標的型攻撃を防ぐ新アプローチ「BDR」とは何か EDRとの違いは？：Webブラウザに潜む脅威の検出と対処

サイバー攻撃の脅威が増す中、新たな対策手法として注目を集めているのが「BDR」だ。その機能と従来のセキュリティ対策ツールとの違いを解説する。

[Dave Shackleford，TechTarget]

　標的型攻撃の脅威が拡大している中、攻撃の種類や用途に応じた専用のセキュリティ対策ツールが登場している。ネットワークの脅威を検出して対処する「NDR」（Network Detection and Response）、PCやサーバなどのエンドポイントに侵入した脅威に対処する「EDR」（Endpoint Detection and Response）、複数の領域で脅威を検出して対処する「XDR」（Xtended Detection and Response）などが挙げられる。

　そうした中、新たな技術として注目を集めつつあるのが「BDR」（Browser Detection and Response：ブラウザ検知と対応）だ。

BDRとは何か

併せて読みたいお薦め記事

EDRの関連記事

• いまさら聞けない「EDR」と「SIEM」の“機能の違い”とは？
• 「こんなEDRが欲しかった」を叶える失敗しない選び方はこれだ

　BDRは、Webブラウザ内で発生する脅威や、Webブラウザを通じて侵入する脅威を検出、調査し、封じ込めるための仕組みだ。従来のネットワークセキュリティやエンドポイントセキュリティは見逃しがちな、 WebサイトやWebブラウザを悪用した巧妙な攻撃に対処する。以下にその例を挙げる。

• Webサイトの入力フォームから情報を盗む「フォームジャッキング」
• 不正なWebブラウザ拡張機能
• スクリプト（簡易プログラム）による認証情報の窃取
• Webブラウザ内で完結するフィッシング
• Webサイト運営者が利用する、サードパーティー製の「JavaScript」スクリプトを経由したサプライチェーン攻撃
• エンドユーザーがAI（人工知能）チャットbotなどのWebアプリケーションのUI（ユーザーインタフェース）に機密情報を入力、送信することによるデータ流出

　Webブラウザはさまざまなクラウドサービス、Webメールなどの主要なクライアントとして機能している。BDRは、エンドユーザーとデータが接する場所であるWebブラウザのなるべく近くに検出ロジックを組み込むことによって、攻撃者が活動する場所の近くでデータを収集、監視し、スピーディーかつ正確な防御を可能にする。

　BDRの導入形態は主に以下の3つだ。

• Webブラウザ拡張機能
• エンドポイントへの負荷が軽微なWebブラウザエージェント（常駐ソフトウェア）
• リモートブラウザ分離
  • エンドユーザーのWebサイト閲覧行為を、エンドポイントから離れた隔離された場所でホストし、実行する技術。

　これらを通じて、BDRはアクセス先のURL、ドキュメントオブジェクトモデル（DOM：Webページの構造情報）の変化、スクリプトの実行履歴、フォーム送信、クリップボード操作、ファイルのアップロード／ダウンロード、拡張機能の動作などの監視データを収集。この情報を、エンドユーザーの識別情報（ID）、デバイスの状態、クラウドサービスの利用状況とひも付ける。

　BDRは、収集したデータから通常の挙動を学習し、それとの乖離（かいり）や異常スコア、あるいはWebページへの不正な構成要素の挿入、不審なドメインへの通信要求、認証情報の搾取パターンといった既知の侵害の兆候に基づいて、脅威を検出する。脅威を検出した際には、Webブラウザ内での警告の表示、ファイルのアップロードや機密情報の貼り付けなどの危険な操作のブロック、セッションの自動終了、再認証の要求といった即時措置を実施する。EDRやSOAR（Security Orchestration, Automation and Response）と連携した処置も可能だ。

BDRが補完するセキュリティ体制

　BDRは、クラウドサービスの利用を監視、制御する「CASB」（Cloud Access Security Broker）、ネットワークとセキュリティを統合した「SASE」（Secure Access Service Edge）、「DLP」（データ損失防止：Data Loss Prevention）といった既存のセキュリティ技術を置き換えるものではない。それらを補完するのがBDRの役割だ。BDRが収集した詳細なWebブラウザのイベント情報は、「SIEM」（ログ統合管理システム）やXDRと連携させることで、分析の精度を高めることができる。アラートをSOARと連携させれば、インシデント発生時のフォレンジック（事後調査）にも利用できる。

　BDRはID管理システムからユーザー情報を、CASBやSaaS設定管理ツールからはアプリケーションの利用状況を、DLPツールからはWebブラウザが扱うデータの機密性をそれぞれ取得する。これらの文脈（コンテキスト）を組み合わせることで、状況に応じた対処を実現する。

どのような組織がBDRを検討すべき？

　以下の特徴を持つ組織にはBDRが向いている。

• 大半の従業員がテレワークやハイブリッドワークを実施している
• 業務をSaaSやWebポータルサイトに依存している
• 厳格な規制順守が必要
• 機密性データを扱う顧客向けWebアプリケーションを運用している

　クラウドサービスを前提とした業務プロセスが浸透した結果、多様な脅威が登場した。Webサイトが利用するスクリプトやフォームを踏み台にする「Webサプライチェーン攻撃」、メールサービスの防御を擦り抜ける巧妙なフィッシング、不正なサードパーティー製スクリプトやWebブラウザの拡張機能、AIチャットbotを通じた機密データの外部流出などだ。これらの脅威が、BDRの採用を後押ししている。

セキュリティの“空白”を埋めるBDR

　BDRはEDRやCASB、ネットワークセキュリティを代替するものではなく、それらを補完するものだ。他のツールでは捕捉しにくい、Webブラウザに特化した状況把握と制御を実施することで、ID、エンドポイント、ネットワーク、アプリケーション層全体にわたる脅威に備えられる。

　現代の業務の大半がWebブラウザで遂行されている以上、そこが攻撃者にとっての「主戦場」になるのは必然だ。企業はBDRを導入すれば、SaaSの利用にまつわるリスクやフィッシング、Webサプライチェーン攻撃のリスクを抑えられる。これまで見逃されていたリスクを浮き彫りにするだけではなく、脅威の検出から対処までの時間短縮にもつながる。