Amazon WorkSpaces Secure Browser

Amazon WorkSpaces Secure Browser は、WebブラウジングそのものをAWS上の隔離された環境で実行し、その画面を利用者のブラウザへストリーミング配信するフルマネージドのリモートブラウザ分離（RBI）サービスです。利用者は専用クライアントや高性能な端末を用意することなく、手元のブラウザからポータルにアクセスするだけで、内部Webアプリやインターネットを安全に利用できます。

解決する課題

Webブラウザは業務に不可欠である一方、悪意あるサイトや添付ファイル、ブラウザ拡張などを通じてマルウェア感染や情報漏えいの入口になりやすい存在です。BYOD（私物端末の業務利用）や外部委託先からのアクセスでは、端末そのものを組織の管理下に置けないため、内部Webアプリへ安全に到達させること自体が難しくなります。

WorkSpaces Secure Browser はブラウジングの実行をAWS側に集約し、画面だけを配信することで次のような課題を解決します。

• 危険なコードやファイルを端末から隔離し、Webサイト由来の脅威が手元の端末に到達しないようにする
• 端末に何もインストールせず、ブラウザだけで内部Webアプリやインターネットへアクセスさせられる
• セッション終了時に環境を破棄するため、閲覧データや認証情報を端末に残さない
• 短期契約者や委託先など、管理下に置けない端末からでも安全に社内Webアプリを使わせられる

主要概念と用語

• リモートブラウザ分離（RBI）: Webブラウザの実行を利用者の端末から切り離し、隔離された場所で動かして画面だけを届ける考え方。WorkSpaces Secure Browser はこれをマネージドで提供する
• Webポータル: 利用者がブラウジングセッションを開始する入口。ポータルにアクセスすると、AWS側でブラウザセッションが払い出される
• セッション: 利用者ごとに払い出される隔離されたブラウザの実行単位。原則として一時的で、終了時に破棄される
• ユーザーアクセスロギング: セッション中の操作（アクセス先URLやイベント）を記録し、監査やトラブル調査に使う仕組み
• ブラウザポリシー: クリップボード、ファイルのアップロード／ダウンロード、印刷、URLのフィルタリングなど、ブラウザの挙動を制御する設定
• IDプロバイダー連携: 既存のIDプロバイダーとSAMLで連携し、利用者を認証する仕組み。普段のアカウントでサインオンできる
• ネットワーク設定: セッションをVPCに接続し、内部Webアプリやオンプレへの到達経路を与える設定

仕様・制限・クォータ

• ブラウジングはAWS側のマネージド環境で実行され、利用者の端末には画面のピクセルと入力だけがやり取りされる
• 利用者の認証は、SAMLによるIDプロバイダー連携を通じて行うのが基本
• セッションには最大継続時間やアイドル切断時間などの上限を設定でき、放置されたセッションを自動で終了できる
• クリップボードやファイル転送、印刷、URLフィルタリングといった挙動はブラウザポリシーで細かく制御できる
• 1アカウント・1リージョンあたりのWebポータル数や同時セッション数にはクォータがあり、一部は引き上げ申請が可能
• 利用できるリージョンやブラウザ機能の対応状況は変動するため、最新の対応は公式ドキュメントで確認する

内部の仕組み

利用者がWebポータルにアクセスすると、AWSが管理する基盤上で隔離されたブラウザセッションが起動します。実際のWebページの読み込みやJavaScriptの実行はこの隔離環境の中で行われ、その描画結果がストリーミングプロトコルで圧縮されて利用者のブラウザへ送られます。利用者のマウスやキーボードの入力は逆方向に送られ、隔離環境側のブラウザへ反映されます。

つまり、危険なコードやファイルが処理されるのはあくまでAWS側であり、端末側は表示と入力の窓口として機能します。Webサイト由来のマルウェアや悪意あるスクリプトは隔離環境の中に留まり、セッション終了時に環境ごと破棄されるため、端末や次の利用者へ持ち越されません。

• 認証はSAML連携で行い、利用者は普段のアカウントでサインオンできる
• セッションはVPCに接続でき、内部Webアプリやオンプレへの経路を与えられる
• セッションは原則一時的で、終了時に閲覧データや認証情報ごと破棄される

設計パターン / ベストプラクティス

• 内部Webアプリの公開: ネットワーク設定でVPCに接続し、社内Webアプリへ安全な経路だけを開けて、端末を管理下に置かずにアクセスさせる
• データ持ち出しの制御: ブラウザポリシーでクリップボード、ファイルのアップロード／ダウンロード、印刷を要件に応じて制限する
• URLフィルタリング: 許可するドメインを絞り、業務に関係ないサイトや危険なサイトへのアクセスを抑える
• 既存IDとの連携: SAML連携で既存のIDプロバイダーを使い、利用者管理とアクセス制御を一元化する
• セッション上限の設定: 最大継続時間とアイドル切断を設定し、放置セッションを自動終了させて無駄と残留リスクを減らす

運用・監視

• CloudWatch でセッション数や利用状況のメトリクスを監視し、容量や利用傾向を把握する
• ユーザーアクセスロギングを有効にし、アクセス先URLやセッションイベントを記録して監査やトラブル調査に使う
• CloudTrail でWebポータルやポリシーの作成・変更といった管理操作を記録し、監査に利用する
• ブラウザポリシーやURLフィルタリングは運用ルールとして定期的に見直し、許可範囲を最新化する
• 利用者の追加・削除はIDプロバイダー側のグループ管理と連動させ、退職者のアクセスを速やかに失効させる

コスト

WorkSpaces Secure Browser の料金は、おおむね利用したセッション時間に対する従量課金が基本で、月額の固定費を別途必要とせずに使い始められる体系になっています。専用クライアントやVDIのように常時稼働するインスタンスを前提としないため、間欠的な利用や、利用者数が読みにくい用途と相性が良いのが特長です。

正確な料金は変動するため、設計時には公式の料金ページで最新の体系を確認してください。利用パターンに合わせてセッション上限を設定し、放置セッションを早めに終了させることが、無駄なセッション時間の削減につながります。

セキュリティ

• Webページの実行とデータの保持はAWS側の隔離環境で行われ、端末にはピクセルだけが届くため、脅威やデータを端末に残さない
• セッションは原則一時的で、終了時に閲覧データや認証情報ごと破棄され、利用者間での残留を避けられる
• VPC配置とセキュリティグループ・ルーティングで、内部Webアプリへの通信経路を制御できる
• SAML連携で利用者を認証し、IAMで管理操作の権限を分離する
• クリップボード、ファイル転送、印刷、URLフィルタリングをブラウザポリシーで制御し、データの持ち出しと危険サイトへの到達を抑える

関連サービス・比較

デスクトップ環境全体を提供する Amazon WorkSpaces としばしば比較されます。WorkSpaces Secure Browser は「ブラウジングだけを隔離して安全に届ける」ことに特化し、WorkSpaces は「ユーザー専用のフルデスクトップを提供する」点が大きく異なります。なお他クラウドでは、リモートブラウザ分離は専用製品やサードパーティのRBIソリューションとして提供されることが多い領域です。

特定のWebアプリやインターネットを端末から隔離して安全に使わせたいなら WorkSpaces Secure Browser、フル機能のデスクトップを各ユーザーに持たせたいなら WorkSpaces、という使い分けが基本です。

ハンズオン / CLI例

CLI でWebポータルを作成し、設定を確認する例です。サービスの API 名前空間は workspaces-web です。

# Webポータルを作成する
aws workspaces-web create-portal \
  --display-name demo-secure-browser

# 作成済みのWebポータルを一覧表示する
aws workspaces-web list-portals \
  --query "portals[].{Name:displayName,Arn:portalArn,Status:portalStatus}"

# 指定したWebポータルの詳細を確認する
aws workspaces-web get-portal \
  --portal-arn arn:aws:workspaces-web:ap-northeast-1:123456789012:portal/abc123