企業を取り巻くサイバー脅威は年々複雑さを増している。情報処理推進機構(IPA)が発表した最新の「情報セキュリティ 10 大脅威」では、ランサムウェア攻撃やサプライ チェーン攻撃に加え、地政学的リスクに起因するサイバー攻撃も新たな脅威として浮上した。これらの多様な攻撃の多くに共通するのは、その多くが Web サイトやメールを経由して侵入してくるという点だ。クラウド サービスの普及により業務の大半が Web ブラウザ上で行われる今、「ブラウザ起点のセキュリティ対策」こそが、複雑化する脅威への効率的な防御策として注目を集めている。
「情報セキュリティ 10 大脅威 2025」からみる、
セキュリティリスクの高度化
情報処理推進機構(IPA)が発表する「情報セキュリティ 10 大脅威」は、企業がセキュリティ対策を検討し、実行するうえで 1 つの指針になる資料だ。各脅威が自分自身や自組織にどう影響するか確認しながら読み進めることで、さまざまな脅威と対策を網羅的に把握できる。最新版である「2025[組織編]」では、2024 年に発生したセキュリティ事故や攻撃の状況から脅威を選出し、投票により順位付けして解説している。
最新版で 1 位、2 位となった「ランサム攻撃による被害の脅威」と「サプライ チェーンや委託先を狙った攻撃の脅威」は 3 年連続で 1 位と 2 位に選ばれており、依然として企業が対策として着目するべき重要なテーマだ。また「地政学的リスクに起因するサイバー攻撃の脅威」が初めて選出された。ランクされた脅威は、下図の通りだ。
出典:情報処理推進機構「情報セキュリティ10大脅威 2025」
もっとも、10 大脅威はそれぞれの脅威をランキング形式で紹介しているものの、その順位が危険度を表しているわけではなく、選考委員が「社会的に影響が大きかった」と判断した順位となっている。ここで重要なことは、セキュリティ対策情報を継続的に収集し、使用している機器やサービスなど状況に合わせた迅速な対応が求められるということである。
高度化・複雑化するさまざまな脅威に存在する共通項
これらの 10 大脅威に関して、多くの脅威には共通する手口がある。例えば、「ランサム攻撃による被害」では、その手口として「脆弱性を悪用しネットワークから感染させる」「不正アクセスによりネットワークから感染させる」「Web サイトやメールから感染させる」が挙げられている。また、2 位の「サプライ チェーンや委託先を狙った攻撃」は、「取引先や委託先が保有する機密情報を狙う」「ソフトウェア開発元や MSP(マネージド サービス プロバイダー)等を攻撃し、標的組織を攻撃するための足掛かりとする」といった手口が挙げられている。さらに、初選出された「地政学的リスクに起因するサイバー攻撃の脅威」では、その手口として「DDoS 攻撃」「ネットワーク貫通型攻撃」「スピア フィッシング(※特定のユーザーに狙いを定めた標的型のフィッシング攻撃)」「ソーシャル エンジニアリング」「偽情報の流布」が挙げられている。
これらはそれぞれ独立した手口ではあるが、攻撃対象領域を見ると、共通するところが見えてくる。具体的には、Web サイト / Web サービスやメールなどを経由した攻撃が多いということだ。同様に、5 位「機密情報等を狙った標的型攻撃」、6 位「リモートワーク等の環境や仕組みを狙った攻撃」、9 位「ビジネスメール詐欺」などもメールや Web サイト / Web サービスを経由することが多い。
IPA が挙げる情報セキュリティ対策の基本と、現代に求められる対策
セキュリティ対策の基本として 10 大脅威では以下を挙げている。
出典:情報処理推進機構「情報セキュリティ10大脅威 2025」
ソフトウェアの更新をはじめ、セキュリティ ソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威の手口を知ることなどがまず重要であり、そのうえで個別に必要なプラスアルファの対策を施すことで、被害の低減や最小化を目指していくことが基本となる。サイバー攻撃は複雑化しており、1つの対策ですべてを防ぐことは現実的に不可能なので、昨今では複数のソリューションを組み合わせることが前提となっている。
一方で、現代の業務はクラウド サービスがあらゆる場面で使用されており、それが前述の共通項である「Web サイト / Web サービスやメールなどを経由した攻撃」につながっている。それを知ることで対抗策の効果を高めることが可能だ。
Chrome Enterprise Premium による
ブラウザ起点の高度なセキュリティ対策
現代の業務ではクラウドサービスが広範に利用されている。例えばメールソフトではなく Web ブラウザを利用するユーザーもかつての時代に比べて格段に増えており、ブラウザは Web サイトの閲覧ツールではなくさまざまな業務を行うための重要な基盤となりつつある。ブラウザのみで完結できる業務環境はユーザーの利便性をもたらすメリットはあるが、逆にさまざまセキュリティの脅威の温床にもなり得るという点に注意しなければならない。普段何気なく行っている Web サイトへのアクセス、Web サイトでの情報入力、情報送信、ファイル アップロードやブラウザ経由のメール添付ファイルのダウンロードといった行動が、重大な事故発生の引き金となるケースも多い。
だが、逆の見方もできる。ブラウザを起点としたセキュリティ対策を強化することで、現代の複雑な脅威に対する多層防御のうちの有効な一手となりえるということだ。そしてこのブラウザを起点としたセキュリティ対策を実現するソリューションとして Google が提供しているのが「Chrome Enterprise」である。
Chrome Enterprise は組織内で利用される Chrome ブラウザを一元管理するツールであり、追加コストをかけずに導入して基本的なセキュリティ対策を強化する Chrome Enterprise Core と、より高度な脅威から組織を保護するセキュリティ機能を搭載した Chrome Enterprise Premium の 2 つのラインナップがある。
具体的に後者の Chrome Enterprise Premium では、未知のウイルスやリスクの高いファイルを動的にスキャンする「マルウェアの詳細スキャン」、きめ細かいポリシーで偶発的または意図的なデータ漏洩を防ぐ「データ損失防止(DLP)」、ユーザー、アクセス元の地域、デバイスのセキュリティ状況などに基づいてアクセスを制限する「コンテキスト アウェア アクセス」、カテゴリに基づいて URL へのアクセスを制限する「URL フィルタリング」、セキュリティインシデントが発生した際の監査証跡を行うため、ファイル等のデータを自動で保管する「エビデンス ロッカー」などがある。
これらの機能は、昨今のビジネス環境におけるさまざまなリスク解消に役立つ。例えば、URL フィルタリング機能では、組織が承認していない生成 AI サイトなどをカテゴリレベルでブロックし、シャドー ITを防止する。昨今目まぐるしい AI の進化とともに、様々な生成 AI ウェブサイトが増えている中で、企業で契約している生成 AI のみ利用させることで、企業の機密データが漏洩しないようにするのは言わずもがな大切だ。
また、DLP 機能については、特定の Web サイトや Web アプリケーションでのファイル ダウンロード、アップロードを防止するほか、ほかの DLP 製品では難しい Web ブラウザ上でのコピー&ペースト、またブラウザ外(ローカルのアプリケーション)へのペーストなどの制御も可能だ。特に生成 AI サービスは、情報をコピー&ペーストして送信するケースが多いため、同サービス利用におけるリスクを抑止するのにも有効となる。
ブラウザ起点のセキュリティ対策で
セキュリティ管理の簡素化と生産性向上を両立
このように、Chrome Enterprise Premium を利用すると、さまざまな業務の入口となるブラウザ上にてユーザーのリスクのある行動を管理・制御しセキュリティを強化できる。
昨今では、セキュリティ対策において多層的な対策が重要になるが、そこでは複数製品を導入することによる運用負荷増大が課題として生じやすい。その中で、Chrome Enterprise Premium を活用することで、多くのセキュリティ機能をブラウザに集約して一元的に管理できるようになり、セキュリティ担当者の運用管理負荷を軽減できる。
また、ブラウザ起点の対策のメリットは、ユーザーが使用する PC などにエージェント ソフトをインストールする必要がないことだ。ユーザーが Chrome ブラウザをすでに使っている場合は、ユーザーのデバイスへの追加のインストールやアップデートの手間もなく、また普段使い慣れているブラウザを使うことによって、ユーザーの操作性・利便性が損なわれることはない。管理の利便性向上とユーザーの生産性を両立できるというメリットを享受することができる。
冒頭の 10 大脅威でも言及したように、昨今では多種多様な脅威への対応策を検討しなければならない時代である。その中で導入負荷の少ない対策として、ブラウザ起点のセキュリティ強化は有効な選択肢の1つとなるだろう。
