RBI:一歩進んだセキュリティテクノロジーの実現

金曜日の夜にレンタルビデオを借りに行き、映画を鑑賞していたことを覚えているセキュリティの専門家や技術者は、インターネットが驚きと期待に満ちた新しいものであった時代を覚えていることでしょう。しかし、今では、インターネットはマルウェアの巣窟であり、大きなリスクを抱えていることに懐疑的な見方をしているのではないでしょうか。また、インターネットという地雷原から完全に保護できるWebセキュリティ・ソリューションはないということも、広く理解されています。しかし、「完璧なWebセキュリティ」の称号を手に入れようとしている新しい技術が、その地雷原から完全に保護しようと挑んでいるのです。この神がかりな技術は、RBIRemote Browser Isolation)と呼ばれ、実際にWebベースの脅威に対して無敵の状態をユーザーに提供することができると主張されています。

RBIは、脅威の検出に頼らないという、非常に基本的な方法でWebセキュリティのあり方を変えます。RBIのソリューションは、ユーザーがWebサイトを閲覧しようとすると、リモートデータセンターにある一時的なブラウザをインスタンス化し、要求されたコンテンツをすべて読み込みます。その後、ユーザーがウェブサイトを安全に閲覧できるように、RBIのソリューションがウェブサイトをダイナミックなビジュアルストリームにレンダリングします。

 

Figure 1: How Remote Browser Isolation works.

アップロードやダウンロードはもちろんのこと、ローカルクリップボードを使ったコピー&ペーストもできないようにするなど、ユーザーの行動をきめ細かくコントロールできます。 適切に設定されている場合は、リクエストされたサイトのコンテンツは一切ローカルクライアントに読み込まれません。このため、ローカルクライアントにマルウェアを配信することは文字通り不可能であると言えます。もちろん、RBIのソリューションの一時的なブラウザインスタンスが侵害される可能性がありますが、組織の貴重な資産やデータから完全に隔離されており、攻撃が無害化されます。ユーザーがローカルでブラウザのタブを閉じた時点で、一時的なブラウザは破棄されます。

これは非常に評価されるべきものです。世界中でますますWebブラウザを介して業務を行うようになっており、脅威を検知するための課題は驚異的に増加し続けています。今日のWebセキュリティ・ソリューションの脅威インテリジェンスとマルウェア検出機能が大きな効果と価値を生み出す一方で、サイバー犯罪者との「いたちごっこ」のような状況では、完全な保護を提供することはできません。攻撃者はゼロデイの脅威を利用することが多く、おそらく過去数分以内に登録されたばかりの、いくつかのドメインと組み合わせて被害者を危険にさらします。これらの方法は、検出ベースのセキュリティ対策を回避することに成功することが多いのです。RBIの素晴らしい有効性と、その発足が10年以上も前であったという事実から、ある疑問が生じます ━ それほどまでに素晴らしい技術であるなら、今日すべての企業がRBIを利用しているはずではないか。答えはいくつかありますが、一番の理由は費用です。

すべてのユーザーにリモートWebブラウザをインスタンス化するRBIの方法では、配信コストがかからないような実装をする可能性はありません。 企業の規模、ユーザー数、平均的なユーザーが開いているWebブラウザのタブの数、そしてそれらのタブがそれぞれ消費するメモリとCPUの量を考えてみれば、このリソースを遠隔地のデータセンターにミラーリングするには、常にコストがかかります。このような理由から、現在使われているRBIソリューションは、各ライセンスユーザに割り当てられたセキュリティ予算を文字通りすべて消費してしまう可能性があります。今日、Webベースの脅威が蔓延しておりRBIの保護が効果的であるとしても、セキュリティ組織はセキュリティの予算を一つの技術や脅威ベクトルだけに充てることはできません。

このコストの問題とその解決方法をよりよく理解するため、RBIのよくある2つの事例を詳しく見ていきます。まず最も一般的なケースは、分類されていないサイトやリスクが不明なサイトを扱うもので、選択的アイソレーションとして知られています。前述のように、攻撃者はごく最近登録されたサイトを利用して、Webベースの脅威を被害者に送り込むケースが目につきます。そのため、企業はウェブ・セキュリティ・ベンダーによって分類されていないサイトはブロックしたいと考えます。しかし、問題のないサイトまでも不必要にブロックしてしまい、ビジネスに悪影響を与える可能性があるという欠点があります。このようなポリシーの管理は非常に厄介で、ユーザーエクスペリエンスを大きく損ないます。RBIは、この問題を解決する理想的なソリューションです。高いレベルのセキュリティを維持しながら、ユーザー対してもこのようなサイトへのアクセスを許可することが可能です。この状況では、信頼済みサイトは従来の手段でフィルタリングされ、未知のサイトまたは危険度の高いサイトのみが分離されるようにRBIを選択的に使用する必要があります。

RBIのもう一つの一般的な必要性は、ハイリスクなユーザーのグループに対してです。例えば、事業戦略や知的財産などの機密性の高い情報にアクセスできるCレベルの役員を考えてみましょう。もう一つの一般的な例は、アカウントが侵害された場合に壊滅的な影響を与える可能性のある高度な権限を持つIT管理者です。このようなケースでは、信頼できるサイトも含めて、ユーザーの全トラフィックを隔離することが考えられます。通常、このような完全な隔離方法は、漏洩した場合に特に高いリスクをもたらす一部のユーザーにのみ適用されます。

「選択的アイソレーション」と「完全アイソレーション」という2つのケースを踏まえて、この無敵ともいえる技術にかかるコストを詳しく見ていきます。ここでは、Brycin International社という、合計1万人のユーザーを持つ架空の組織を例に解説します。この企業では、重要なデータにアクセスできる高い権限を持つ、常時隔離が必要なユーザー400人を選定しました。このユーザーに対して、常に隔離をするためには、1ユーザーあたり100ドル、合計4万ドルのコストがかかると想定します。これは、このユーザーうちの誰かが侵害の被害にあった場合のリスクの高さを考えれば、妥当なコストだといえます。そして、残りの9千600人のユーザーに対しても選択的アイソレーションを適用したいと考えています。ソリューションの中にはフルライセンスを購入しなければならないものもありますが、ほとんどのソリューションは選択的アイソレーションについては、割引料金でライセンスを提供しています。ここでは60%割引された料金を想定します。ユーザー1人あたり40ドル、つまり384千ドルのコストがかかります。企業全体で必要なコストは424千ドルになります。1ユーザーあたりの平均コストは42.40ドルです。

1万人のユーザーを抱える企業にとって高額な費用がかかるにもかかわらず、そのコストに見合った適切なソリューションが提供されていいません。選択的隔離の対象であるユーザー9,600人がユーザー数の96%を占めるとはいえ、実際に隔離されるWebトラフィックのごく一部しか分離されないことを考えると、最新のWeb脅威セキュリティスタックでは脅威の99%を検知して全トラフィックの1%を隔離します。それは隔離されたWebトラフィックの20%に満たないでしょう。完全に隔離されたユーザーは、ライセンス数が少ないものの、隔離されたWebトラフィックの80%強で大部分を占めます。一方で、隔離されたトラフィック全体で見ると選択的隔離ユーザーが占める割合は非常に小さく、60%割引のライセンスが与えられているにもかかわらず、ソリューションの総コストの90%以上にあたり、非常に大きな支出になります。このような費用対効果の比率では、ほとんどのセキュリティ企業の予算や目標と合致することはありません。

 

Figure 2: The disproportionate relationship between RBI users, traffic load, and solution cost.

わたしたちは、RBIの技術をMVISION Unified Cloud Edge のプラットフォームに組み込むことで、この不幸な定説を覆しました。McAfee Enterpriseは、RBIの2つのライセンスオプションを提供しています。RBI for Risky WebとFull Isolationです。RBI for Risky Webは、McAfee Enterpriseが構築したアルゴリズムを使用し、McAfee Enterpriseが悪意のある可能性があると判断したサイトに対して、自動的にブラウザ隔離を起動します。これは、最も一般的なユースケースといえる、選択的アイソレーションに対応するように設計されており、Unified Cloud Edgeをご利用のお客様は追加費用なしでご利用いただけます。さらに、常時隔離が必要なユーザー向けには、アドオンとして完全隔離ライセンスをご購入いただけます。この完全アイソレーションのライセンスでは、ユーザーがどのサイトを隔離するか決める、独自のポリシーを作成することが可能です。

ここで再び、Brycin International社がMcAfee EnterpriseRBIを選択した場合の企業全体の導入コストを見てみましょう。先ほどのケースでは、選択的アイソレーションの対象ユーザーはトラフィックの20%以下の発生にもかかわらず、ソリューションにかかる総コストの90%以上を占めていました。McAfee Enterpriseのライセンスモデルでは、これらのユーザーは追加のライセンスを全く必要としないため、このコストはゼロになります。現在、この企業は40,000ドルのコストをかけ、400人の高リスクユーザのために完全隔離のアドオンライセンス購入を検討しています。これが企業全体のRBI導入コストとなります。ユーザー1人当たり100ドルという費用は、Brycin International社のユーザー1人当たりのセキュリティ予算をまだ超過していますが、今では総ユーザー数によって吸収し、RBI導入のユーザー1人当たりのコストが42.40ドルから、4ドルにまで減少しました。素晴らしい費用対効果により、企業の予算と全体的なセキュリティ計画に適合する可能性が高くなりました。

「なぜMcAfee Enterpriseはそれを可能にできるのか」と疑問に思うかもしれません。世界で最も成熟したセキュリティベンダーの1つであるMcAfee Enterpriseは、今日の市場で最も強力な脅威インテリジェンスとアンチマルウェア機能を備えています。McAfee EnterpriseGlobal Threat Intelligenceサービスは、世界中の10億個以上の脅威センサーを活用し、未知のものをすべてのWebトラフィックのごく一部にまで減らします。また、ヒューリスティック・ベースのアンチマルウェア技術は、多くのゼロデイ・マルウェアを検出することができます。さらにユニークな点として、ゲートウェイ・アンチマルウェア・エンジンは、行動分析を用いたインラインのリアルタイムなエミュレーションベースのサンドボックスを提供し、未知の脅威をその行動に基づいて特定します。これらの技術を組み合わせて効果を分析した結果、安全か悪質か自信を持って識別できないウェブトラフィックは、わずか0.5%程度であることがわかりました。これにより、Risky Webの選択的RBIを提供するためのコストは、お客様に追加のコストをかけることなく容易に吸収することができました。

RBIは、今日のウェブベースの脅威から最も重要な資産を保護する方法における絶対的なパラダイムシフトです。メリットが非常に大きい一方で、コストが大きな障壁となり、強力な防御策がユビキタス技術化することの妨げになっていました。McAfee Enterpriseは脅威インテリジェンスを有効的に活用してRBIの提供コストを削減、お客様へ還元することで、この障壁を打ち破ってきたのです。

※本ページの内容は2021年9月7日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:Remote Browser Isolation: The Next Great Security Technology is Finally Attainable
著者:McAfee Enterprise