New Report
Menlo Security Named a Leader in GigaOm Radar Report for Secure Enterprise Browsing
Icon Rounded Closed - BRIX Templates

お使いの企業ブラウザでそれが可能であることをご存知ですか?パート 1

|

このブログシリーズでは、今日の企業におけるブラウザの機能を検証します。ブラウザはビジネスで最も使用されているアプリケーションとなっており、この強力なアプリケーションの全機能を理解することは、デスクトップ、IT、セキュリティチームにとってますます重要になっています。

なぜ重要なのでしょうか? なぜなら、お使いのブラウザでできることのいくつかは、あなたにとって驚くべきものだからです。

このシリーズで説明するブラウザは、Google ChromeとMicrosoft Edgeです。これらの堅牢なChromiumベースのアプリは世界で最も人気があり、世界の企業市場において合わせてほぼ 80%。さらに良いことに、これらのブラウザは無料で、世界で最も完全に精査され、報告されているアプリの1つです。

これらのブラウザにはポリシーで制御された機能がどれだけあるかご存じないかもしれません。実際のところ、デバイスOSに組み込まれていた機能の多くがブラウザで有効になり、ユーザーがアクティブにブラウジングしていないときでも、これらの機能はエンドポイントでアクティブになっている可能性があります。

ChromeとEdgeの間には、考慮すべきポリシーが文字通り何千もあり、その多くはデフォルトで有効になっています。さらに懸念されるのは、一部のポリシーは、ユーザーが変更できないように特別にロックダウンする必要があることです。

最初に検討するこのようなポリシーは、ウェブサイトがBluetoothデバイスと直接通信できるようにするDefaultWebBluetoothGuardSettingです。フィットネストラッカーなどの Bluetooth 対応デバイスを使ったことがある場合、アップデートを行うと、ファームウェアのアップデートなどをコンピューターにダウンロードして、Bluetooth デバイスに送信する必要があります。WebBluetooth Guardのデフォルト設定では、ウェブサイトはデバイスと直接通信できます。純粋に消費者向けのユースケースでは、この機能は非常に便利に思えるかもしれません。しかし、企業では、それはまったく別のことです。

なぜそれが重要なのか

Bluetoothが有効になっているデバイスの数や、そのようなデバイスに含まれる情報の量を忘れがちです。上記のフィットネストラッカーのユースケースでも、ユーザーの身長、体重、心肺機能に関する詳細、自宅の住所、リアルタイムの位置情報など、このようなデバイスに含まれる可能性のあるデータを検討することは価値があります。

次に、これらの詳細を、ヘッドセット、スマートロック、会議用スピーカーなど、企業で使用されているBluetooth対応デバイスを含めて推定します。垂直産業には、小売店向けのバーコードスキャナー、PoSシステム、ビーコン、血圧計などの医療機器、さらにはヘルスケアにおける患者トラッカーなど、さらに多くのデバイスがあります。

このような各デバイスには、プライベートまたは機密性の高いデータが含まれています。少なくとも、一見無害に見えるデバイスから収集できる詳細情報は、その弱点を探している攻撃者にとって危険であることが判明する可能性があります。このようなアクセスを許可することの危険性は米国国防総省(DoD)が使用している セキュリティ技術導入ガイド  (STIG) には以下が含まれます。

  • セキュリティリスク:
    • Bluetoothデバイスへの不正アクセスは、データ侵害、デバイス操作、またはデバイス間の通信の盗聴につながる可能性があります
  • プライバシー保護:
    • ウェブサイトがBluetoothデバイスへのアクセスを許可されている場合、プライバシーを侵害したり、不正なデータ収集や追跡が可能になったりする危険性が非常に高くなります。
  • 内部脅威:
    • このポリシーが悪用される可能性があるもう1つの方法は、内部からの脅威です。従業員やその他の社内ユーザーは、意図的であれ不注意であれ、悪意のある Web サイトによる外部の脅威にデバイスを簡単に晒し、公開してしまう可能性があります。
  • ポリシーコンプライアンス:
    • STIG、インターネットセキュリティセンター (CIS) などを含む多くの規制やガイドラインは、潜在的なセキュリティリスクを最小限に抑えるように設計されています。

何をすべきか

では何をすべきなのか。ポリシーを無効にするだけですよね?と考えるかもしれません。そんな単純な話ではないのです。

このポリシーは、答えが単純な「はい」や「いいえ」ではないため、注意書きが重要な場合の良い例です。このポリシーは、2 ~ 3 を設定することも、未設定のままにしておくこともできます。

  • 設定2-どのサイトもウェブ Bluetooth API 経由で Bluetooth デバイスへのアクセスをリクエストすることを許可しません。
  • 設定3-サイトは、近くの Bluetooth デバイスへのアクセスを許可するようユーザーに求める場合があります。
  • 未設定-サイトもアクセスを求めますが、エンドユーザーが希望し、その方法がわかっている場合は、設定を変更できます。

この例は、確かにそんなに複雑ではないと思うかもしれません... そしてあなたの言うとおりでしょう。問題は、検討すべきこのようなポリシーがまだ何千もあるということです。説明文自体はシンプルでも、実際のところ、すべてのポリシーを1つずつ検討する必要があります。

ここで、少し考えてみてください。すでに仕事量も多く、常に負荷が高いチームのどのメンバーがこれを実行するのかを考えてみましょう。

もっと良い方法があります

Browser Posture Manager は、Menlo Securityはが提供しているサービスで、このプロセスを簡単にすることができます。Menloでは、過去10年間、フル機能のブラウザを守ってきました。さらに、それらブラウザは世界中の企業の 80% がすでに使用しているブラウザである(Chrome, Edge)という利点もあります。

screenshot showing benchmark selection for browser posture manager

Browser Posture Managerを使用すると、数回クリックするだけで、現在のブラウザポリシーがセキュリティ業界のベンチマークとどのように比較されているかを確認できます。ブラウザの設定を.JSON ファイルとしてアップロードし、表示したいベンチマークを選択するだけです。現在のポリシーとの比較を示す完全なリストと、各ポリシーが実際に何をしているかの簡単な説明がすぐに表示されます。ポリシーにベンチマークと相違するセキュリティ上の問題があるか、見られるだけではありません。

screenshot showing assessment for browser posture

たとえば、先ほど見てきたポリシーの場合、CISとSTIGの両方で、ポリシーを2に設定するか、無効にする必要があります。

しかし何よりも、Menlo Brower Posture Managerがこれらの選択をあなたに代わり指示することはありません。世界の大手企業でブラウザを保護してきた経験から、企業はそれぞれ異なるという私たちの信念が裏付けられています。

screenshot showing assessment with missing and recommended policy settings

MenloのBrowser Posture Managerがセキュリティを簡単にする方法の詳細をご覧ください。

Menlo Security

menlo security logo
linkedin logotwitter/x logofacebook logoSocial share icon via eMail