ブラウザ分離は重いのか アーキテクチャの解説と動画での体感

今回は、ブラウザ分離技術の仕組みと使用感について解説したいと思います。ブラウザ分離とは、Web分離 ※1 の一種であり、ブラウザアプリケーションとデバイスの実行環境を論理的に切り離すことによって、インターネット上の脅威からデバイスを保護し、安全なWebブラウジングを提供するソリューションを指します。RBI(Remote Browser Isolation)とも言われます。非常に強力なセキュリティ機能を誇りますが、ブラウザ分離中のユーザーの操作感については、パフォーマンスや使い勝手の面での課題が取り上げられてきました。

ブラウザ分離方式の種別と特徴

ブラウザ分離の実装にはいくつかの方式があり分類することが可能です。ここではまず主な分離方式の特徴について説明します。

1. 画面転送型
   クラウド上に仮想的なブラウザを用意し、そこでHTMLの取得、実行、表示の全てのブラウザ処理を実施します。ローカル上のブラウザへはHTMLの実行結果画面を画像として転送し、表示する方式です。比較的安価な製品が多いのですが、画像を転送するためネットワーク負荷が高いほか、動作のカクつきや、コピペができないなど、操作感に支障を与える場合があります。


2. DOM（Document Object Model）再構成型
   クラウド上に仮想的なブラウザを用意し、そこでHTMLの取得、実行、表示のブラウザ処理を実施します。ローカル上のブラウザへはHTMLの実行結果を画像ではなく要素として転送し、表示する方式です。Webページの構造によってはレイアウトが乱れる場合もありますが、画像ではなく描画命令を転送することから、ネットワーク帯域消費が通常のブラウジングと変わらない特徴を持ち、大きく操作感を損なうこともありません。


3. サンドボックス型
   クライアント端末へアプリケーションをインストール、またはローカル上のブラウザのプラグインとして導入し、クライアント端末で論理分割されたサンドボックス空間でブラウジングを実施します。ネットワーク帯域消費が変わらず、ブラウザ分離をしていない時の操作感ではあるものの、クライアント端末のリソースを消費するほか、製品によっては専用のブラウザアプリケーションを利用しなくてはならない場合があります。

これらのうち、Menlo SecurityではDOM再構成型に分類されるブラウザ分離機能を提供しています。

Menlo Securityの特許技術とアーキテクチャ

以下は、Menlo Securityのブラウザ分離の仕組みを簡単に図示したものです。インターネットアクセスの際にWebプロキシとしてMenlo Securityの仮想ブラウザを経由することにより、ブラウザ分離された安全なブラウジング環境が提供されます。

①エンドポイントからMenlo Security経由でHTTPリクエストを行う
②Menlo Securityが代理でHTTPリクエストを処理する
③Menlo Security上の仮想ブラウザがインターネット上のコンテンツを受け取る
④Menlo Securityの仮想ブラウザで、マルウェア感染のリスクのあるコンテンツの取得、実行、表示処理を行う
⑤マルウェア感染のリスクのない安全な表示結果のみを複製し、エンドポイントへ返送する

さらにMenlo Securityではブラウザ分離のパフォーマンスや利便性の課題に対し、ブラウザ分離の特許技術や、クラウド型のアーキテクチャを駆使して解決します。

1. Menlo Securityの特許技術であるACR
   Menlo SecurityではACR (Adaptive Clientless Rendering)と呼ばれる特許技術を持ち、デバイスへのエージェントインストール不要でブラウザ分離機能を提供します。また、この技術を用いてブラウザ分離された環境では、以下のようにブラウザ分離をしていないときと変わらないブラウザの利用が可能です。
• 　✔ カクつかないスムースな画面スクロール操作
• 　✔ ネイティブブラウザの右クリックメニュー利用
• 　✔ ブラウザ拡張機能の利用
• 　✔ 素早く、スムースな動画再生
• 　✔ 通常のコピーアンドペーストや印刷


2. Menlo Securityのアーキテクチャ
   Menlo Securityのサービスはすべてグローバルのクラウド上で提供されており、以下のような特徴を持ちます。
   • 　✔ 提供するすべてのサービスに対し、稼働率99.999%の高可用性
   • 　✔ グローバルスケールでのフェールオーバーに対応
   • 　✔ ユーザー数 / トラフィック量に応じて、オートスケーリング可能
   • 　✔ ダウンタイムなしでのサービスアップデートを実施
   
   その中で、実際にブラウザ分離を行うための個々の仮想ブラウザはDVC(Disposable Virtual Container)と呼ばれるコンテナ技術を用いた基盤上で動作しています。このDVC基盤の特徴として、仮想ブラウザはローカルブラウザのタブごとにDVC上に展開され、各仮想ブラウザが論理的に分割されていることにより万が一マルウェア感染しても周囲に干渉することはありません。また、タブを閉じると同時に仮想ブラウザのコンテナごと破棄される仕組みとなっています。さらに常に空の仮想ブラウザをプールしておくことで、仮想ブラウザ生成の遅延を防ぐ工夫が施されています。

動画で体感するMenlo Securityのブラウザ分離

Menlo Securityのブラウザ分離の様子を体感いただくため、YouTube動画視聴をブラウザ分離された環境とされていない環境において比較してみました。左側のFirefoxはブラウザ分離されていない環境であり、右側のChromeはブラウザ分離された環境となっています。実行環境が異なるため、正確なパフォーマンス比較とはならないものの、体感的にストレスなく動画視聴できることが感じられるのではないでしょうか。途中、Webページのソースコードが開かれますが、ブラウザ分離された右側のChromeでは、ソースコードが40行程度と非常に短くなっており、Menlo Security以外のスクリプトが実行されておらずコンテンツ無害化されている様子がご覧いただけます。

まとめ

Menlo Securityは上述の特許技術を用いて、ブラウザ分離を指定ない時の操作感と変わらないシームレスなブラウジングを提供することが可能です。既存のブラウザ分離製品において操作性やパフォーマンスへの課題感がある、または新規でブラウザ分離ソリューションに興味を持っているが、業務影響への懸念がある場合など、是非とも実際にMenlo Securityのソリューションをお試しいただければと思います。体験をご希望される場合は、お気軽に弊社までお問合せください。

※1 Web分離
組織のネットワークやシステムを物理的、または論理的にインターネットから切り離すことによって脅威の侵入を防ぐ対策の総称。ブラウザ分離以外の手法としては、ネットワークを物理的にインターネットから隔離してしまう方法や、デスクトップ環境ごと仮想化するDaaS(Desktop as a Service)やVDI(Virtual Desktop Infrastructure)、RDS(Remote Desktop Service)などが挙げられる。これらと比較して、ブラウザ分離はコスト面と利便性のバランスが良い。