真の分離ブラウジング：ネットワークを保護するための鍵

広告のブロック、コンパートメント化、独自のブラウザなど、分離ブラウジングに使用される多くのソリューションがあります。 しかし、これらは真の孤立したブラウジングを実現するのに十分ではありませんでした。 これが、リモートブラウザ分離が答えである理由です。

1990年代後半に最初のポップアップ広告がtripod.comに表示され始めて以来、ユーザーは不安な事実を考慮しなければなりませんでした。インターネットで見たものがコンピューターに触れる可能性があります。

最初は、これは迷惑でした。 ある日Webサイトにアクセスすると、興味のない製品を宣伝するために開いていないウィンドウによって、読み込もうとしているコンテンツが突然不明瞭になります。迷惑ですが、警告の原因にはなりません。

2008年までに、これらのポップアップは脅威に発展しました。 多くの場合ポップアップを介して配信されるマルバタイジングは、この時代に初めてインターネットに登場し始めました。 マルバタイジングは、ブラウザに広告を表示するだけでなく、アドウェアやスパイウェアをコンピュータにダウンロードするためにそのメカニズムを採用します。 それ以来、マルバタイジングやその他のブラウザベースの攻撃は大きな経済的脅威となっています。

この頃、人々は孤立したブラウジングについて真剣に考え始めました。 悪意のあるファイルがインターネットからユーザーのハードドライブに渡らないようにブラウザを実行するにはどうすればよいですか？ 多くのアイデアが提案されていますが、これまで、ユーザーが必要とする便利さを備えた完全な保護を提供するものはありませんでした。

孤立したブラウジングに関しては、すでに何が試されていますか？

ブラウザをオペレーティングシステム全体から切断するためにすでに試みられているアイデアの数に驚かれることでしょう。 たとえば、広告ブロック（はい、おそらく現在実行している無料の拡張機能）は、ブラウザ分離の一形態です。 広告ブロックやその他の形式のブラウザ分離はすべてある程度効果的ですが、通常、効果が高いほど便利ではなくなります。

広告ブロック

世の中には多くの広告プロバイダーがありますが、ほとんどがカタログ化されています。 広告ブロッカーはこれらのプロバイダーをブラックリストに載せます。 Webサイトのスクリプトが、広告会社に属するホストからコンテンツを読み込もうとすると、アドブロッカーがそのコンテンツをブロックします。

この手法は、広告を取り除くのに比較的効果的であり、広告を取り除く手法は、マルバタイジングもブロックします。 ただし、ブラウザベースの危険は広告だけではありません。 さらに、広告プロバイダーとハッカーの両方が永続的です。 Facebookのような企業は、広告を通常のコンテンツと見分けがつかないようにするためにプラットフォームを絶えず変更しており、広告ブロッカーをだましています。 他の広告会社は、複数の匿名化されたCDNを介して広告を分割し、広告のブロックを困難にしています。 これらのテクニックは、ハッカーにも刺激を与えることができます。 Rough Tedとして知られるマルバタイジングキャンペーンは、最近、さまざまなトラフィックタイプを使用して広告ブロッカーのブラックリストを回避することにより、何千人ものユーザーに感染しました。

サイトの分離

ローカルタブの分離（サイト分離とも呼ばれる）は、2018年以降Chromeブラウザーのすべてのバージョンに組み込まれている機能です。このプロセスは、ブラウザーの各タブを個別のブラウザープロセスで実行します。 これは、悪意のあるサイトがブラウザに感染し、そのセッションデータを使用して他のタブのコンテンツをスヌープすることができないことを意味します。 つまり、攻撃者は、次に銀行口座にログインしたときにあなたを捕まえるために、お気に入りのスポーツニュースレターに侵入することはできません。

この方法は広告ブロックよりも効果的ですが、いくつかの欠点があります。 たとえば、ブラウザのタブごとに新しいプロセスを実行すると、メモリ使用量が最大15％増加します。つまり、ブラウザとコンピュータの速度が低下する可能性があります。

タブの分離は絶対確実ではありません。 MeltdownやSpectreなどの地球を破壊するエクスプロイトを阻止するために構築されたため、このセキュリティ機能は、マルバタイジングやドライブバイダウンロードなどの攻撃を見落とします。 さらに、タブが分離されていても、ブラウザはコンピュータ上に存在します。 コンピュータとブラウザ自体の間に障壁はありません。つまり、悪意のあるソフトウェアがオペレーティングシステムに漏洩する可能性があります。

区画化

これには、コンテナ、仮想マシン、または個別のハードドライブパーティション内でブラウザを実行することが含まれます。 ウイルスがブラウザに侵入したとしても、理論上は、本質的にポテムキンコンピュータ、つまりマシン上のファイルに直接アクセスできないオペレーティングシステムの断片の中にウイルスが侵入することになります。

残念ながら、このアプローチには2つの問題があります。 1つ目は、広告ブロッカーをダウンロードしたり、ブラウザ拡張機能を実行したりするよりも、設定が段階的に難しくなることです。 設定にはITが必要です。 これ自体は悪いことではありませんが、ITが注ぐ努力により、ブラウザーの安全性が維持されることが保証されます。 ただし、これが完全に当てはまるわけではありません。VMおよびコンテナソフトウェアの潜在的な脆弱性が原因で、ウイルスが発生し、潜在的なホストに感染する可能性があります。

独自のブラウザ

ベンダーは時折、一般的なブラウザよりも安全であると思われる独自のブラウザを起動します。 これらに対処するために多くの時間を費やすことはありません。これらのブラウザの宣伝されたセキュリティ機能が機能する場合でも、最前線のユーザーに反抗する原因となるUIおよびUXエラーが均一に含まれていることに注意してください。 これは、ユーザーが自分のデバイスをオフィスに持ち込む場合に特に当てはまります。基本的に、自分で購入したマシンで好みのブラウザを使用しないように求めています。

リモートブラウザ分離が答えである理由

コンピュータをブラウザから保護することは、勝ち目がないシナリオのように思えるかもしれませんが、すべてが試されたわけではありません。 リモートブラウザ分離（RBI）は、ブラウザ分離の概念を採用し、それを最も効果的な極限にまで引き上げます。

RBIを使用すると、ブラウザを開いて通常のようにインターネットを閲覧できます。 舞台裏では、ブラウザがリモートアプリケーションに接続します。これは、クラウドにある別のブラウザです。 ブラウザには、リモートブラウザがレンダリングするすべてのものが完全な対話性で表示されますが、リモートブラウザからは何もコンピュータにダウンロードされません。

これは、安全なブラウジングに最適なシステムです。 リモートブラウザにはまだマルウェアをダウンロードする機会がありますが、そのマルウェアはネットワーク上にさえないコンテナに入れられてしまいます。 マルウェアがコンテナまたはVMから脱出し、ホストに感染した場合でも、問題は発生しません。ホストはネットワーク上になく、データも含まれていません。 SaaSアプリケーションの責任分担モデルでは、ホストの保護について心配する必要はありません。

RBIは、リスクなしで分離ブラウジングのすべての利点を提供します。また、オンプレミスで分離ブラウジングの実装をインストールおよび維持するための労力と費用を削減します。 ユーザーは必要なブラウザーを使い続けることができ、デバイスにハードウェアやソフトウェアをインストールする必要はなく、アクセスするWebサイトに関係なく保護されたままになります。 要するに、混沌としたインターネットから日常のユーザーを保護することになると、孤立したブラウジングは理にかなっています。