社会情勢の変化や、SaaS提供者の台頭などによって、企業や個人のクラウド利用が一般的になってきました。それに伴い、セキュリティの考え方も、従来の企業設備等を起点とした境界型防御から、誰も信頼せず等しくセキュリティを向上するゼロトラストモデルに移っています。ゼロトラストに関する詳しい説明は、ゼロトラストへの変革- セキュリティ対策を再考(前編)、ゼロトラストへの変革- セキュリティ対策を再考(後編)をご覧ください。
しかし、比較的新しいモデルであるゼロトラストにも、弱点があります。今回のBlogでは、その弱点と、それを補完する技術として、イスラエルの最新トレンドである「ブラウザセキュリティ」をご紹介したいと思います。
ゼロトラストの弱点
クラウドが一般化する中で、責任の所在に関する問題があります。クラウドの仕組みは、通常他社が提供するクラウドサービス上で自社のシステム開発を行いますが、このサービス基盤自体の動作保証はSaaS提供者側にありますが、システムの中身については、開発者(クラウド利用者側)にあるということです。
これはゼロトラストにおいても同じ問題があります。例えば、ゼロトラストを実現するためのクラウドセキュリティにおいても、セキュリティが設定どおりに動作することはサービス提供者に責任がありますが、その設定が正しいかどうかについては、サービス利用者に責任があります。つまり、セキュリティ設定を行ったうえで、その設定を監視し検証することまでが利用者側の責任なのです。
クラウド上でやり取りされるデータについても、データの中身ややり取りまではクラウド事業者は関与しません。データが改ざんされたり、攻撃者によって第三者に送られたとしても、提供者側には責任がありません。(もちろん、脆弱性やクラウド事業者側に重大な過失があった場合はこの限りではありません)この辺りの詳細は、次回のBlog「イスラエルの最新トレンド2 データ・セキュリティ」でお話します。
クラウド利用やゼロトラストにおいて攻撃者が狙うポイント = Webブラウザ
クラウドソリューションの進展に合わせて、ほとんどのクラウドアプリケーションは特別なプログラムを使ってアプリケーションの処理を行うクライアント/サーバーモデルではなく、ブラウザベースのWebアプリケーションとなり、サーバー同士でのデータ連携もAPIで処理を行う形態に変化しました。また、クラウド上のアプリケーションサーバーの設定や起動などを行う管理コンソール機能もWebアプリケーションで提供されています。Webアプリケーションは通常3層アーキテクチャが用いられており、プレゼンテーション層で生成された情報をブラウザに送っています。
そうしたアプリケーションは通常ブラウザからアクセスし利用します。つまり、ほとんどのクラウドアプリケーションはブラウザが各利用者のインターフェースとして存在します。Microsoft Edge、Google Chrome、Firefox、Safari、といった様々なブラウザがあり、これらの主流なツールにおいても脆弱性は発見されており、アップデートも短期間でリリースされています。問題として、こうしたツールは各個人の好みに応じて使われることが多く、セキュリティ対策が画一的に実施しきれていないことが挙げられます。
ここで攻撃が狙うのは、ブラウザを乗っ取ることで、クラウドアプリケーションやブラウザ間でやり取りされるデータの搾取や改竄です。「MITB(Man In The Browser):ブラウザを経由した中間者攻撃」と言われます。
攻撃手法は古くからありますが、多くの金融機関での不正送金などの事例が多くあります。
ブラウザのセキュリティ対策
ブラウザセキュリティは、ここ数年で注目が集まっている技術で既にいくつかソリューションも生まれています。しかし、大体のソリューションは、ベンダー提供の専用ブラウザ利用を前提にしています。先ほども述べたように、ブラウザは個人の好みによる選択が大きく、どのブラウザを利用するか、ということを統制することは利便性の点からも困難です。
ここでイスラエルの最新の取組みをご紹介します。イスラエルでは、現在WebブラウザにおけるJavaScript実行の仕組みに注目してセキュリティ対策を実現するスタートアップが生まれてきています。
JavaScript*1について補足します。JavaScriptはブラウザをサポートする言語であり、サイトの描画などは、ブラウザが直接実行するHTML(Hyper Text Markup Language、Webサイトの構造をブラウザに伝える言語)ではなく、JavaScriptで書かれています。JavaScript を用いることで、動的にWebページの内容を生成したり、フォームに入力された情報をチェックしたりできます。そのため、JavaScriptはブラウザにおいて標準的に利用され、どのブラウザ(Edge、Chrome等)かを問わず共通する仕組みです。もちろん、JavaScriptはブラウザの設定で無効化(=使えなくする)することは可能です。
JavaScriptの実行には、JavaScript Engineが必要で、ブラウザ上でHTMLを実行中に、JavaScriptが含まれていればJavaScript Engineに渡して実行します。
JavaScriptはEcma International*2によって言語仕様が標準化されている(ECMAScript, 規格番号:ECMA-262)のですが、JavaScriptを実行するためのJavaScript Engineは各種ツールによって提供されています。
イスラエルのスタートアップが注目している部分はこのJavaScript Engineへの引き渡しです。昨年イスラエルへ出張した際に私の友人が設立したスタートアップでは、Engineに渡す前に、ブラウザ上で「実行させるべきか否か」という判断をすることで、ブラウザツールに依存せず、データ搾取を防ぐことのできるソリューションを開発していました。海外では売れているようで、日本においても大企業でしばしば使われるRBI(Remote Browser Isolation)と呼ばれるソリューションを利用した仮想ブラウザを実現したり、ネットワーク分離をしていた顧客のコスト削減ができることでニーズが高まっているようです。
ブラウザセキュリティは、サーバー側のセキュリティ設定を統一的に行うソリューションのCASB(Cloud Application Security Broker)とは違いクライアントで利用するブラウザのセキュリティ対策です。今後どんなブラウザであってもセキュリティ対策を行う必要があると思われている状況は事実だと思いますし、それを実現できるソリューションを既に提供するスタートアップがいることもイスラエルの強みだと思います。
出典(参考文献一覧)
※1 Wikipedia|JavaScript(参考日:2023-02-21)
※2 Ecma International|HOME(参考日:2023-02-21)
