ふと立ち止まりながら今の仕事環境を見渡してみると、PCにインストールされた文書作成や表計算、プレゼンテーション用のアプリケーションを起動する機会は減り、ブラウザ経由で利用するクラウドアプリケーションで業務をこなす時間が増えていないだろうか。
こうした変化の中で、いまやブラウザそのものが企業システムへの新たな攻撃対象として注目されている。
企業のサイバーセキュリティ戦略におけるプラットフォーム化を推進し、SASEやエンタープライズブラウザの普及に取り組むパロアルトネットワークスのプラットフォーム事業本部ビジネスプリンシパルである和田一寿氏に、ブラウザセキュリティ対策の重要性について話を聞いた。
企業のセキュリティ戦略に「大きな盲点」がある
Salesforceによる顧客管理、Slackでの業務連絡、Boxでのファイル共有──。これらの多くはブラウザ、あるいはWeb技術を基盤とするアプリケーションとして提供されている。一方で企業のセキュリティ投資は、依然としてネットワーク境界やエンドポイント対策に比重が置かれており、クラウドやブラウザを前提とした防御対策へのシフトはいまだ道半ばにある。
仕事環境がブラウザ中心へと移行しているにもかかわらず、セキュリティ対策は依然としてパソコン本体やオフィスのネットワーク機器に重点が置かれている。この投資と実態のミスマッチこそが、現代企業のセキュリティ戦略における大きな盲点だ。
パロアルトネットワークスの和田氏は「ブラウザこそが、現在のビジネスにおける最大のセキュリティホールになっている」と警鐘を鳴らす。
「ブラウザで多様な業務が行われ、認証自体もブラウザを通過します。例えばGoogle Workspace上での作業が中心の環境では、業務で使うブラウザ以外のクライアントアプリはSlack程度というケースも珍しくありません。そのSlackにログインする際も、OktaなどのSSO(シングルサインオン)を利用している場合は、認証フローの中でブラウザ、あるいはブラウザベースの認証画面が介在します。もしもブラウザが乗っ取られてしまえば、大事な情報が根こそぎ奪われる懸念があります」
パロアルトネットワークスが2025年に実施した調査レポートによると、侵害過程の約48%にブラウザが関与しているという統計が出ている。攻撃のトリガーが必ずしもブラウザでない場合でも、何らかのかたちでブラウザが侵害のステップに含まれるケースが急増しているのだという。
