しかし、そのようなデバイスをそのまま業務に使わせると、次のような課題が出てきます。
– ユーザー体験の課題:私物端末に会社の制御が深く入り込むことへの抵抗感
– コンプライアンスへの影響:どこで何をしたかの証跡が残らず、監査に耐えられない
エージェント(Cato Client)を一切入れずに、専用ブラウザを使うことで、各種アクセスとデータ保護を実現することができます。
最新の情報は公式ドキュメントもあわせてご確認ください。
Cato Enterprise Browserの概要
Cato Enterprise Browseとは、エージェント不要で非管理デバイスを守る、セキュアな専用ブラウザです。
(Googleのオープンソースウェブブラウザである、Chromium(クロミウム)ベースとなっています)
(もちろんセキュリティ要件に従い、管理デバイスでも各種ブラウザセキュリティを導入することもあります)
⇒Cato Clientでフルアクセス制御
全プロトコル/ポートをCatoクラウドへ
■非管理デバイス(BYOD / 委託先 / 共用PC)
⇒①Cato Browser Extension:普段使いのブラウザに拡張機能を追加して制御する
②Cato Enterprise Browser:Cato拡張機能を組み込んだ専用ブラウザで制御する
「ブラウザの通信だけ」をCatoクラウド経由に守る、という違いがありますが、
専用ブラウザ上でCatoのユーザー情報でログインを行い、認証されたユーザーの通信だけがCatoのセキュリティエンジンを通るという仕組みです。
Enterprise Browser と Browser Extension の関係
Enterprise BrowserとBrowser Extensionは同様の機能を提供しています。
そのため名前の通り、導入方法(既存ブラウザに拡張を足すか、専用ブラウザを配布するか)が主な違いとなります。
マルウェアや悪意ある拡張機能があればセッションやトークンを抜かれうる恐れがあります。
Enterprise Browserで提供される保護機能
| No. | 保護 | 内容 |
| 1 | ゼロトラストアクセス | IDやデバイス情報に基づき、各種アプリへのアクセスを最小権限で制御 |
| 2 | Browser Data Protection | コピー&ペースト、ダウンロード、アップロード、印刷の制限、ウォーターマーク表示、 許可されていない拡張機能のインストール制限など、ブラウザレベルのデータ保護 |
| 3 | 脅威防御 | SWG などのCatoの脅威防御をブラウザ経由の通信にも適用 |
| 4 | AIセキュリティ | 生成AIツール利用のガバナンスや機密データの検知・制御を他と同一ポリシーで適用 |
| 5 | 可視化・監査 | セッション単位のアクティビティログを記録し、監査やインシデント調査に活用 |
つまり、エージェントの有無で管理が分断されず、管理端末と同様の設定のセキュリティ対策が可能です。
Enterprise Browserの主なユースケース
Enterprise Browserの設定と検証
設定に当たっては、以下の前提条件に注意する必要があります。
前提条件
- Catoコンソール上で、TLSインスペクションを有効にしておく
- ZTNA(SDP)ライセンスがEnterprize Browserユーザーに割り当てられている
- サポートされているのはHTTPSトラフィックのみなので、アクセス制御は既存のCatoポリシー(InternetFirewall等)に基づく
- Enterprise Browserのログやアクティビティを記録するには、クライアント接続ポリシーを有効にしておく
- SSO認証を利用する際は、事前にCato上でサポートされているSSO IdPのサポートリストを確認しておく(今回は検証目的のためSSOは実施しない)
- 利用にあたっては、事前にfeature.release@catonetworks.comに連絡が必要
これらを踏まえたうえで、設定方法について説明していきます。
設定
基本的にはCatoの公式ドキュメントにまとまっているので、それに従って実施していきます。
(「ステップ2: エンタープライズブラウザに対してSSOを有効にする」は今回は検証のため実施しません)
① クライアント接続ポリシーにルールを作成する(任意)
Enterprise Browserのログやアクティビティ記録のために、クライアント接続ポリシーにルールを設定します。
(本設定は任意で、ログ等必要なければ設定不要です)
まずAccess > Client Connectivity Policyを選択し、[New]からルールを設定します。
この選択画面で、Connection Originにて[Browser Extension]を選択し、ActionでもAllow WAN ando Internetを指定します。
(名前等の項目は任意で作成してください)
入力が完了したら、[Save]を押下後、元の画面に戻るので[Publish]を選択してください。
※上記で設定したユーザー以外のブラウザ関連アクセスを拒否したい場合は、今回設定したルールより下の順序で、拒否ルールを設定してください。
これでクライアント接続ポリシーの設定は完了です。
上記設定を行うことで、Home > Eventsタブより、ブラウザ上での操作がイベントごとに確認できるようになります。
② エンタープライズブラウザ(Enterprise Browser)を有効にする
次に、Enterprise BrowserをCatoコンソール上で有効化します。
Access > Browser Access Controlより、[Browser Extension]のスライダーをクリックします。
その後、右側の[Save]を押せば、有効化設定は完了です。
③ エンタープライズブラウザ(Enterprise Browser)をダウンロードして利用開始する
以下URLにアクセスし、[Cato Enterprise Browser]を選択します。
その後、端末のOSに合わせてexeファイルをダウンロードします。
ダウンロードしたexeを実行すると、Cato Browserがインストールされるので、
利用するユーザーのユーザー名、パスワードでログインします。
以下のような画面が出れば、ログイン完了です。
これでEnterprise Browserを使う準備はできました。各種ポリシーを設定していきましょう。
④ Browser Data Protection ポリシーを設定する
そのためここでは、ブラウザ特有の制御を実施できる、Browser Data Protection ポリシーを設定していきます。
まずはSecurity >Browser Data Protectionより画面右上の[New]を選択し設定画面に映ります。
そして選択項目であるポリシー名、ポリシーの挿入位置、対象ユーザー/ユーザーグループ、アクションの設定を行います。
ここで選択できるアクション(制御項目)については、以下の7種類です。それぞれ、Allow(許可)とBlock(拒否)が設定できます。
| No. | 制御項目 | 効果 |
| 1 | Copy |
ブラウザ外への情報の持ち出しを防止
|
| 2 | Paste |
Copyと同様
|
| 3 |
紙・PDF経由の持ち出しを防止
|
|
| 4 | Type | 文字入力を拒否することで、情報漏洩等を防止 |
| 5 | Download |
ローカル端末へのファイル保存を防止
|
| 6 | Upload |
私物端末内ファイル、機密ファイル等の流入を防止
|
| 7 | Watermark |
画面撮影による持ち出しへの抑止・追跡
|
制御したい項目、及び各種設定の入力が完了すれば、[Save]を押して保存し、有効化のために[Publish]を選択しましょう。
これで、各種設定はすべて完了です。
検証
では検証に移ります。
先ほど示した制御項目の中から、ブロック時にどのような挙動をするのかいくつか試してみます。
①コピー&ペーストの防止
制御項目のうち、コピーとペーストをブロックした状態で、以下のような操作を行った場合どうなるのか確認していきます。
正しく制御が効いていることが確認できますね。
Enterprise Browser上にクリップボードにコピーしたデータを張り付けようとしても、貼り付けできないことが確認できました。
②ダウンロード&印刷の防止
次に、ダウンロードと印刷をブロックした場合の挙動を見ていきます。
まず、ダウンロードの挙動確認として、弊社のホームページからPDFファイルをダウンロードししてみます。
ダウンロードボタンを押ししばらくすると、以下のようなポップアップ通知が出て、ブロックされたことが確認できました。
次に、印刷ブロック機能についてみていきます。
挙動確認のため、ブラウザ上の[印刷]ボタンを押下すると、プレビュー画面で以下のような表示となりました。

進めていくと印刷自体はできるのですが、PDF化したとしても前画像のように、「Printing is disabled on this page」という表示がされるだけで、
元のページの内容は表示されないことが確認できました。
以上がダウンロード&印刷ブロック機能の検証になります。
③ウォーターマークの表示確認
最後にウォーターマークの表示がどのようになるか確認していきます。
Catoコンソール上で、制御項目設定の際にWatermarkにチェックを入れて、Enterprise Browserを起動してみます。
すると以下画像のように、画面いっぱいに「ユーザー名」(マスクしています)と「日時」をが表示されるようになりました。

また別の画面に遷移しても、同様にウォータマークは表示され続けることも確認しました。
これにより、画面のスマホ直接撮影といった、本来防ぐのが難しい情報漏洩の脅威に対しても、ある程度の抑止力になると感じました。
(また誰のブラウザから流出したかすぐに特定しやすいのも良い点だと感じました)
以上がウォーターマーク機能の検証となります。
まとめ
Cato Enterprise Browserは、検討する価値のある選択肢ではないでしょうか。








