2024年2月、イスラエルのセキュリティベンダーであるLayerX Securityが開発したブラウザ拡張機能型セキュリティソリューション「SecureLayer」の日本市場での販売が開始された。日本での販売を手掛けるアズジェント 執行役員プロダクト営業本部長の津村英樹氏は「セキュリティ人材やリソースが十分でない中堅・中小企業にこそSecureLayerを導入していただきたい」と語る。なぜ、SecureLayerが特にこれらの企業に適しているのか。来日したLayerX Security CEO(最高経営責任者)のオル・エシェド(Or Eshed)氏と津村氏に話を聞いた。

  • LayerX Security CEO(最高経営責任者)のオル・エシェド(Or Eshed)氏

    LayerX Security CEO(最高経営責任者)のオル・エシェド(Or Eshed)氏

Webブラウザセキュリティは「作業を止めない」

巧妙化・複雑化するサイバー脅威。当然、防御対策も対応せざるを得ない。従来はファイアウォールを中心とした境界防御型セキュリティ対策が一般的だった。しかし、クラウド環境でのデータ格納やSaaS(Software as a Service)アプリケーションの活用が増加する現在、その有効性には限界がある。

特にコロナ禍以降、従業員がさまざまなデバイスを使用してリモートワークを行い、データの多くがSaaSアプリケーションに保存される状況では、従来の対策では不十分だ。エシェド氏は「境界型セキュリティ対策は、データが分散する環境に適していません」と指摘する。

SaaSセキュリティツールとしては、クラウド使用状況を管理するCASB(Cloud Access Security Broker)、ネットワークセキュリティとWAN(Wide Area Network)の機能をクラウドで提供するSASE(Secure Access Service Edge)、クラウドでID管理とアクセス制御を行うIDaaS(Identity as a Service)などが挙げられる。

しかし、津村氏は「これらのソリューションには、ネットワーク負荷による遅延や、ソーシャルエンジニアリングによってIDとパスワードが盗取された場合の対策に限界があります」と警鐘を鳴らす。

「例えばCASBのようなソリューションは、クラウド側からすべての通信をモニタリングします。ネットワークを通過する重要なデータは暗号化されているため、それを復号化してチェックする必要があり、遅延が発生します。その結果、ユーザビリティが低下し、生産性に影響を及ぼしてしまいます。SecureLayer(SecureLayer Browser Extension)はこうした課題を解決した“ユーザーファースト”のセキュリティ・プラットフォームです」(津村氏)

  • アズジェント 執行役員プロダクト営業本部長の津村英樹氏

    アズジェント 執行役員プロダクト営業本部長の津村英樹氏

操作に応じて処理するロケーションを判断

SecureLayerは、ブラウザ拡張機能型のセキュリティソリューションだ。ブラウザにエージェントをインストールするだけで、不正サイトへのアクセス遮断やブラウザ経由での情報漏えい防止、ブラウザ操作を可視化できる。その仕組みはこうだ。

エージェントが受信したWebページのコンポーネントをブラウザ側で解析し、メタ情報をSecureLayerのクラウドに送信。クラウド側でWebのセッションをAI(人工知能)で分析し、必要に応じて保護機能を提供する。例えば、エクスプロイトコードやマルウェアコードを発見した場合にはリアルタイムでコードを無効化する。

  • 「SecureLayer」の仕組み。ブラウザ自体に組み込まれた深層セッション分析で、Web経由の脅威とリスクからデータやアクセスを保護する

    「SecureLayer」の仕組み。ブラウザ自体に組み込まれた深層セッション分析で、Web経由の脅威とリスクからデータやアクセスを保護する

エシェド氏は「ブラウザ側で情報を分析・振り分けてメタデータをクラウド側で分析し、問題があればブラウザ側のエージェントに返します。例えば、従業員が不明なURLにアクセスした場合、フィッシングサイトのように真偽判断が必要な場合にはクラウド側にメタデータを送信し、そのサイトの安全性を分析してローカルに結果を返します。つまり、制御する項目によって、処理するローケーションを判断しているのです」と説明する。

クラウドではメタデータのみを扱うため、情報量が圧倒的に少なく高速な処理が可能だ。万が一メタデータが盗取されたとしても、情報漏えいのリスクは低い。

津村氏は「クラウドをベースとしたほとんどのセキュリティソリューションは暗号化されたデータを復号化して分析するため、処理に時間がかかり、また機密性の高いデータがクラウド上に存在することでリスクが生じる可能性があります。同時に、通信に負荷をかけてユーザーエクスペリエンスを低下させる恐れがあります。しかし、SecureLayerはそうした心配はありません。この仕組みが他のWebセキュリティソリューションとの大きな違いです」と強調する。

なお、対応ブラウザはChrome、Edge、Firefoxなど、オフィス環境で利用している汎用的なブラウザであれば利用可能だ。ブラウザ機能を拡張するだけなので、迅速に導入できる。

また、OSのアップグレードによる影響も受けにくいというメリットもあると津村氏は説明する。「エージェント型のセキュリティソフトウェアでは、OSのバージョンアップに伴い動作に問題が生じることがありますが、ブラウザの拡張機能として動作するSecureLayerはそのような影響を受けにくいのです」(同氏)。

生成AIのプロンプトもリアルタイムで精査

エシェド氏がSecureLayerのもう1つのアドバンテージとして挙げるのが、内部脅威への対策である。ストレージサービスはサービス内でのセキュリティ機能は充実しているものの、そもそもログインIDを悪意のある第三者に知られてしまえば、情報にアクセスできる。

一方、SecureLayerであれば、許可外のストレージサービスへのデータ送信や機密データのアップロードやダウンロード、脆弱なパスワード設定や使い回しといったヒューマンエラーに起因する情報漏えいもブロックできるという。エシェド氏は次のような例を挙げる。

「われわれの顧客の中には、Box、Dropbox、Google Drive、OneDrive、SharePointなど、複数のストレージサービスを顧客に応じて使い分けているグローバルコンサルティングファームがあります。同社には約10のファイル共有プラットフォームがあり、数千人の顧客がいるため、数万に及ぶ共有データルームが存在します。もし、ヒューマンエラーで情報を間違ったフォルダにアップロードした場合、ストレージサービス側のセキュリティ機能では、その内容が正しいかどうかまでは判別できません。しかし、SecureLayerであればフォルダの内容を判別し、間違っている場合にはポップアップでアラートを表示してくれるのです」(エシェド氏)

さらに、近年セキュリティ上の懸念事項となっているChatGPTなどの生成AIツールの利用によるデータ流出にもSecureLayerはストッパーの役割を果たす。多くの企業では生成AIの活用方法を模索している状態だ。積極的に使用を推奨する企業がある一方、セキュリティ上の懸念から全面的に禁止する企業も少なくない。

使用を推奨する場合、個人情報や機密情報を入力しないよう注意する必要があるものの、各従業員が「何が機密情報に当たるか」を判断するのは難しい。最近では開発者が自社の機密コードをChatGPTに入力してしまい、情報漏洩につながる事例が複数発生している。

エシェド氏は「プログラムコードの生成や検証にChatGPTを使用する場合、使用を許可する場合でも、入力禁止の情報を明確に定義し、従業員に周知徹底する必要があります。しかし、それでも従業員が気づかずに入力してしまうケースが多いのが現状です。このような新たなリスクに対しても、SecureLayerは機密情報の入力を検知し、アラートを表示します」と説明する。

  • 例えば、ChatGPTに機密情報を含んだテキストを入力しようとするとアラートが出る

    例えば、ChatGPTに機密情報を含んだテキストを入力しようとするとアラートが出る

さらに津村氏はコストメリットも強調する。CASBやDLP(Data Loss Prevention)、ZTNA(Zero Trust Network Access)などはITインフラ全体を見直す必要があるため、コストがかかる。実際、これらのソリューションを適切に導入できている企業はごく一部の大規模企業だけだと津村氏は指摘する。

「日本は欧米に比べて中小企業の割合が高い。自社のIT部門でCASBやDLP、ZTNAを運用できる企業は圧倒的に少数でしょう。しかし、『ブラウザで守る』というアプローチであれば、自社でセキュリティツールを運用することが難しい中小企業でもセキュリティを確保できます」(同氏)。

価格は1ユーザーあたり月間1,000円(参考価格)だが、ボリュームライセンスも用意するという。アズジェントは3年間で2万ユーザーの販売を目指している。なお、津村氏によれば、現在はオールインワンの単一製品として提供しているが、将来的には日本市場のニーズに応じて機能を絞ったベーシックバージョンの開発も検討しているとのことだ。