IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
テレワークのセキュアブラウザ方式とは?データ保存を抑える仕組みと認証の注意点
目次
テレワークのセキュアブラウザ方式は、業務利用向けに制御された特別なWebブラウザを使い、社内システムやクラウドサービスへアクセスする方式です。総務省の「テレワークセキュリティガイドライン(第5版)」では、7種類のテレワーク方式の一つとして整理されています。社外から業務システムへアクセスする方式である以上、ブラウザ制御だけでなく、利用者本人と利用端末をどう確認するかも設計対象になります。
要点は、業務で使う画面やアプリケーションをセキュアブラウザ上に限定し、ファイルのダウンロード、印刷、コピー、キャッシュ保存などを制御することです。手元端末へ業務データを残す範囲を抑えられるため、資料閲覧、承認、簡単な入力、社内ポータル確認のような業務に適しています。
一方、万能な方式ではありません。業務はセキュアブラウザ上で動作するアプリケーションに限定されます。表計算ファイルの本格編集、CAD、開発環境、専用クライアント、複数アプリをまたぐ作業を広く再現する方式ではありません。対象業務、操作性、ファイル操作、認証、ログ、BYOD時の管理範囲を詰めないまま導入すると、利用者が通常ブラウザや個人用クラウドへ回避するリスクが残ります。
- 適した場面:社内ポータル閲覧、ワークフロー承認、メール確認、資料参照、マニュアル確認、ダッシュボード閲覧、簡単な申請入力
- 適しにくい場面:本格的な資料編集、専用クライアント利用、CAD、開発環境、動画編集、複数アプリをまたぐ作業
- 導入前の確認点:対応OS、対応ブラウザ、ダウンロード制御、印刷制御、コピー制御、多要素認証、端末認証、デジタル証明書、ログ、セッション、BYOD対応
7方式全体の違いはテレワーク方式の比較、自社条件から方式を絞る手順はテレワーク方式の選び方で整理しています。この記事では、セキュアブラウザ方式の仕組み、メリットと制約、他方式との違い、BYODで使う場合の注意点を解説します。
セキュアブラウザ方式とは
専用ブラウザで業務システムへアクセスする方式
セキュアブラウザ方式は、テレワーク端末上でセキュアブラウザと呼ばれる特別なインターネットブラウザを使い、オフィスネットワーク内の社内システムや、クラウドサービスで提供されるアプリケーションへアクセスして業務を行う方式です。ブラウザを業務用に制御することで、通常ブラウザよりも操作範囲やデータの扱いを絞り込みます。あわせて、社外から接続する利用者が正しい本人か、利用している端末が会社の許可条件を満たしているかを確認する設計が欠かせません。
総務省ガイドラインでは、セキュアブラウザ方式について、ファイルのダウンロードや印刷などの機能を制限でき、テレワーク端末上へのデータ保存を制限できるため、データ管理が容易になる方式として説明しています。画面を常時転送するリモートデスクトップ方式やVDI方式とは異なり、ブラウザ表示に必要なデータを送受信する構成のため、通信回線の影響が比較的小さい点も特徴です。
ただし、通信回線の影響をまったく受けないわけではありません。セキュアブラウザの画面表示にも一定の通信が発生します。通信帯域が不足する、クラウドサービス側の応答が遅い、端末の処理能力が低いといった条件では、操作感に支障が出ます。
「ブラウザでできる業務」に範囲を絞る方式
セキュアブラウザ方式の設計では、最初に対象業務を絞ります。社内PC全体を遠隔操作する方式ではなく、仮想デスクトップを配る方式でもありません。ブラウザ上で開ける社内ポータル、ワークフロー、メール、グループウェア、SaaS、ファイル閲覧画面などが主な対象です。
そのため、「社外から会社の業務をすべて行う」よりも、「社外から確認・承認・閲覧・簡単な入力だけを安全に行う」という使い方に合います。方式の役割を広げすぎると、利用者の業務要件を満たせず、結局ほかの方式との併用が必要になります。
セキュアブラウザ方式に適した業務
閲覧・確認・承認が中心の業務
適しているのは、短時間で完了し、ブラウザ上で処理できる業務です。たとえば、社内ポータルの確認、ワークフロー承認、メール確認、営業資料の参照、マニュアル確認、FAQ閲覧、ダッシュボード確認、簡単な申請入力などが候補になります。
外出中の営業担当者が訪問前に資料を参照する。管理職が移動中に承認処理を行う。自宅勤務中に社内ポータルや通達を確認する。こうした用途では、端末にデータを残す範囲を抑えながら業務を継続できます。
利用範囲を部門単位で切り出せる業務
セキュアブラウザ方式は、全社員の全業務へ一律に展開するよりも、対象部門や対象業務を切り出して導入する方が安定します。営業、管理部門、承認者、現場担当者など、業務の一部が閲覧・確認・申請で成立する部署では、段階導入しやすい方式です。
ただし、同じ「確認業務」でも、実際の手順には差があります。添付ファイルを開く、PDFを検索する、ワークフローのコメントを入力する、申請後の通知を確認する、過去資料を参照する。こうした細かい動作が成立しなければ、利用者は通常ブラウザや別の端末を使おうとします。業務単位での検証が必要です。
セキュアブラウザ方式に適しにくい業務
本格的な資料編集、表計算ファイルの加工、専用クライアントの利用、CADや開発環境の操作、複数アプリを行き来する作業には適しにくい方式です。ブラウザ上で一部の機能が使えても、日常業務の速度や操作性を満たせない場合があります。
たとえば、Excelファイルを細かく編集する、ローカルアプリで設計データを扱う、社内ファイルサーバ上の複数ファイルを横断して作業する、プリンターやUSB機器を使う、といった業務では別方式の検討が必要です。社内システム全体への接続を重視するならVPN方式、オフィスPCの作業環境を遠隔利用するならリモートデスクトップ方式、標準化された仮想環境を集中管理したいなら仮想デスクトップ(VDI)方式も比較対象になります。
近い方式との違い
| セキュアブラウザ方式 | 専用ブラウザを通じて社内システムやクラウドサービスへアクセスし、ダウンロード、印刷、コピー、キャッシュ保存などを制御する方式です。閲覧、承認、簡単な入力に適しています。 |
| セキュアコンテナ方式 | 端末内に通常領域とは分かれた仕事用領域を設け、その領域内で会社データや業務アプリを扱う方式です。対応アプリや設定によっては、軽い編集や複数アプリ利用まで対象にできる場合があります。 |
| クラウドサービス方式 | オフィスネットワークに接続せず、クラウドサービスへ直接接続して業務を行う方式です。共同編集や共有に適しますが、共有範囲、権限、ローカル保存、アカウント管理を別途設計します。 |
| リモートデスクトップ方式/VDI方式 | 社内PCや仮想デスクトップを遠隔利用する方式です。業務環境を再現しやすい一方、通信品質、基盤運用、画面転送、周辺機器、同時利用者数の設計が必要になります。 |
| VPN方式 | 社外端末から社内ネットワークへVPN接続する方式です。既存社内システムを使いやすい一方、端末管理、マルウェア対策、VPN機器の脆弱性管理、認証、ログ管理が重くなります。 |
主なメリット
端末へのデータ保存を抑えやすい
セキュアブラウザ方式では、ファイルのダウンロード、印刷、コピー、キャッシュ保存などを制限できます。端末へ業務データを残す範囲を抑えられるため、端末紛失や盗難時の影響を限定しやすくなります。
ただし、「保存しない設定にしたから安全」とは言い切れません。画面に表示された情報は覗き見や撮影の対象になります。ログイン情報が漏えいすれば、端末保存を抑えていても不正利用が起きます。端末保存制御は有効な対策の一部であり、多要素認証、端末認証、利用場所、教育、ログと組み合わせて扱います。端末をより厳密に確認したい場合は、デジタル証明書も有力な選択肢になります。
利用アプリケーションを限定しやすい
セキュアブラウザ上で利用できるアプリケーションに範囲を絞ることで、不必要なデータアクセスを減らせます。利用者が使う画面やシステムを限定できれば、権限設定やログ確認も行いやすくなります。
一方で、利用アプリケーションの限定は、業務範囲の制限でもあります。導入対象の業務がセキュアブラウザ内で完結しない場合、制限は利用者の負担になります。メリットと制約は表裏一体です。
画面転送方式より通信負荷を抑えられる場合がある
リモートデスクトップ方式やVDI方式は、画面転送を前提とするため、通信品質の影響を受けやすい構成です。セキュアブラウザ方式は、ブラウザ表示に必要なデータを送受信する構成のため、画面転送型と比べると通信回線の影響が小さい場面があります。
ただし、セキュアコンテナ方式のように端末側で処理する方式と比べると、通信の影響を受ける可能性があります。クラウドサービスや社内Webシステムの応答速度、添付ファイルの大きさ、同時接続数も検証対象です。
主なデメリット
対応アプリケーションに業務が限定される
セキュアブラウザ方式の最大の制約は、セキュアブラウザ上で動作するアプリケーションに業務が限られることです。資料やメールの閲覧、メール作成、簡単な入力には使えても、すべての業務を同じ水準で処理できるとは限りません。
導入予定の製品で、どの社内システムが使えるのか、添付ファイルをどう扱うのか、編集はどこまでできるのか、ダウンロード禁止時に業務が止まらないかを確認する必要があります。製品名や機能一覧だけで採用を決めると、現場の手順と合わないリスクが残ります。
通常ブラウザと操作性が変わる
一般的なWebブラウザと比べて、セキュアブラウザではファイル操作、コピー、貼り付け、印刷、保存、認証、セッション保持の挙動が変わる場合があります。セキュリティ上は望ましい制限でも、利用者にとっては作業負担になります。
操作性の違いは、導入後の問い合わせや回避行動につながります。PoCでは、ログイン可否ではなく、実際の業務手順で検証します。短時間のデモだけでは不足です。
データが残るタイミングは製品仕様に左右される
セキュアブラウザ方式では端末保存を抑えやすいものの、データが削除されるタイミングや制御できる操作は製品によって異なります。利用者の操作によって、意図せずデータが端末に残る場合もあります。
BYODで使う場合は、この点が特に問題になります。会社が端末全体を管理できない中で、どの範囲を製品が制御し、どこからを利用者ルールで補うのかを確認します。
セキュリティ上の確認点
認証を強化する
端末への保存を抑えても、認証が弱ければ不正利用を防げません。多要素認証、条件付きアクセス、端末ロック、一定回数以上の誤入力制限、セッションタイムアウト、退職者や異動者のアカウント停止を確認します。
社外からアクセスする以上、ログイン画面は会社システムへの接点になります。パスワードだけに依存する運用は避けます。利用者本人、端末、接続元、アクセス先の条件を合わせて制御します。たとえば、パスワードに加えて別要素を求める、許可された端末だけに接続を認める、端末に配布したデジタル証明書で端末を確認する、といった設計が候補になります。
ダウンロード・印刷・コピーの扱いを決める
どの操作を禁止し、どの操作を例外として認めるかを明文化します。全禁止にすれば安全に見えますが、業務が止まれば別ルートの利用が始まります。資料閲覧だけならダウンロード禁止で成立するのか、承認業務で添付確認が必要なのか、PDFの検索や拡大表示に支障がないかを確認します。
印刷、クリップボード、画面共有、ファイルプレビュー、添付ファイルの一時展開、ローカルキャッシュの扱いも確認対象です。設定画面で禁止できることと、現場で支障なく運用できることは同じではありません。
ログ取得と事故時の調査範囲を決める
誰が、いつ、どの端末から、どのシステムへアクセスしたか。どのファイルを閲覧したか。エラーや制御違反が起きたか。こうしたログをどこまで取得できるかを確認します。
事故時に必要なのは、単なるログイン履歴だけではありません。異常なアクセス、想定外の時間帯、通常と異なる端末、短時間の大量閲覧などを追えるかが問われます。ログの保存期間、閲覧権限、監査手順も合わせて決めます。
利用場所と画面表示のルールを決める
セキュアブラウザ方式でも、画面に表示された情報は人に見られます。カフェ、公共交通機関、コワーキングスペース、顧客先の待合室でどこまで利用を認めるかを決めます。機密性の高い資料は、自宅または会社が認めた場所に限定する判断もあります。
画面保護フィルター、離席時のロック、オンライン会議中の画面共有、スマートフォン撮影の禁止、周囲確認の徹底も運用ルールに含めます。技術制御だけで完結させない方が安全です。
会社支給端末とBYODで変わる点
会社支給端末では端末管理とブラウザ制御を組み合わせる
会社支給端末で使う場合は、端末そのものを管理しやすい点が利点です。OS更新、マルウェア対策、端末暗号化、画面ロック、MDM、アプリ制御、証明書配布などを組み合わせられます。特に、会社が許可した端末だけを業務アクセスの対象にしたい場合は、端末認証やデジタル証明書の発行・更新・失効手順まで含めて決めておきます。
総務省の中小企業等向け手引きでも、会社支給端末のセキュアブラウザ方式は、会社支給端末からセキュアブラウザを使い、社内システムやクラウドサービスに接続する方式として整理されています。端末へのデータ保存を行わず、セキュアブラウザに対応した業務を限定的に行う点が特徴です。
BYODでは管理範囲を明文化する
BYODで使う場合は、会社が私物端末全体を管理できない、または管理すべきではない場面があります。そこで、会社が確認する項目、利用者が守る項目、会社が遠隔停止できる範囲、退職時・紛失時の手順を文書化します。
確認項目は、OSバージョン、画面ロック、端末暗号化、マルウェア対策、脱獄・root化の禁止、共有端末の禁止、第三者利用の禁止、紛失時の連絡、アカウント停止、ログ取得への同意などです。個人所有端末である以上、利便性だけを見て採用すると、管理責任の境界が曖昧になります。
総務省ガイドラインでは、個人所有端末を使う場合、BYOD利用ルールの策定、端末に必要なセキュリティ対策が施されていることの確認、BYOD端末の管理が必要とされています。加えて、製品によってデータが削除されるタイミングが異なり、利用の仕方によっては意図せずデータが端末に残るおそれがある点にも留意が必要です。私物端末では管理範囲が限られるため、認証を強めるだけでなく、端末条件を満たさない端末を接続させない仕組みも検討します。
導入前に確認する項目
対象業務
最初に、ブラウザだけで成立する業務を洗い出します。閲覧、検索、承認、申請、コメント入力、添付確認、通知確認まで含め、実際の業務手順で確認します。業務名だけでは不十分です。
制御できる操作
ダウンロード、印刷、コピー、クリップボード、画面共有、キャッシュ、添付ファイルの一時保存、セッション保持、スクリーンショット制御を確認します。製品によって制御範囲は異なります。
認証と端末条件
多要素認証、端末認証、デジタル証明書、条件付きアクセス、対応OS、対応ブラウザ、端末ロック、暗号化、マルウェア対策、サポート終了OSの排除を確認します。BYODでは、会社がどこまで確認するかも決めます。証明書を使う場合は、発行、配布、更新、失効、端末紛失時の停止手順まで運用に含めます。
ログと監査
ログイン履歴、アクセス元、端末情報、閲覧履歴、制御違反、エラー、管理者操作ログを確認します。ログは取るだけでなく、誰が、どの頻度で、どの条件で確認するかまで決めます。
サポート体制
利用者が困るのは、制限にぶつかったときです。印刷できない、添付を開けない、コピーできない、セッションが切れる、通信が遅い。こうした問い合わせを社内で受けるのか、ベンダーへ切り分けるのかを決めます。BYOD端末の個別不具合をどこまで支援するかも線引きが必要です。
PoCで見るべきこと
PoCでは、製品が起動するか、ログインできるかだけを確認しても意味が薄いです。実際の業務画面を使い、閲覧、検索、承認、申請、添付ファイル確認、戻る操作、再ログイン、セッション切れ、通信が不安定な場面、禁止操作時の表示を確認します。
特に確認すべきなのは、利用者が「いつもの業務をどこまで代替できるか」です。セキュリティ制御が強くても、業務が止まれば定着しません。逆に、操作性を優先して制御を緩めすぎると、セキュアブラウザ方式を採用する意味が薄れます。
| 検証項目 | 確認内容 |
| 業務手順 | 閲覧、検索、承認、入力、添付確認、コメント、通知確認が実際の手順で成立するか。 |
| 制御 | ダウンロード、印刷、コピー、クリップボード、キャッシュ、画面共有を想定通り制御できるか。 |
| 認証 | 多要素認証、端末条件、セッションタイムアウト、アカウント停止が運用に合うか。 |
| ログ | 事故時に必要なアクセス履歴、操作履歴、管理者操作ログが残るか。 |
| 利用者負担 | 通常ブラウザとの差、入力のしやすさ、通信遅延、問い合わせ頻度を確認する。 |
まとめ
セキュアブラウザ方式は、専用ブラウザを使って社内システムやクラウドサービスへアクセスし、端末へのデータ保存やファイル操作を抑えるテレワーク方式です。閲覧、承認、簡単な入力のように、ブラウザ上で完結する業務に適しています。
評価すべき点は、端末保存制御、利用アプリケーションの限定、画面転送方式より通信負荷を抑えられる場面があることです。注意すべき点は、対象業務が狭いこと、通常ブラウザと操作性が異なること、BYODでは管理範囲が曖昧になりやすいことです。
導入判断では、対象業務、制御できる操作、認証、端末確認、ログ、会社支給端末とBYODの違い、サポート範囲を合わせて確認します。セキュアブラウザ方式は「安全なブラウザを入れれば終わり」ではありません。何をさせ、誰に使わせ、どの端末から認めるのかを業務単位で決めて初めて、テレワーク方式として機能します。
参考情報
よくある質問
Q.セキュアブラウザ方式はどのような方式ですか。
A.テレワーク端末上で専用のセキュアブラウザを使い、社内システムやクラウドサービスに接続する方式です。ファイルのダウンロード、印刷、コピー、キャッシュ保存などを制御し、端末に業務データを残す範囲を抑えます。
Q.VPN方式の代わりになりますか。
A.一部の閲覧、承認、申請業務では代替候補になります。ただし、社内ネットワーク全体へ接続する業務や、専用アプリを使う業務の全面代替にはなりません。ブラウザで完結する業務かどうかを先に確認します。
Q.どのような業務に適していますか。
A.社内ポータルの閲覧、ワークフロー承認、メール確認、営業資料の参照、マニュアル確認、ダッシュボード閲覧、簡単な申請入力などに適しています。短時間で終わり、ブラウザ上で処理できる業務が主な対象です。
Q.適しにくい業務はありますか。
A.本格的な資料編集、表計算ファイルの加工、CAD、開発環境、専用クライアントを使う業務、複数アプリを行き来する作業には適しにくい方式です。そうした業務ではVPN方式、リモートデスクトップ方式、VDI方式なども比較します。
Q.セキュアコンテナ方式とは何が違いますか。
A.セキュアブラウザ方式は、専用ブラウザ上で利用できるシステムやアプリケーションを対象にする方式です。セキュアコンテナ方式は、端末内に通常領域とは分かれた仕事用領域を設け、その中でアプリケーションやデータを扱う方式です。
Q.クラウドサービス方式とは何が違いますか。
A.クラウドサービス方式は、テレワーク端末からクラウドサービスへ直接接続して業務を行う方式です。セキュアブラウザ方式は、アクセス経路に制御されたブラウザを使い、ダウンロード、印刷、コピー、キャッシュ保存などの操作を抑える点に特徴があります。
Q.端末に保存しない設定なら安全ですか。
A.それだけでは不十分です。端末保存を抑えても、認証情報の漏えい、画面の覗き見、画面撮影、私用メモへの転記、不正ログインは残ります。多要素認証、端末認証、ログ、利用場所、利用者教育を合わせて設計します。デジタル証明書は、許可端末を確認する有力な選択肢です。
Q.BYODでも使えますか。
A.候補にはなりますが、私物端末なら自由に使えるという意味ではありません。OSやブラウザの条件、画面ロック、端末暗号化、マルウェア対策、紛失時の停止手順、会社が管理する範囲を事前に決める必要があります。
Q.導入前に最低限確認する項目は何ですか。
A.対象業務、対応OS、対応ブラウザ、ダウンロード制御、印刷制御、コピー制御、多要素認証、端末認証、デジタル証明書の扱い、ログ取得、セッション管理、BYOD対応、問い合わせ対応範囲を確認します。ログインできるかだけでは判断材料として不足します。
Q.PoCでは何を確認すべきですか。
A.実際の業務手順で、閲覧、検索、承認、入力、添付ファイル確認、印刷禁止、コピー禁止、セッション切れ、通信が不安定な場面での操作感、ログ取得の範囲を確認します。製品説明だけで採用可否を決めないことが大切です。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
