Zscalerは、Pentester Academyの元CEOが率いるブラウザセキュリティのスタートアップを買収し、組織にデバイスのポスチャチェックとデータ損失防止(DLP)のマスキング(リダクション)機能を提供する。
カリフォルニア州サンノゼに本拠を置くクラウドセキュリティ大手は、シリコンバレー拠点のSquareXの買収により、エージェントのインストールや独立したフル機能のエンタープライズブラウザの展開という運用負荷なしに、顧客はより強力なブラウザベースのセキュリティ機能を得られると、CEOのジェイ・チャウドリー氏は述べた。SquareXは、セキュリティポリシーとその適用をエンドポイントに分散させるのではなく、クラウドで一元管理できるようにする。
「顧客は『標準ブラウザでポスチャチェックのような機能をいくつか提供してくれれば、生活は素晴らしくなる』と言い始めました」とチャウドリー氏はInformation Security Media Groupに語った。「そして、まさにそれを実現していたSquareXを見つけました。要するに、彼らはブラウザ向けのハイパーオブジェクトを構築したのです。これはブラウザ内の拡張機能で、ブラウザに機能を追加できるようにします。」
2023年に設立されたSquareXは従業員80人を擁し、これまでに2,600万ドルを調達している。直近では2025年4月に、SYN Ventures主導で2,000万ドルのシリーズA資金調達を完了した。同社は創業以来、Vivek Ramachandran氏が率いており、同氏はサブスクリプション型のサイバーセキュリティ研修プラットフォームPentester Academyの創業者兼CEOとして約7年間在任した後、同社が2021年10月にINEに買収されるまで同職を務めた(参照: 現代のセキュリティにおけるセキュアWebゲートウェイの不十分さ)。
顧客がエージェントやエンタープライズブラウザを望まない理由
Zscalerの顧客は、標準ブラウザを使い続けながら、より強力なブラウザレベルのセキュリティ制御を求めていると一貫して伝えてきた一方で、エージェントのインストールや、完全に別のエンタープライズブラウザの採用には、顧客の抵抗が強まっているとチャウドリー氏は述べた。SquareXは、これらの機能を提供しつつZscalerとの互換性も保つ軽量なブラウザ拡張技術を構築していた点で際立っていた。
「顧客は『サードパーティ製のブラウザが出てきていて、特定のアプリケーションにアクセスできる』と言い始めました」とチャウドリー氏は述べた。「そこで私たちは『それならZscaler Private Accessでは標準ブラウザで今日でもできます』と言いました。すると彼らは『それはそうだが、エージェントは入れたくない。デバイスのポスチャチェックはしたい。DLPもやって、降りてくるものの一部をマスキングしたい』と言ったのです。」
エンドポイントの複雑さは、多くの組織にとってもはや受け入れられないものになっているとチャウドリー氏は述べた。エージェントはインストール、更新、トラブルシューティング、そして誰が所有するかの判断が必要になる。また、独立したエンタープライズブラウザは、他の主要アプリケーションと同様に展開・サポート・保守が必要であり、今日のブラウザは巨大なコードベースと継続的な脆弱性開示を抱えるOSのような存在になっている。
「これらのChromiumブラウザには脆弱性が山ほどあります」とチャウドリー氏は述べた。「調べて『Googleは毎日どれだけのブラウザ脆弱性を修正しているのか』と見れば、かなりの数です。ではなぜ数が多いのか。ブラウザのコード自体が、私の理解では10億行規模なのです。OSのように巨大化しています。コードが大きいほど、脆弱性を抱える可能性は高くなります。」
エージェントは深い可視性と制御を提供する一方で、管理の複雑さ、アップグレードの難しさ、そして特にサードパーティを扱う際の信頼上の懸念を持ち込むとチャウドリー氏は述べた。SquareXのブラウザ拡張ベースのアプローチは展開が容易で管理も簡単であり、デバイスのポスチャといった有意義なセキュリティシグナルを提供しつつ、アクセス付与の摩擦を大幅に低減すると同氏は述べた。
「問題は、アプリケーションをインターネットに公開しなければならないことです」とチャウドリー氏は述べた。「それは攻撃対象領域を持つことを意味します。彼らが得る利点は、デバイスのポスチャを取得でき、データのマスキングができることですが、これはエンドポイントデバイス側で行っています。ポリシーはローカルで、適用もエンドポイント上でローカルです。私たちは、ポリシー適用がすべてのエンドポイントで行われることを望んでいません。エンドポイントは非常に軽量であってほしいのです。」
SquareXが機密情報のマスキングにどう役立つか
歴史的に、組織はサードパーティやBYODのアクセスを支えるためにVPNやVDIに依存してきたが、VPNは攻撃対象領域を拡大しデバイスを暗黙に信頼してしまう一方、VDIは高コストで遅く、ユーザーから広く嫌われていると同氏は述べた。ZPAはネットワークを露出させずにアプリケーション単位のアクセスを提供したが、それでもクライアントは接続してくるデバイスのセキュリティポスチャに関する保証と、機密データの扱い方に対する制御を求めていた。
「私たちは、既存のソリューションを、こうした重要な機能をいくつか追加することで本質的に強化しています。1つはサイバー向け、もう1つはDLP向けです」とチャウドリー氏は述べた。「このシンプルな機能を追加することで、顧客は満足すると考えています。そして、誰かが展開しなければならない独立したブラウザをもう1つ用意する必要はない、と感じるようになるでしょう。」
外部関係者との協業が増えるにつれ、組織は共有を全面的にブロックするのではなく、機密データを選択的に削除して文書を共有できる能力を求めているとチャウドリー氏は述べた。文書の共有を防ぐ代わりに、財務数値、個人データ、独自指標などの機密要素だけを選択的に取り除き、残りの内容は流通させることができる。
「文書全体が外に出るのを止めるのではなく、『ここに2つの機密情報がある。特定の金額、数値、指標、売上はマスキングして、残りの情報は共有できる』と言うかもしれません」とチャウドリー氏は述べた。「つまり、現実的なユースケースになってきており、この機能は、私たちがすでに中央レベルで運用しているDLPポリシーから提供されるものです。」
チャウドリー氏によれば、Zscalerは数年前にIslandやTalonなどの企業を評価したが、サードパーティの更新サイクルに依存したり、脆弱性修正でGoogleと間接的に競合したりしたくなかったため、最終的に買収は見送ったという。また、CrowdStrikeによるSeraphicの買収は、アクセスの実現やゼロトラストの適用よりも、検知と可視性により重点を置いていると同氏は述べた(参照: Seraphic買収でCrowdStrikeはAIブラウザ脅威に備える)。
「Googleがそれに追いつくためにどれほど多くの時間を費やしているか想像してください」とチャウドリー氏は述べた。「Googleがこれらのサードパーティを助けに行って、『この脆弱性を見つけた。明日修正してあなたに提供したい』と言うでしょうか。そうはならないでしょう。実際、彼らはGoogleと競合しています。したがって、その観点から、こうしたブラウザの脆弱性修正に追いつけないようなビジネスには入りたくなかったのです。」
翻訳元: https://www.databreachtoday.com/zscaler-purchases-squarex-to-secure-browsers-without-agents-a-30708
