企業の安全を守るために行う Chrome の継続的な取り組み

※この投稿は米国時間 2022 年 3 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

セキュリティと、長年にわたるユーザーの保護を強化する取り組みは、Chrome に関して私が最も好きなトピックの一つです。私は 14 年以上 Chrome チームに在籍し、このブラウザが自宅やオフィスで仕事をこなすために欠かせないツールに進化するのを実際に目にしてきました。同時に、Chrome は多くの場面で、インターネット上の不正なソフトウェアからユーザーを守るための頼れる防衛線となってきました。

セキュリティは、IT チームやセキュリティ チームにとって、かつてないほどの最重要事項となっています。COVID-19（新型コロナウイルス感染症）のパンデミックによりサイバー犯罪が 600% 増加し、さらにリモートワークによって生じるデータ侵害の平均損失は $137,000 増加しています。これは驚異的な数字です。また、IT チームは、技術スタックのすべてにおいて、セキュリティのニーズがサポートされていることを確認する必要があります。

Chrome は、迅速なリスクの軽減、悪質なサイトやコンテンツのブロック、ユーザーのデータや企業データの安全を確保するための積極的なウェブ上のセキュリティの向上、サンドボックス化やサイト分離といった新しい多層防御の開拓などに長年取り組んできました。セキュリティと Chrome について考えるとき、組織に対して可能な限り強力な保護を提供するには、複数のセキュリティの要素を組み合わせることが必要だと考えています。

考える必要のないセキュリティ: Chrome には、すべてのユーザーにとって有益な多くの保護機能がデフォルトで組み込まれています。これには、ゼロデイの状態を最小限に抑え、修正を迅速に公開するためのチームの作業も含まれます。Chrome を使用して自動更新を有効にすることで、企業に対してゼロデイ脆弱性の迅速な自動修正を提供します。先日、Chrome のセキュリティ チームが投稿した、野放しのバグの状況を説明する記事は一読の価値ありです。Chrome が提供する多層防御の例として、サイト分離やサンドボックス化といった機能があります。これにより悪質なコードがアクセスした他のサイトやユーザーのマシンに影響を与えることを防ぎます。Google のスキャン インフラストラクチャを使用することで、Chrome ウェブストアから有害な拡張機能を検出して削除し（実際、昨年はマルウェアが約 90% 減少しました）、エンドユーザーが悪質な拡張機能に感染することを防ぎます。これらは、Chrome に直接組み込まれた保護機能で、自動的にユーザーと組織の安全を保ちます。

Chrome ユーザーの保護: エンドユーザーがウェブを利用している間の安全を確保するため、追加の保護レイヤを提供し、潜在的なセキュリティ リスクがある場合はすぐに有用な情報を提供します。たとえば、Chrome でネイティブに提供されているセーフ ブラウジングでは、ユーザーが危険なサイトへの移動や、悪質なファイルのダウンロードを試みると、警告を表示してデバイスの保護をサポートします。パスワードの安全性についてもユーザーに分析情報を提供し、パスワードが漏洩した場合にはお知らせします。会社のポリシーに反してパスワードを再利用しようとした場合には、会社のパスワードを変更するように促します。Chrome の階層型セキュリティを活用することで、物事を成し遂げるために熱心に取り組んでいるユーザーへのワークフローのサポートと、ウェブ上での安全確保の両方を提供します。

企業向けの管理機能: 組織はそれぞれ固有のセキュリティに対するニーズを持っています。そのため、Chrome は、セキュリティに関する目標を達成するための高度な安全保護対策ときめ細かなポリシー管理を企業に提供しています。その中には、何百ものポリシーのオプションがあり、管理者は Chrome ブラウザ クラウド管理などのさまざまな管理ツールを使用してブラウザをカスタマイズできます。Chrome ブラウザ クラウド管理ではさらに踏み込み、多くの組織でセキュリティの最優先事項である、効果的な企業向け拡張機能管理を提供しています。Google の拡張機能のリクエスト ワークフローでは、エンドユーザーが拡張機能をリクエストし、管理者がそのリクエストを許可または拒否できます。また、最近リリースした拡張機能のバージョン固定機能を使用することで、管理者が特定のバージョンの拡張機能を固定して、社内のセキュリティ レビュー プロセスをサポートできるようになりました。

可視化とレポート機能は、IT チームをサポートするために重点を置いているもう一つの分野です。管理者は、Chrome ブラウザ クラウド管理を通じて、ブラウザ環境に関するより詳細なデータを得られます。このデータは、IT チームがセキュリティに関する意思決定を行い、Chrome を実行しているデバイスをより深く理解し、問題が発生した場合の調査に活用されます。

ゼロトラスト セキュリティ: 最後に、Chrome を使用してゼロトラスト アクセスモデルへ移行することで、企業のセキュリティ戦略のモダナイズをサポートします。BeyondCorp Enterprise では、Chrome に Threat and Data Protection を直接統合することで、エンドポイントの安全を確保します。これにより、意図的または偶発的なデータ損失から保護し、リアルタイムでマルウェアとフィッシングを防止します。さらに、Chrome と BeyondCorp Enterprise では、ブラウザから直接デバイスの信頼とエンドポイントのセキュリティ シグナルを提供し、お客様の環境へのゼロトラストの導入を大幅に簡略化します。2022 年には、サイバーセキュリティやゼロトラスト分野の主要企業と提携し、さらなる統合を進めていく予定です。

セキュリティに関する推奨事項については、新しい Chrome 2.1 CIS ベンチマークをご覧ください。ここでは、組織のセキュリティとコンプライアンスのニーズをサポートするために、Chrome ポリシーの構成に関する独自の推奨事項を取り上げています。