“OS化”するWebブラウザ AI機能で便利になるだけじゃないリスクと対策:従来の「隔離」は通用しない?
Webブラウザは単なるアプリケーションの域を越え、複数のアプリケーションを動かす「OS」へと進化を遂げている。この劇的な進化に伴って増大するリスクに対し、どのようなセキュリティ対策を取るべきなのか。
近年、Webブラウザの進化が目覚ましい。GoogleやMicrosoftが自社のWebブラウザにAI(人工知能)機能を組み込んでいるだけではなく、AI検索ベンダーPerplexity AIの「Comet」やソフトウェアベンダーOpera Softwareの「Opera Neon」など、AIエージェントを標準搭載したWebブラウザが登場している。
もちろん、Webブラウザの重要性が高まったのは今に始まったことではない。Webアプリケーションがこれほど普及している現状を考えると、Webブラウザは単なる1つのアプリケーションではなく、それ自体で数十個のアプリケーションを実行できる、OSに似た存在になっている。
それに加えて、開発者はWebブラウザが公開しているAPI(アプリケーションプログラミングインタフェース)を利用してさまざまな拡張機能を開発している。その結果、Webブラウザの中に新たな「エコシステム」が誕生した。
本稿は、Webブラウザの重要性が高まるにつれて発生している課題と、その対策として近年登場している新しいサービスを紹介する。
“OS化”するWebブラウザの課題と対処法
併せて読みたいお薦め記事
Webブラウザの最新動向
Webブラウザの拡張機能は、独自の権限やデータアクセス権を持ち得る。中にはエンドユーザーがアクセスした全てのWebページを可視化する解析ツール、クリップボード履歴や認証情報を管理できるものもある。これらは業務に役立つ機能だが、IT部門の監視が行き届いていない、外部の開発者が作ったソースコードの「寄せ集め」でできたものだ。
こうしたWebブラウザの「OS化」は、企業のIT部門とセキュリティ部門に大きな課題を突きつけている。歴史的に、企業はさまざまな方法でこの問題に対処してきた。
Webブラウザにセキュリティを適用する代表的な方法としては、「仮想化デスクトップインフラ」(VDI)がある。これは厳格に管理されたリモートサーバでWebブラウザを含むOSを実行し、エンドユーザーのデバイスにデスクトップ画面を配信する技術を指す。
だがWebブラウザのセキュリティ確保のためにVDIを展開するのはオーバースペックだ。そこで生まれたのが「リモートブラウザ分離」(RBI)だ。RBIはVDIと同じく仮想化技術の一種で、Webブラウザを遠隔のセキュアな仮想マシン(VM)で実行し、Webブラウザの画面だけをエンドユーザーのデバイスに配信する。
もちろん、RBIにも仮想化特有の欠点が存在する。レンダリング(描画処理)のための遅延や、管理すべき構成要素の増加などだ。
こうした分離技術とは全く異なる考え方の「エンタープライズブラウザ」という技術も登場している。これは、企業の業務利用に特化して開発されたWebブラウザで、1つのアプリケーションとしてデバイスで動作すると同時に、管理者が複数のWebブラウザを一元管理できる機能を備え、ポリシーの適用や可視性の確保が可能だ。ただしデバイスに展開するアプリケーションの数が増えやすい、エンドユーザーが慣れ親しんでいるWebブラウザとは異なるといったデメリットもある。
間を取った解決策として、ユーザーエクスペリエンス(UX)を損なわないように既存のWebブラウザを使用しつつ、Webブラウザと拡張機能の管理や、テレメトリー(利用状況の遠隔収集)を実施するツールを使うことができる。
どのアプローチも、IT部門がアクセス制御、クリップボードやダウンロードの制限といったデータ保護、拡張機能の許可/拒否などに関するルールの設定と適用に主眼を置いている。
今後のWebブラウザはどうなる?
複数のアプリケーションが動作し、多様な管理、保護手法が存在するWebブラウザは、IT分野の中でも活発な分野だ。ID管理、データ保護、生産性向上のためのアプリケーション、AIエージェントがWebブラウザに組み込まれていく流れは、今後より一層強まるだろう。エンドユーザーの働き方にWebブラウザが与える影響はますます強くなり、それに合わせて、IT部門がWebブラウザのガバナンスをどう統制するかという課題もいっそう重要になるはずだ。
翻訳・編集協力:雨輝ITラボ(株式会社リーフレイン)
Copyright © ITmedia, Inc. All Rights Reserved.