近年、各種クラウドセキュリティサービスに Remote Browser Isolation (RBI、リモート ブラウザ分離) 機能が搭載されるようになってきました。
Catoクラウドも、セキュリティオプションとしてRBIを提供しています。
RBIとは何か?どんなメリットがあり、どういった利用方法が考えられるのか? をご紹介します。
RBI (Remote Browser Isolation) とは?
Webサイトの描画を、端末のブラウザではなくクラウド上の隔離されたブラウザにて行い、結果の画面だけを端末に転送する仕組みです。
例えば、アクセスしたWebサイトにマルウェアが仕込まれていた場合、通常のアクセスだとマルウェアがダウンロードされてしまいますが、RBIを使用している場合、クラウド上で防御され、端末には届きません。
端末の安全を守るのに有効な機能で、Catoクラウドはもちろん、Netskope, Zscaler, Cisco Umbrella といった、各種クラウドセキュリティサービスにも実装されています。
RBIの動作
それでは、CatoクラウドでRBIの動作を見てみましょう。
今回は動作検証用のテストサイトを利用します。このサイトは、アクセスすると自動で無害なテキストファイルがダウンロードされるように設定されています。これがもしマルウェアだったとすると端末に入り込んでしまうという想定です。
以下は、RBI機能は利用せず、通常どおりアクセスした際のスクリーンショットです。URLを開いただけで、テキストファイルが端末にダウンロードされました。
続いて、CatoクラウドのRBI機能をONにして同じサイトにアクセスします。すると、RBIが動作し、
ファイルのダウンロードは無事ブロックされました。また、画面上部にRBI動作中であることが表示されています。
このように、RBIはWebサイトの不審な動作を阻止してくれますので、内部ネットワークのセキュリティに大きく貢献します。
では、すべてのWebサイト表示をRBIに任せれば安心かというと、これは利便性の面で難しいです。
RBIの仕組み上、描画して画面だけ転送するのには数秒かかり、ユーザとしては表示が遅く感じてしまうためです。
CatoクラウドにおけるRBI運用
では、どういったWebサイトへの通信をRBI経由にすると良いのでしょうか。
信頼できるサイトは通常どおり接続するのが利便性が良く、危険性の高いサイトはそもそもアクセスをブロックするべきですので、危険かどうかの判断が付かないサイト(※)をRBI経由にするのが良いということになります。
Catoクラウドでは、クラウド上のInternet FirewallのAction(Block,Allow,Prompt等)のひとつとして、RBIが指定可能です。条件を指定し、一致した通信をRBIを経由させるよう設定します。
推奨設定は、Webサイトのカテゴリ判定で「Uncategorized(未分類)」および「Undefined(不明)」となるサイトをRBI経由にすることです。これは上記の「判断が付かないサイト」に該当するものです。もちろん、この他のカテゴリやURLを指定してRBIを経由させる設定も可能です。
なお、リスク低のアクセスであっても、不審な通信が紛れ込む可能性はあるため、IPSやAnti-Malware等のセキュリティ機能でチェックする必要があります。
注意点
CatoクラウドのRBIには利用上の注意点があります。
1つめは、その名の通りブラウザの通信を対象とした機能のため、ブラウザ以外(メールソフト、クライアントソフト等)の通信には適用されない点です。また、モバイル端末(iPhone、iPad、Android)のブラウザには現状対応していません。
2つめは、RBI経由で表示中のWebサイトにも、文字入力ができる点です。RBI経由であっても、個人情報や機密情報を入力してしまうと、相手先に届いてしまいます。RBI経由ではRead-Onlyにさせるような機能があれば良いのですが。Cato社に要望していきます。
まとめ
RBIは、Webブラウザ経由のマルウェア感染等を防ぐ有効な機能です。
IPSやAnti-Malwareといった他のセキュリティ機能と併せて、ぜひ導入をご検討ください。