Cisco Umbrellaでは、DNSレイヤによるセキュリティ対策機能を中心として、Webプロキシ、IPSを含むFW機能など多層での防御機能をクラウドサービスとして提供しています。

(Cisco Umbrellaの製品概要については下記ページをご覧ください。)

今回、新たなセキュリティ対策として RBI と呼ばれる高度な機能が実装されましたのでご紹介したいと思います。

RBIとは？

RBIとは"Remote Browser Isolation"の略称で、クライアント端末とは別のサーバー上でコンテンツを読み込み/実行することで
より安全なインターネットアクセス環境を提供する機能のことです。
通常、ユーザが閲覧するウェブのコンテンツは直接ユーザ端末で読み込まれ実行されます。
この際、読み込まれたページにブラウザ等の脆弱性を突く悪意のある動的コンテンツが含まれていると、情報漏洩やウイルス感染に繋がる有害な処理が自動的に実行されてしまう恐れがあります。

RBIの仕組み・効果

RBIでは、悪意のある動的コンテンツからユーザ端末を保護するため「コンテンツの読み込み/実行」をRBIサーバ側で行い、その結果として得られた見た目（レンダリング情報）だけをユーザ端末へ配信します。

ユーザ端末へ配信される見た目情報には悪意のある動的コンテンツが含まれることはないため、悪意のあるページへアクセスしたとしてもマルウェア感染などの被害の発生を防ぐことができます。

【HTMLソース比較】
サンプルとして、無害化される前のコンテンツ（HTMLソース）の比較です。

以下の無害化前のページでは約1000行にわたるオリジナルの内容がそのままユーザ端末で読み込まれています。

一方、RBIによる無害化後のページのソースが以下です。無害化後のページのソースではオリジナルのコンテンツはほとんど含まれておらず、見た目の情報を読み込むためのいくつかのスクリプトだけが読み込まれていることがわかります。

上記ように、ユーザ端末でではRBIによって処理された安全な見た目情報だけを読み込むことになるため、接続先のWebページに万が一悪意のある動的コンテンツが含まれていたとしても被害を防ぐことができます。

ファイル無害化

UmbrellaのRBIではWebページそのものだけではなく、ダウンロードされる文書ファイルの無害化にも対応しています。
RBIによって保護されている環境で文書ファイルへのリンクをクリックした場合、専用のビューワーが起動し、中身を閲覧/編集することが可能です。
また、ファイルを端末へ保存する際には、マクロやスクリプト等の潜在的な脅威を含む可能性のある要素を取り除いた「無害化処理済みバージョン」を選択することもできます。

これにより、たとえ悪意を持って作成された有害な文書ファイルでも安全に閲覧することができます。

最後に

簡単ではありますが今回はCisco UmbrellaのRBI機能についてご紹介させていただきました。Umbrellaでは、今回ご紹介したRBI機能以外にも複数の高度なセキュリティを搭載しておりますが、それらを併用したとしても非常にシンプルな構成で実現することが可能です。また、特定のURLやカテゴリのWebページのみをRBIの処理対象とすることや、ユーザ/グループ情報に紐づいたポリシを作成することができるため、運用中に例外的なポリシを加える必要が発生した場合も柔軟に対応することができます。簡単な手続きで期限付きトライアルを開始することもできますので、是非一度Umbrellaの導入の手軽さや管理性などを含めて体感いただき、導入についてご検討ください。