密な統合、分析の拡充、管理対象・非管理対象デバイス全体にわたるより堅牢なリスクベースの制御の恩恵を受けると確認した。
いずれの場合も、顧客はアクセス、挙動、強制の各アプローチ間の整合性が改善される恩恵を受けると、Dhar氏は述べた。
ブラウザセキュリティへの異なる道筋
近ごろ、主要なサイバーセキュリティ企業は、専門的なブラウザセキュリティ企業への投資や買収を通じて製品ポートフォリオを強化している。これは、ブラウザネイティブのセキュリティを任意ではなく戦略的なものとして捉えるようになったことを示している。例えば今年1月、CrowdStrikeは、ブラウザのランタイムセキュリティ企業であるイスラエル拠点のSeraphic Securityを買収し、Falconプラットフォームに統合する計画だ。
CISOにとっての懸念は、ブラウザのセキュリティそのものから、ブラウザのセキュリティをどこに配置すべきかへと移っている。Dhar氏は、ZscalerがSquareXで進める動きの場合、戦略はブラウザ制御をZscalerのゼロトラストにおけるアクセスコンポーネントと統合することだと説明した。これはアクセスを付与することを超えたセキュリティである。しかし、Seraphicを伴うCrowdStrikeの買収の場合、EDRソリューションの可視性をブラウザまで拡張するため、戦略はエンドポイントセキュリティの枠内に入る。
