Cato エンタープライズブラウザとは?~設定・検証してみた~

様々な事情(委託先のPC、BYOD等)で存在する「業務で使用するが、会社が管理していないデバイス」への対応には、各企業が頭を悩ませていると思います。
上記のようなデバイスは誰かの私物であったり、他社の資産であることから、Cato Clientのようなエージェントを入れることは難しいです。
しかし、そのようなデバイスをそのまま業務に使わせると、次のような課題が出てきます。
一貫性のないセキュリティ:管理端末と同じセキュリティを適用できず、保護レベルがバラつく
ユーザー体験の課題:私物端末に会社の制御が深く入り込むことへの抵抗感
コンプライアンスへの影響:どこで何をしたかの証跡が残らず、監査に耐えられない
そこで、今回紹介するのがCato Enterprise Browser(エンタープライズブラウザ)です。
エージェント(Cato Client)を一切入れずに、専用ブラウザを使うことで、各種アクセスとデータ保護を実現することができます。
本記事ではまず、このCato Enterprise Browserとは何かを簡単に説明したうえで、実際に設定し、どのような制御ができるのかを検証してみました。
※本記事の機能名・提供状況は執筆時点(2026/7/9)のものです。Enterprise Browserは提供形態がアップデートされることがあるため、
最新の情報は公式ドキュメントもあわせてご確認ください。

Cato Enterprise Browserの概要

Cato Enterprise Browseとは、エージェント不要で非管理デバイスを守る、セキュアな専用ブラウザです。
(Googleのオープンソースウェブブラウザである、Chromium(クロミウム)ベースとなっています)

ポイントは、エージェントレスでゼロトラストアクセスを届けるという点にあります。
Catoは以下のように、デバイス管理状態に応じて3つのアクセス手段を用意しています。
(もちろんセキュリティ要件に従い、管理デバイスでも各種ブラウザセキュリティを導入することもあります)              

■管理デバイス(社用PCなど)
Cato Clientでフルアクセス制御
全プロトコル/ポートをCatoクラウドへ
■非管理デバイス(BYOD / 委託先 / 共用PC)
⇒①Cato Browser Extension
:普段使いのブラウザに拡張機能を追加して制御する
②Cato Enterprise Browser
:Cato拡張機能を組み込んだ専用ブラウザで制御する        
 
Cato Clientが「端末の全通信」をCatoクラウドへつなぐのに対し、Browser ExtensionとEnterprise Browserは
「ブラウザの通信だけ」をCatoクラウド経由に守る、という違いがありますが、
専用ブラウザ上でCatoのユーザー情報でログインを行い、認証されたユーザーの通信だけがCatoのセキュリティエンジンを通るという仕組みです。
では、Cato Browser ExtensionCato Enterprise Browserの違いは機能面・ユースケースとしてはどのようなところにあるのでしょうか。

Enterprise Browser と Browser Extension の関係

実は、コピー&ペーストブロックや印刷ブロックといった各種データ保護制御について、
Enterprise BrowserとBrowser Extension
は同様の機能を提供しています。

そのため名前の通り、導入方法(既存ブラウザに拡張を足すか、専用ブラウザを配布するか)が主な違いとなります。

ただし、既存ブラウザに拡張機能を導入するというBrowser Extensionの性質上、素のブラウザ側に
マルウェアや悪意ある拡張機能があればセッションやトークンを抜かれうる恐れがあります。
 
一方Enterprise Browserではそのブラウザ自体が管理下にあるため、より信頼性が高いといえるでしょう。
そのため、既存ブラウザを使いながら、簡単にZTNAを適⽤したい場合にはBrowser Extensionを、
委託先等、完全管理された専⽤業務ブラウザを利⽤したい場合にはEnterprise Browserを利用いただくという形で使い分けいただくのが良いかなと思います。

Enterprise Browserで提供される保護機能

Enterprise Browserを利用すればCatoの管理コンソール(CMA:Cato Management Application)で、以下のような保護が可能です。
No. 保護 内容
1 ゼロトラストアクセス IDやデバイス情報に基づき、各種アプリへのアクセスを最小権限で制御
2 Browser Data Protection コピー&ペースト、ダウンロード、アップロード、印刷の制限、ウォーターマーク表示
許可されていない拡張機能のインストール制限など、ブラウザレベルのデータ保護
3 脅威防御 SWG などのCatoの脅威防御をブラウザ経由の通信にも適用
4 AIセキュリティ 生成AIツール利用のガバナンスや機密データの検知・制御を他と同一ポリシーで適用
5 可視化・監査 セッション単位のアクティビティログを記録し、監査やインシデント調査に活用
ポイントは、上記の設定がCatoの管理コンソールから一元的に設定でき、Client経由のアクセスと同じポリシー等を扱える点です。
つまり、エージェントの有無で管理が分断されず、管理端末と同様の設定のセキュリティ対策が可能です。

 

Enterprise Browserの主なユースケース

Enterprise Browserのユースケースは、大きく3つに整理できます。
業務委託先・BYOD端末 ― 「個人データには触れてほしくない」というユーザー心理や「データの持ち出しは止めたい」という要望にも同時に応えられる
VDIの置き換え高額な初期投資・運用負荷・ネットワーク依存が課題だった従来のVDIに対し、コストを抑えつつ、ダウンロード・印刷・ウォーターマークといった持ち出し制御を実現できる
ブラウザ内の追加セキュリティ ― クラウドのCASB/DLPでは見えないローカル/ブラウザ内部の操作を制御できる
ではいよいよ、設定方法の解説と検証に移ります。
 

Enterprise Browserの設定と検証

設定に当たっては、以下の前提条件に注意する必要があります。

前提条件

  • Catoコンソール上で、TLSインスペクションを有効にしておく
  • ZTNA(SDP)ライセンスがEnterprize Browserユーザーに割り当てられている
  • サポートされているのはHTTPSトラフィックのみなので、アクセス制御は既存のCatoポリシー(InternetFirewall等)に基づく
  • Enterprise Browserのログやアクティビティを記録するには、クライアント接続ポリシーを有効にしておく
  • SSO認証を利用する際は、事前にCato上でサポートされているSSO IdPのサポートリストを確認しておく(今回は検証目的のためSSOは実施しない)
  • 利用にあたっては、事前にfeature.release@catonetworks.comに連絡が必要

これらを踏まえたうえで、設定方法について説明していきます。

設定

基本的にはCatoの公式ドキュメントにまとまっているので、それに従って実施していきます。
(「ステップ2: エンタープライズブラウザに対してSSOを有効にする」は今回は検証のため実施しません)

Catoエンタープライズブラウザの設定 – ナレッジベース

① クライアント接続ポリシーにルールを作成する(任意)

Enterprise Browserのログやアクティビティ記録のために、クライアント接続ポリシーにルールを設定します。
(本設定は任意で、ログ等必要なければ設定不要です)

まずAccess > Client Connectivity Policyを選択し、[New]からルールを設定します。
この選択画面で、Connection Originにて[Browser Extension]を選択し、ActionでもAllow WAN ando Internetを指定します。
(名前等の項目は任意で作成してください)

入力が完了したら、[Save]を押下後、元の画面に戻るので[Publish]を選択してください。
※上記で設定したユーザー以外のブラウザ関連アクセスを拒否したい場合は、今回設定したルールより下の順序で、拒否ルールを設定してください。

これでクライアント接続ポリシーの設定は完了です。
上記設定を行うことで、Home > Eventsタブより、ブラウザ上での操作がイベントごとに確認できるようになります。

② エンタープライズブラウザ(Enterprise Browser)を有効にする

次に、Enterprise BrowserをCatoコンソール上で有効化します。

Access > Browser Access Controlより、[Browser Extension]のスライダーをクリックします。

 

その後、右側の[Save]を押せば、有効化設定は完了です。

③ エンタープライズブラウザ(Enterprise Browser)をダウンロードして利用開始する

以下URLにアクセスし、[Cato Enterprise Browser]を選択します。

Cato Downloads

その後、端末のOSに合わせてexeファイルをダウンロードします。

ダウンロードしたexeを実行すると、Cato Browserがインストールされるので、
利用するユーザーのユーザー名、パスワードでログインします。
以下のような画面が出れば、ログイン完了です。

これでEnterprise Browserを使う準備はできました。各種ポリシーを設定していきましょう。

④ Browser Data Protection ポリシーを設定する

前提条件に記載した通り、アクセスの制御等はInternet Firewall等の既存ポリシーで、Browser/Client問わずまとめて設定します。
そのためここでは、ブラウザ特有の制御を実施できる、Browser Data Protection ポリシーを設定していきます。                      

まずはSecurity >Browser Data Protectionより画面右上の[New]を選択し設定画面に映ります。
そして選択項目であるポリシー名、ポリシーの挿入位置、対象ユーザー/ユーザーグループ、アクションの設定を行います。
ここで選択できるアクション(制御項目)については、以下の7種類です。それぞれ、Allow(許可)とBlock(拒否)が設定できます。

No. 制御項目 効果
1 Copy
ブラウザ外への情報の持ち出しを防止
2 Paste
Copyと同様
3 Print
紙・PDF経由の持ち出しを防止
4 Type 文字入力を拒否することで、情報漏洩等を防止
5 Download
ローカル端末へのファイル保存を防止
6 Upload
私物端末内ファイル、機密ファイル等の流入を防止
7 Watermark
画面撮影による持ち出しへの抑止・追跡

制御したい項目、及び各種設定の入力が完了すれば、[Save]を押して保存し、有効化のために[Publish]を選択しましょう。

これで、各種設定はすべて完了です。

 

検証

では検証に移ります。

先ほど示した制御項目の中から、ブロック時にどのような挙動をするのかいくつか試してみます。

①コピー&ペーストの防止

制御項目のうち、コピーとペーストをブロックした状態で、以下のような操作を行った場合どうなるのか確認していきます。

まずEnterprise Browserにアクセスし、検証用として以下の文字をコピーします。
すると以下のようなポップアップ表示が出てコピーがブロックされました。
正しく制御が効いていることが確認できますね。
 
なおペーストの場合も、同じようなポップアップ通知が出て、
Enterprise Browser上にクリップボードにコピーしたデータを張り付けようとしても、貼り付けできないことが確認できました。
以上、コピー&ペーストブロック機能の検証になります。

②ダウンロード&印刷の防止

次に、ダウンロードと印刷をブロックした場合の挙動を見ていきます。
まず、ダウンロードの挙動確認として、弊社のホームページからPDFファイルをダウンロードししてみます。

ダウンロードボタンを押ししばらくすると、以下のようなポップアップ通知が出て、ブロックされたことが確認できました。

 

次に、印刷ブロック機能についてみていきます。
挙動確認のため、ブラウザ上の[印刷]ボタンを押下すると、プレビュー画面で以下のような表示となりました。


進めていくと印刷自体はできるのですが、PDF化したとしても前画像のように、「Printing is disabled on this page」という表示がされるだけで、
元のページの内容は表示されないことが確認できました。

以上がダウンロード&印刷ブロック機能の検証になります。

③ウォーターマークの表示確認

最後にウォーターマークの表示がどのようになるか確認していきます。

Catoコンソール上で、制御項目設定の際にWatermarkにチェックを入れて、Enterprise Browserを起動してみます。

すると以下画像のように、画面いっぱいに「ユーザー名」(マスクしています)「日時」をが表示されるようになりました。


また別の画面に遷移しても、同様にウォータマークは表示され続けることも確認しました。

これにより、画面のスマホ直接撮影といった、本来防ぐのが難しい情報漏洩の脅威に対しても、ある程度の抑止力になると感じました。
(また誰のブラウザから流出したかすぐに特定しやすいのも良い点だと感じました)

以上がウォーターマーク機能の検証となります。

 

まとめ

今回試したCato Enterprise Browserは、以下の点で有用だと感じました。
 
1. エージェントレスで非管理デバイスに管理デバイスと同様の制御を実現可能
2. Browser Data Protectionでコピペ・ダウンロード・印刷・画面撮影といったデータ持ち出し・漏洩を防御
3. Client経由と同一のプラットフォーム(Catoコンソール)で一元管理・可視化
BYODや業務委託先のアクセス、あるいはVDIの運用コストを見直したい、そんな組織にとって、
Cato Enterprise Browserは、検討する価値のある選択肢ではないでしょうか。
最後までご覧いただき、ありがとうございました。
×
タイトルとURLをコピーしました