大多数のWebアプリケーションにとって、ブラウザで動作することは問題ではありません — アプリケーションは公開されており、データは機密ではなく、ユーザーが好きなデバイスからアクセスしても支障はありません。特権データ、規制対象のコンテンツ、社内管理パネル、サードパーティアクセスを扱う、より小さなアプリケーションクラスにとっては、このモデルこそが問題の本体です。アプリケーションのHTMLコード、それを実行するJavaScript、セッションを開くCookie、データを運ぶAPIレスポンス — すべてが組織が完全には制御できないデバイスに降りてきます。侵害されたブラウザ拡張機能、キーボードを盗み聞きするマルウェア、画面録画を行うトロイの木馬、あるいはそのマシンを使うべきでない人物 — これらのいずれもが目の前のアプリケーションに直接到達できます。
デバイス側で取られる対策 — ユーザーのコンピューターにインストールされるセキュリティポリシー、企業のモバイルデバイス管理ソリューション(MDM)、または業務トラフィックだけを企業ネットワークに向けるVPN構成 — はこのリスクを軽減しますが、完全には排除しません。なぜなら、それらはすべて同じ根本的な事実を変えないからです:アプリケーションはユーザーのマシン上で動作し続け、アプリケーションのすべてのコンテンツがそのマシンに渡されます。デバイスがどれほど厳格に管理されても、漏洩し得るものは依然としてそこにあります。
リモートブラウザ分離はこの経路をアーキテクチャレベルで閉じます。保護対象アプリケーションは、ユーザーのデバイスではなくTR7プラットフォーム上の完全に分離されたセッションで実行されます。ユーザーは標準的なブラウザタブを開き、動作するアプリケーションの画像だけを見ます。クリックとキーボード入力は分離されたセッションに送り返されます。アプリケーションの実際のコンテンツ — すべてのDOMノード、すべてのスクリプト、すべてのCookie、すべてのAPIレスポンス — は、組織がすでにセキュリティ境界を引いているプラットフォームの内部に留まります。
それぞれが単独でも重要です。組み合わせて見れば、アプリケーションをすでに配信し保護しているのと同じプラットフォームに組み込まれたリモートブラウザ分離がどのようなものかを物語ります。
保護対象アプリケーションはTR7エンジン上の完全に分離されたセッションで実行されます。ユーザーのブラウザには処理済みの画面画像だけが配信され、アプリケーションのHTMLコード、JavaScript、Cookieはユーザーに一切送られません。クリックとキーボード入力は分離されたセッションに送り返され、実際のアプリケーション上で実行されます。ユーザーのデバイスは実行環境ではなく、単なる表示画面の役割を果たします。
ユーザーは任意のモダンブラウザ(Chrome、Firefox、Safari、Edge)を開き、TR7経由で開かれるアドレスに接続します。ローカルクライアント、ブラウザ拡張機能、エージェント、VPNトンネルは不要です。同じ方法が、組織が管理するノートPC、従業員自身の電話、外部請負業者の個人マシン、共用コンピューターでも同じように動作します。必要なのは最新のブラウザだけです。
各分離セッションは、オペレーターが許可したドメインにロックされます。ナビゲーション要求、ページ内リンククリック、シングルページアプリケーションのリダイレクト、新規タブの試み — すべてが実行される前に許可リストに照らして評価されます。ユーザーがセッション途中で無関係なサイトに引きずり込まれることはなく、注入されたリダイレクトがセッションをあるべきでない場所へ向かわせることもありません。
各分離セッションは継続的に記録します:処理済み画面の動画、意味のあるイベント(クリック、ナビゲーション、フォーム送信)でトリガーされるスマートスクリーンショット、単語ベースのキーボードキャプチャ、内容を含むクリップボード操作、マウス位置とURL変更。別個の記録製品なしで、調査にすぐ使える証拠です。
リモートブラウザ分離は、アプリケーションを配信し、WAAPで保護し、アクセスゲートウェイを通じてユーザーを認証するのと同じTR7エンジン内で動作します。単一のvServiceモデル、単一のオペレーターコンソール、単一の監査証跡、単一の帯域幅モデル。ライセンスして統合する別個の製品ではありません。
以下のケイパビリティはすべて同じTR7プラットフォームの一部として提供されます。アプリケーションごとに、コードを書かずに構成できます。
各ユーザーセッションは、プラットフォーム上で自身の完全に分離された環境で実行されます。セッションはメモリを共有せず、Cookieを共有せず、ブラウザ状態を共有しません。ユーザーが接続を切断するとセッションは完全に解体され、セッション間に何も残りません。
処理済みアプリケーションは、任意のモダンブラウザを通じてユーザーにリアルタイムの画像ストリームとして届きます。エンドポイントは画像を受け取ります。画像を生成するHTML、操作を処理するJavaScript、認証状態を保持するCookieは受け取りません。
分離セッションが到達できるドメインを正確に定義します。初期ナビゲーション、ページ内リンククリック、サーバー側リダイレクト、シングルページアプリケーションのルート変更 — すべてが許可リストに照らして評価されます。最新のクライアント側ルーティングを使うアプリケーションも正しく扱われます — 最初の要求だけではありません。
新規タブの試み、ポップアップウィンドウ、ブラウザのコンテキストメニューは分離セッション内でブロックされます。ユーザーは制御された表面から任意のブラウジング環境へ逃げることはできません。特定のユースケースで例外が必要な場合はアプリケーションごとに構成できます。
スクリーンショットはユーザーが実際に行ったこと — クリック、ナビゲーション、フォーム送信、コピー操作 — でトリガーされます。ナビゲーション前後のペアが「何がクリックされ → 何が開いたか」のストーリーを捉えます。マウス位置がスクリーンショットにマークされます。ページは途中まで描画された状態ではなく、読み込みが完了した後に捉えられます。
キーストロークは生のキーコードではなく、読める単語イベントとして記録されます。自動リピートはフィルタリングされます。Backspaceはインラインでマークされます。コピー、カット、ペースト操作は実際の内容とともにログされます。セキュリティアナリストは低レベルのイベント列ではなく、ユーザーが入力した内容の利用可能なトランスクリプトを読みます。
分離セッション内のすべてのコピー、カット、ペースト操作が内容とともにキャプチャされます。オペレーターはセッション中にクリップボードを通過した正確なデータを見られます — フォームフィールドに貼り付けられた値や、アプリケーションからコピーされたテキストを含みます。
セッションの完全な処理済み出力が、ユーザーの接続の全期間にわたって動画として記録されます。事後レビュー、紛争解決、トレーニング、監査、規制提出に役立ちます — ユーザーが何を見て何をしたかを正確に再生できます。
TR7のanti-OCR処理、フォレンジックウォーターマーク、テキスト暗号化のケイパビリティは、分離セッションの画像ストリーム上で動作します。アプリケーション表面がプラットフォーム側にあって初めて、これらの表示保護が可能になります — ユーザーに届く前にピクセルそのものを形作るのです。
オペレーターは任意のアクティブセッションを管理コンソールからリアルタイムで監視し、保護設定(ウォーターマークテキスト、anti-OCR強度、許可リストエントリ)を即座に変更し、その効果を即座に確認できます。セッションは再起動されず、ユーザーの接続も切れません。
構成可能なアイドルタイムアウトが放置されたセッションを自動終了します — プラットフォームリソースを解放し、ロック解除された画面が無期限に生き続けるのを防ぎます。セッションは適切に閉じられ、コーディネーターに通知が送られるので、ユーザーのスロットを再利用できます。
ほとんどの記録製品は1つのことをうまく行います — 動画、スクリーンショット、またはキーボードログ。TR7は3つを併せて記録し、それぞれを後でセキュリティチームが実際に活用できる形に設計します。
スクリーンショットは意味のあるユーザー操作で取られます:クリック、ナビゲーション、フォーム送信、コピーまたはペースト操作、重要な管理アクション。定期的なスクリーンショットは多くの場合空のフレームを生みますが、イベントトリガーのスクリーンショットは常になぜ取られたかを示すフレームを生みます。結果として、はるかに短く、はるかに信号性の高いキャプチャセットになります。
ユーザーがナビゲーションをトリガーする何かをクリックすると、2枚のスクリーンショットがキャプチャされます:1枚はクリックされた瞬間のページ、1枚はターゲットが完全に読み込まれた後。ペアは「何がクリックされ → 何が開いたか」のストーリーを語ります。調査者はどのクリックがどのページを生んだかを推測する必要がありません。
各スクリーンショットには、キャプチャ時にマウスがどこにあったかを示す可視マーカー(赤い円)が含まれます。ユーザーがクリックまたはホバーした正確な要素が一目でわかります — スクリーンショットのタイムスタンプに対して別個のマウスログを関連付ける必要はありません。
スクリーンショットはページの読み込みが完了した後 — 保留中のネットワーク要求が完了し、ブラウザが落ち着いた後 — に取られます。オペレーターはページを途中まで描画された中間フレームとしてではなく、ユーザーが実際に見たとおりに見られます。
キーはスペース、Enter、Tab、短いタイムアウトでバッファされフラッシュされます — そのためログは個々のキーストロークの列ではなく、単語とコマンドとして読めます。自動リピートはフィルタリングされます。Backspaceはインラインのマークとして現れます。クリップボード操作は実際の内容をログします。トランスクリプトは利用可能な記録として読めます。
セッション全体が、スマートスクリーンショットと並行して動画記録されます。動画は時間的なコンテキストを与えます — スクリーンショットをトリガーした瞬間の前後に何が起きたか。両者は重要な瞬間と継続的な記録の双方をカバーします。
企業のワークステーションから、ましてや個人デバイスから、決して直接アクセス可能であってはならない産業制御インターフェース。オペレーターはSCADAコンソールにブラウザ経由でアクセスし、アプリケーション自体はTR7プラットフォーム上、ユーザーのエンドポイントから離れた場所に留まります。
クラウド管理コンソール、データベース管理ツール、CI/CDパネル、内部制御プレーン — 侵害された1つの管理者エンドポイントが攻撃者に本番アクセスを与えかねない高価値ターゲット。分離はコンソールを管理者のノートPCではなくプラットフォームに置きます。
法律文書、財務諸表、M&Aデータルーム、取締役会資料、規制提出物 — 組織が見せるが外部に持ち出されてほしくないすべて。分離セッションがanti-OCRおよびウォーターマークと組み合わさると、文書ダウンロード経路とスクリーンショット経路の双方を閉じます。
特定の期間、限定された権限でアクセスを与えられる外部従事者。アプリケーションに任意のブラウザから到達し、役割に必要な部分だけを見て、作業が終わると完全に記録されたセッションが残ります。組織所有のノートPCを支給する必要はなく、請負業者のマシンにインストールして管理すべきVPNクライアントも不要です。
個人のノートPC、携帯電話、自宅のコンピューターから接続する従業員。組織はこれらのデバイスを管理せず、何がインストールされているかを知らず、アプリケーションコンテンツをこれらのデバイスに渡すべきではありません。分離は、この種のデバイスを再び安全に受け入れ可能なアクセス経路に変えます。
臨床スタッフは患者記録、検査結果、画像を画面で読む必要があります — しばしば共用ワークステーションやモバイルデバイスから。保護対象のビューアはプラットフォーム上で動作します。表示する必要のあるPHIを漏洩させ得るものは、ユーザーのデバイスに一切届きません。
TR7リモートブラウザ分離をライブデモでご覧ください。同じWebアプリケーションがプラットフォーム上の完全に分離されたセッションで動作する様子、画像ストリームがブラウザに届く様子、オペレーターがリアルタイムで見るセッション記録を、併せてお見せします。