Amazon WorkSpaces Secure Browser に関するよくある質問

Q: Amazon WorkSpaces Secure Browser とは何ですか?

Amazon WorkSpaces Secure Browser は、フルマネージドのクラウドネイティブなホスト型ブラウザサービスで、プライベートウェブサイトや SaaS (Software-as-a-Service) ウェブアプリケーションに安全にアクセスしたり、オンラインリソースを操作したり、匿名でインターネットを閲覧したりすることができます。 WorkSpaces Secure Browser は、アプライアンス、インフラストラクチャ、専用のクライアントソフトウェア、または仮想プライベートネットワーク (VPN) 接続の管理で IT 部門に負担をかけることなく、ユーザーの既存のウェブブラウザと連携して動作します。ウェブコンテンツはユーザーのウェブブラウザにストリーミングされますが、実際のブラウザとウェブコンテンツは AWS で分離されます。Amazon WorkSpaces や Amazon AppStream2.0 などの AWS エンドユーザーコンピューティングサービスで利用されているのと同じ基盤テクノロジーを利用することで、WorkSpaces Secure Browser は従来の仮想デスクトップよりも費用対効果が高く、会社所有のデバイスに管理ソフトウェアを提供する場合に比べて複雑さを軽減できます。

Q: WorkSpaces Secure Browser を使用すべきなのはなぜですか?

WorkSpaces Secure Browser は、ウェブ経由で企業データに安全にアクセスできるようにすると同時に、データ漏えいやリモートデバイスとの危険な接続のリスクを軽減するクラウドネイティブソリューションです。多くのワークロードは、従来のデスクトップ環境から SaaS アプリケーションやカスタムビルドの内部ウェブサイトへと移行しています。その結果、ブラウザは多くのユーザーにとって重要な生産性アプリケーションとなりました。ブラウザトラフィックを保護するための代替ソリューションは、過度に許容度が高い、高コスト、または複雑であったり、ユーザーが会社のデータにアクセスするために使用する可能性のあるデバイスを制限したりすることがあります。

Q: WorkSpaces Secure Browser は Amazon WorkSpaces ファミリーサービスとどのように関連していますか?

WorkSpaces Secure Browser は WorkSpaces ファミリーの一部であり、あらゆるワークロードに対応するフルマネージドかつ安全で信頼性の高い仮想デスクトップソリューションを提供します。Amazon WorkSpaces は、AWS によって完全に管理される、従来型の完全に永続的な Windows または Linux 仮想デスクトップを提供します。 WorkSpaces Secure Browser は、仮想デスクトップよりも低コストで社内のウェブサイトや SaaS アプリにアクセスするための安全なホスト型ブラウザを提供します。これらのサービスには、Amazon WorkSpaces シンクライエントなど、マネージドか否かを問わず、さまざまなデバイスからアクセスできます。

Q: WorkSpaces Secure Browser の使用を開始するにはどうすればよいですか?

AWS マネジメントコンソールから WorkSpaces Secure Browser サービスを検索し、希望するリージョンにウェブポータルを作成します。まず、[ウェブポータルを作成] を選択し、アカウントの Amazon Virtual Private Cloud (VPC)、サブネット、セキュリティグループを選択します。これらのリソースは、ユーザーがサービスを通じてアクセスするプライベートまたはインターネットベースのリソースとポータルを接続します。次に、インスタンスタイプを選択し、ブラウザポリシー (URL フィルタリング、デフォルトホームページなど)、およびユーザー設定 (クリップボードへのアクセス、File Transfer など) を設定して、ポータル設定を作成します。これらの設定は、ユーザーのセッション中に適用されます。最後に、ユーザー認証とシングルサインオンのために、既存の SAML 2.0 ID プロバイダー (IdP) (Okta、Ping、AWS IAM アイデンティティセンターなど) をポータルとフェデレートできます。WorkSpaces Secure Browser ポータルが作成されると、ユーザーはサインインして閲覧できるようになります。

Q: WorkSpaces Secure Browser ではどのように企業のネットワークと通信しますか?

WorkSpaces Secure Browser は、特定の Amazon Elastic Compute Cloud (EC2) インスタンスをオンデマンドでプロビジョニングします。必要なのは、アカウントで既存の VPC を作成または識別して、WorkSpaces Secure Browser トラフィックのサブネットを選択し、Cross-Account Elastic Network Interfaces (X-ENI) を作成するための許可を WorkSpaces Secure Browser に付与することだけです。作成された X-ENI は、アカウントに割り当てられたホストにリンクされます。VPC には、サービスを使用してユーザーにアクセスさせたいコンテンツへの安定した接続が必要です。Google Chrome の 300 以上のユーザーポリシーとデータポリシーを使用してブラウザポリシーを設定および適用したり、File Transfer、クリップボード、ローカルプリンターへのユーザーのアクセスを制御したりできます。お客様は、Amazon VPC からインターネットと内部コンテンツの両方へのネットワークについての責任を負っています。お客様の内部コンテンツは、作成された Amazon VPC (例えば、Amazon EC2 インスタンス上でホストされるアプリケーション) またはその VPC とピアリングした別の VPC 内に置くことができるほか、オンプレミス、またはパブリックインターネットに存在させることもできます。オンプレミスでホストされるリソースは、(例えば、IPsec トンネル、AWS Direct Connect、AWS Transit Gateway などを経由して) アクセス可能である必要があります。

Q: エンドユーザーが WorkSpaces Secure Browser の使用を開始するにはどうすればよいですか?

ポータルを作成したら、ポータルの URL をユーザーと共有します。一般的な配布方法には、ポータルを SAML プロバイダーのアプリケーションゲートウェイに追加して ID プロバイダーが開始する認証フローを作成する方法、サービスプロバイダーが開始する認証エクスペリエンスのためにユーザーに URL を直接 E メールで送信する方法、既に所有しているドメインからポータル URL にリダイレクトする方法、管理するデバイスまたはアプリケーションにブックマークまたはリンクとして URL を強制的にインストールする方法などがあります。WorkSpaces Secure Browser は WorkSpaces シンクライアントと一緒に使用することもできます。URL を取得すると、ユーザーは SAML ID でサインインし、デバイスのウェブブラウザからウェブサイトへのアクセスを開始できます。

Q: WorkSpaces Secure Browser ではどのデバイスを使用できますか?

ユーザーは、デスクトップ、ラップトップ、または Amazon WorkSpaces シンクライアントを含むシンクライアントコンピュータから WorkSpaces Secure Browser に接続できます。 WorkSpaces Secure Browser には、Chrome や Firefox などの一般的なウェブブラウザや、Windows、macOS、Linux などの主要なデスクトップオペレーティングシステムでサポートされているウェブクライアントを介してアクセスします。

Q: WorkSpaces Secure Browser ではどのようなウェブアプリケーションを使用できますか?

WorkSpaces Secure Browser ピクセルは Google Chrome ブラウザの最新バージョンをストリーミングするため、ウェブサイトのコンテンツが Google Chrome で表示される場合、WorkSpaces Secure Browser でも表示されます。Google Chrome は Flash や Java を必要とするサイトをサポートしていないため、WorkSpaces Secure Browser はそれらのサイトとは互換性がありません。

Q: WorkSpaces Secure Browser ではどのようなウェブアプリケーションを使用できますか?

WorkSpaces Secure Browser は、内部またはパブリック SaaS ウェブアプリケーションに接続できます。 最新の Google Chrome ブラウザで動作する SaaS ウェブアプリケーションであれば、WorkSpaces Secure Browser は動作します。

Q: WorkSpaces Secure Browser は SaaS アプリケーションと連携しますか?

WorkSpaces Secure Browser は、内部またはパブリック SaaS ウェブアプリケーションに接続できます。 最新の Google Chrome ブラウザで動作する SaaS ウェブアプリケーションであれば、WorkSpaces Secure Browser は動作します。

Q: WorkSpaces Secure Browser で E メールを利用できますか?

WorkSpaces Secure Browser は、E メール向けのウェブインターフェイスをサポートしています。例えば、エンドユーザーが Microsoft Outlook Web Access を利用して E メールにアクセスできるよう設定できます。ただし、WorkSpaces Secure Browser はネイティブな E メールクライアントの E メールには対応していません。

Q: WorkSpaces Secure Browser はウェブベースのコラボレーションツールや会議ツールをサポートしていますか?

はい。お客様はインスタンスタイプを最適化できます。これは、インタラクティブ性の高いウェブサイトで特に役立ちます。デフォルトでは、すべてのポータルは静的ウェブサイト (Wiki、ディレクトリ、CRM ツール、ウェブベースの E メールなど) の閲覧用に最適化された Regular インスタンス上にありますが、管理者は、メモリを大量に消費するワークロード処理を可能にするために Large インスタンスを選択したり、双方向の音声と動画をストリーミングするオンラインミーティングツールなどの高度にインタラクティブなウェブサイトのために XL インスタンスを選択したりできます。

Q: WorkSpaces Secure Browser はマイクとウェブカメラをサポートしていますか?

はい。ユーザーは、セッション中にマイクまたはカメラ入力をリモート Chrome ブラウザに接続できます。

Q: WorkSpaces Secure Browser はどのようにデータを保護しますか?

WorkSpaces Secure Browser のセッション中、ウェブコンテンツは WorkSpaces Secure Browser からローカルブラウザのユーザーに一時的にストリーミングされます。ストリーミングにより、データがリモートデバイスに常駐することを防ぎ、ウェブコンテンツに仕組まれた攻撃に対して効果的なバリアを提供します。セッションの終了時にはインスタンスが消去されるため、企業が機密データを保護するのに役立ちます。このプロセスの間、転送中のデータはエンタープライズグレードの暗号化によって保護されます。AWS KMS を利用して WorkSpaces Secure Browser ポータルを作成することを選択できます。KMS により、簡単に暗号キーを作成および管理し、さまざまな AWS サービスでの使用を制御できます。

Q: WorkSpaces Secure Browser における主なセキュリティの差別化要因は何ですか?

WorkSpaces Secure Browser は AWS サービスの 1 つであるため、お客様のコンテンツは AWS 標準に準拠した安全な環境で取り扱われます。WorkSpaces Secure Browser のユーザーとして、クラウドの一部がお客様のアカウント専用に割り当てられ、お客様のデータのみを処理します。 WorkSpaces Secure Browser を利用して、クリップボード、ファイル転送、プリンターへのアクセスに対して、エンタープライズブラウザポリシーやセッションコントロールを適用することができます。

Q: WorkSpaces Secure Browser は、ウェブブラウザで企業データがキャッシュされないようにしますか?

WorkSpaces Secure Browser ピクセルはウェブコンテンツをブラウザにストリーミングし、データがローカルデバイスやウェブブラウザに常駐することを防ぎます。

Q: WorkSpaces Secure Browser にアクセスできるデバイスを制限できますか?

デフォルトでは、WorkSpaces Secure Browser ではユーザーはどこからでもポータルにアクセスできますが、IP アクセスコントロールを使用して接続できる IP アドレスをフィルタリングできます。ウェブポータルに関連付けると、IP アクセス設定は認証前にユーザーの IP を検出し、ユーザーが接続できるかどうかを判断します。接続されると、WorkSpaces Secure Browser はユーザーの IP アドレスを継続的にモニタリングし、ユーザーが信頼されたネットワークから接続されているようにします。ユーザーの IP アドレスが変更されると、WorkSpaces Secure Browser はセッションを検出して終了します。

Q: セッション中にユーザーがアクセスできるウェブサイトを制御できますか?

URL フィルタリングを使用して、ユーザーがアクセスできる URL を制御できます。コンソールを使用して、ポータル設定として URL の許可リストと拒否リストを作成するか、URL フィルタリングを含むブラウザポリシー JSON ファイルをアップロードできます。また、VPC をウェブプロキシに接続することで、ポータルからインターネットへのアウトバウンド通信を制御することもできます。HTTP アウトバウンドプロキシを設定することで、ウェブブラウザに組み込まれた Chrome のポリシーを使用してプロキシを設定できます。例えば、インターネットへのゲートウェイとしてウェブプロキシを使用する場合、ドメインの許可リストやコンテンツフィルタリングなどの予防的なセキュリティコントロールを実装できます。

Q: WorkSpaces Secure Browser は YubiKey をサポートしていますか?

YubiKey を WorkSpaces Secure Browser で使用するには 2 つの方法があります。IdP とのセッションの開始時に、ユーザーアクセスと認証のために YubiKey を使用できます。セッション中に OTP で YubiKey を使用することもできます。U2F のサポートは間もなく開始されます。

Q: WorkSpaces Secure Browser はユーザーのアクセスと認証をどのように管理していますか?

WorkSpaces Secure Browser は、既存のシステムで動作し、ユーザー管理用のレイヤーを追加しないよう設計されています。ユーザー認証とフェデレーテッドサインインでは、既存の SAML 2.0 準拠の ID プロバイダー (AWS IAM アイデンティティセンター、Okta、Ping ID など) を使用します。ポータルは、サービスプロバイダーが開始する認証フローまたは ID プロバイダーが開始する認証フローをサポートできます。

Q: WorkSpaces Secure Browser はシングルサインオンをサポートしていますか?

ウェブポータル用に設定したのと同じ SAML プロバイダーを使用するウェブサイトでは、シングルサインオンをサポートできます (例えば、Okta を使用してポータルとログイン保護されたウェブドメインへの認証を行う場合)。必要なのは、ウェブポータルでシングルサインオン用の WorkSpaces Secure Browser 拡張機能を有効にして、エンドユーザーにローカル拡張をインストールしてもらうことだけです (Chrome または Firefox ブラウザで使用可能)。その後、エンドユーザーが WorkSpaces Secure Browser で認証されると、サービスは IdP サインイン Cookie を保護対象ドメインにシームレスに渡し、追加のサインインをプリエンプトします。

Q: どのようなサービスモニタリング情報を使用できますか?

Amazon WorkSpaces Secure Browser は CloudWatch を利用してモニタリングできます。CloudWatch は未加工データを収集し、それを読み取り可能でほぼリアルタイムのメトリクスとなるように処理します。これらの統計は 15 か月間保持されるため、履歴情報にアクセスして、ウェブアプリケーションまたはサービスのパフォーマンスをより正確に把握できます。Kinesis データストリームを介して、セッションデータと URL レコードのユーザーアクセスログを有効にすることもできます。

Q: WorkSpaces Secure Browser API では、AWS CloudTrail にアクションがログ記録されますか?

はい。アカウントに対して実行された WorkSpaces Secure Browser API コールの履歴を受信するには、AWS マネジメントコンソールで CloudTrail をオンにします。

Q: WorkSpaces Secure Browser にはどの程度のコストがかかりますか?

WorkSpaces Secure Browser は従量制料金のサービスで、最低料金、前払いの義務、長期契約はありません。各ユーザーは 1 か月あたり最大 200 時間のストリーミングアクセスが可能で、お客様はサービスに接続したユーザー数に基づいて 1 か月ごとに課金されます。各ユーザーの料金は、ウェブポータル用に選択したインスタンスタイプとリージョンによって異なります。最新情報については、料金ページをご覧ください。

Q: WorkSpaces Secure Browser はどの AWS リージョンで利用できますか?

WorkSpaces Secure Browser は、米国東部 (バージニア北部)、米国西部 (オレゴン)、カナダ (中部)、アジアパシフィック (ムンバイ)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、欧州 (アイルランド)、欧州 (ロンドン)、および欧州 (フランクフルト) のリージョンで利用できます。