Data leak

長年、データ損失防止(DLP)ソリューションは、電子メール、エンドポイント、ネットワークトラフィックに焦点を当て、セキュリティチームは明確なポリシーを実施し、予測可能な結果を得ることができました。

しかし、仕事は変わりました。従業員は、管理された企業チャネルを通じてデータを移動するだけでなく、毎日ブラウザを通じて機密情報をコピー、ペースト、アップロード、転送しているのです。

インラインDLPは、従業員がSaaSアプリケーション内でどのようにデータを扱うかを制御するために構築されたものではありません。新たに採用されたAIツールやブラウザ拡張機能がリスク表面を静かに拡大する一方で、個人アカウントと企業アカウントは曖昧に混在しています。

ブラウザは今や最大のデータ流出ポイントであるにもかかわらず、セキュリティ戦略は境界ベースの世界から抜け出せないままです。真の課題は、単にデータ損失を検知することではなく、従来の防御策がデータ損失を見逃し続けている理由を理解することなのだ。

データ損失がブラウザで起こるメカニズム

データの流出は、USBメモリや不正な電子メールの添付ファイルといった明白な経路ではもはや起こりません。その代わりに、従業員がウェブ・ブラウザで作業しているときに、知らず知らずのうちにデータが流出しているのです。

開発者がAPIキーをChatGPTに貼り付け、認証情報を漏えいさせる。営業担当者がCRMの連絡先を個人のGoogleシートにエクスポートし、機密の顧客データを公開する。マーケティング・マネジャーがAIツールにOAuth権限を付与し、知らず知らずのうちに継続的なデータ・アクセスを許してしまう。

あからさまなセキュリティ違反ではないが、これらの日常的な行動は、データが承認されたアプリから正式に離れることがないため、制御をバイパスする。ブラウザは現在、このようなデータ移動の主要なチャネルとなっており、従業員は複数のSaaSアプリケーション間で機密情報をアップロード、コピー、転送しており、それぞれデータの取り扱いが異なっている。

このようなアプリケーションの利用の増加により、一貫したDLPポリシーの施行はますます複雑になっています。

  • データの暴露はアップロードにとどまらない:コピーペースト、ブラウザの拡張機能、Gen-AIプロンプトによって、機密データはファイル転送を超えて移動するようになりました。
  • クラウドストレージはデータ移動を難解にする:多くのSaaSプロバイダーは、AWS、Azure、GCPをバックエンドのストレージや署名付きリクエストに活用しているため、アップロードを特定のアプリケーションまで遡ることが困難になっている。
  • ブラウザ間でのデータの拡散: 従業員はChrome、Edge、Firefox、Safariを使用しており、それぞれがセキュリティチームにとって監視の盲点となっている。

データの行き先をよりよく理解するために、私たちはブラウザ間の共有ストレージの上位の保存先を分析し、ほとんどのアクティビティが個人的な行動と仕事上の行動が混在していることを明らかにしました。

Metrics pulled from Keep Aware users in recent State of Browser Security report
Keep Awareのユーザーから収集した、最近の「ブラウザ・セキュリティの現状」レポートの指標

1.個人アカウントの隠れたリスク

個人アカウントは、最も見過ごされている重大なデータ損失の原因の1つです。特にGoogle Workspace、Microsoft 365、ChatGPT、Dropboxでは、従業員が同じブラウザセッション内で仕事用と個人用のアカウントを定期的に切り替えているため、企業環境と非管理環境の境界線が曖昧になっています。

当社の最近の「ブラウザ・セキュリティの現状」レポートでは、このリスクの大きさを強調しています:

  • Googleウェブアプリの全ブラウザ・アクティビティの39%に個人アカウントが関与している。
  • 管理対象デバイスのアップロードイベントの34%が個人アカウントに送信されています。

通常、従業員が悪意を持って行動しているわけではありませんが、履歴書、納税申告書、個人情報などが、個人のクラウドストレージ、電子メール、メッセージングアプリなどを通じて、企業のデバイス上の日常業務に簡単に入り込んでしまうのです。

ブラウザベースのポリシーがなければ、セキュリティチームは、データが承認されたビジネスアカウントに移動しているのか、管理されていない個人アカウントに移動しているのかを制御することができない。

個人的なアップロードをすべてブロックすることは、現実的でも効果的でもありません。その代わりに、企業利用と個人利用を区別し、合法的な業務を中断することなくデータが承認された環境内に留まることを保証する、ブラウザ強制のポリシーが組織には必要です。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Keep Awareによるリアルタイムのブラウザ脅威対応

Keep Awareは、セキュリティチームにブラウザのアクティビティを即座に可視化します。クリックごとの遠隔測定、DOMツリー分析、脅威ブロック機能により、悪意のあるアクティビティが開始された時点で検出し、阻止することができます。完全な調査能力を獲得し、ブラウザの脅威がユーザー、データ、アプリケーションに害を及ぼす前に阻止できるようにします。

デモのリクエスト

2.動いているデータが最も危険

組織は機密情報を管理するために、データの分類とラベリングを急速に導入しています。マイクロソフトのPurviewのようなツールは、分類の取り組みを拡大しましたが、これらのソリューションは主に静止状態のデータに焦点を当てており、データが動いているときに大きな実施上のギャップが残ります。

SaaSアプリケーション、ブラウザー、コラボレーション・ツールを介して移動するデータを保護することが真の課題です。

当然のことながら、ほとんどのデータ損失は、情報が活発に扱われ、共有され、転送されるときに起こります。生産性を向上させるSaaSアプリケーションは、リスクの高いデータ暴露も引き起こします:

  • グーグルドライブやGmailにはビジネス文書が保存されているが、個人的な納税申告書も保存されている。
  • Slackはチームでのディスカッションを可能にしますが、無許可のファイル共有も可能です。
  • ChatGPTは報告書を要約しますが、機密の契約書も簡単に取り込むことができます。

従来のセキュリティ・モデルでは、既知の流出経路をブロックすれば十分だと考えられてきました。しかし、最も一般的に使用される業務アプリがデータ損失の最も一般的な原因である場合、静的なコントロールに頼ることはもはや通用しません。組織は、生産性を阻害することなく機密情報を確実に保護し、動き回るデータを保護するために、ブラウザ・レベルでリアルタイムに実施する必要がある。

3.拡張機能とシャドーIT:隠されたバックドア

直接的なデータ流出だけでなく、ブラウザの拡張機能とシャドーITサービスは、もう一つの大きなセキュリティ・ギャップを生み出している。従業員は日々、プラグインをインストールしたり、アプリにアクセス許可を与えたりしていますが、多くの場合、自分たちがどれだけのアクセス権を与えているのか気づいていません。

  • 悪意のある拡張機能:攻撃者は、拡張機能を使用してデータを吸い上げ、キー入力をキャプチャし、認証トークンを抜き取ります。
  • 同意フィッシング:従業員を騙して過剰なOAuthアクセス許可を与えさせ、ログアウト後も継続的にデータにアクセスさせる。
  • サードパーティとの統合:AIツール、メモアプリ、自動化サービスは、セキュリティチームが容易に監視できないような広範なデータ権限を要求することが多い。
Third-party components and offerings that attackers infiltrate as part of web supply chain attacks
攻撃者がウェブサプライチェーン攻撃の一環として侵入するサードパーティのコンポーネントや製品

ブラウザが新たなセキュリティ境界となる

ブラウザは、企業のセキュリティにおいて最も重要でありながら見過ごされているレイヤーとなっている。既存のセキュリティ対策は、電子メールやエンドポイント向けに構築されたものであり、すべてがブラウザを通じて処理される現代の業務には適していない。ブラウザでのリアルタイムの検知と対応は、もはやオプションではありません。

セキュリティ・チームは、データの行き先だけでなく、アプリケーション内部の可視性を必要としている。流出をブロックするだけでは十分ではなく、ソースでプロアクティブな保護が行われなければなりません。

ブラウザベースのDLPモデルは、セキュリティがデータを追跡し、作業を中断することなく一貫した保護を適用することを保証します。もっと詳しく知りたいですか?

Keep Awareのチームメンバーによる無料デモをリクエストして、組織におけるブラウザセキュリティの実装について詳細をご確認ください。

作成者ライアン・ボアナー

コンピュータエンジニアからサイバーセキュリティの実務家に転身したボアナーは、SOCアナリストとしてテキサス州の機関全体のネットワーク脅威に取り組むことから始まりました。ネットワークと電子メールのセキュリティを専門とし、その後IBMとDarktraceで専門知識を磨き、あらゆる規模の組織と仕事をした。セキュリティ・チームと従業員との間に決定的なギャップがあり、そこでは強力な防御が依然として脅威を通過させていると考えた彼は、ブラウザを企業セキュリティの礎石にするためにKeep Awareを設立した。

主催・執筆:Keep Aware