TechLeague

    Palo Alto

    Prisma Access BrowserとフルSASE: 2026年エンジニアリングガイド

    TechLeague Editorial··14 分で読了

    現在、セキュリティ業界は「統合」に夢中ですが、Palo Alto Networksはブラウザをスタックから分離することで、リモートアクセスの原子を分裂させました。Talon(現Prisma Access Browser)のSASEエコシステムへの統合は単なる機能買収ではなく、従来のGlobalProtectエージェントが従業員の40%にとって過剰であることを根本的に認めることでもあります。2026年には、SASEが必要かSecure Enterprise Browser(SEB)が必要かという議論ではなく、高摩擦なZTNAトンネルは管理対象エンドポイント向けであり、SEBはVDIのオーバーヘッドで人生を台無しにすることなく、契約者のBYODを保護する唯一の合理的な方法であるという理解が重要です。

    Talon後の状況:ブラウザがVPNではない理由

    長年、我々はPA-SeriesまたはPrisma AccessのクライアントレスVPN(Webポータル)で契約者の問題を解決しようと試みてきました。率直に言って、それはひどいものでした。リバースプロキシを介してHTML/JavaScriptを動的に書き換えることは、アプリケーションの破損やセキュリティバイパスの温床でした。その後、Talon(現Prisma Access Browser)が登場し、状況は一変しました。ネットワークパスを保護する代わりに、実行環境を保護するようになったのです。

    Prisma Access Browserは、セキュリティコントロールをローカライズするChromiumベースのバイナリです。現代のSPA(Single Page Applications)を破壊するような形でトラフィックを中間処理するのではなく、DOM、クリップボード、ローカルストレージを管理します。これを「Always-On」モードでGlobalProtectに依存するPrisma Accessの「Thin Edge」アプローチと比較してください。一方はインフラストラクチャの実行であり、もう一方はアプリケーション層のサンドボックスです。

    アーキテクチャ詳細:エージェントベースとブラウザベースのZTNA

    パケットフローを見ると、その違いは歴然です。従来のPrisma Access(GlobalProtect)展開では、エージェントはモバイルユーザー(MU)セキュリティ処理ノード(SPN)に対してIPSec/SSLトンネルを確立します。DNS、ICMP、SMBなどのすべてのパケットはCloud NGFWによって検査されます。これは、ホストベースの姿勢(HIP)チェックを強制する必要がある管理対象ラップトップに最適です。

    しかし、個人用Macを使用してJiraや本番AWSコンソールにアクセスする契約者にとって、カーネルレベルのドライバー(GlobalProtect)をインストールすることは、多くの場合、法的およびサポート上の悪夢です。Prisma Access Browserは標準アプリケーションとして実行されます。認証を処理するためにブラウザ内のセキュアエンクレーブを使用します。0.0.0.0/0をトンネルする必要はありません。代わりに、レンダリングされたページに直接DLP(Data Loss Prevention)を適用します。CTRL+Cの防止、ファイルダウンロードのブロック、画面へのウォーターマークの適用など、標準のSASEトンネルでは「右クリック」とは何かを認識できないため実行できない機能です。

    実際のコスト比較:SASE vs. SEB

    数値について話しましょう。Prisma Access BusinessまたはPremiumの通常のライセンスは、ボリュームやADEMまたはDLPなどのアドオンによって、ユーザーあたり年間80ドルから150ドルの範囲になります。管理されていないデバイスを保護するためにVDI(VMware HorizonまたはCitrix)を追加すると、コンピューティングおよびライセンス費用でユーザーあたり年間400ドルから600ドルが簡単に追加されます。Prisma Access Browserは「セキュリティVDI」の必要性を効果的に置き換えます。コンピューティングタスクをユーザーのローカルCPUに移行しつつ、データガバナンスをブラウザ内に保持することで、DaaS(Desktop as a Service)と比較してTCOを70〜80%削減できます。

    Prisma Access(フルSASE)が勝利する場面

    ブラウザに関する誇大広告にもかかわらず、それはフルSASEスタックの代替にはなりません。ユーザーがシッククライアントアプリケーション(SAP GUI、レガシーSQLツール、SSH、VoIP)を実行している場合、ブラウザは役に立ちません。フルSASEは以下のシナリオで勝利します。

    • 管理対象エンドポイント:デバイスを所有している場合、GlobalProtectエージェントが必要です。Web以外のトラフィックを検査し、すべてのポートで詳細なSSL復号化を実行できる能力が必要です。
    • 複雑なプロトコルサポート:VoIP(SIP/RTP)およびリアルタイムストリーミングはブラウザ内で動作しません。
    • エグレスセキュリティ:Prisma Accessは、すべての送信トラフィックに対してクリーンで弾力性のあるIPを提供し、SaaSのIP許可リストに企業のフットプリントをホワイトリスト化できます。

    2026年のロードマップを決定しようとしている場合は、インフラストラクチャ側の詳細については、Prisma Access Architecture Evolutionに関する詳細ガイドをご覧ください。

    Prisma Access Browser(SEB)が勝利する場面

    「ブラウザファースト」のアプローチは、以下のカテゴリで比類なきチャンピオンです。

    1. M&Aと契約者のユースケース

    GitHubと社内Confluenceへのアクセスが必要なサードパーティの開発者がいるとします。マルウェアに感染した個人用ラップトップをVPN経由でネットワークに接続させたくありません。彼らにPrisma Access Browserのログインを提供します。彼らは「バブル」の中に留まります。そのブラウザからデータが漏洩することはありません。OSを管理することなく、すべてのURLと「名前を付けて保存」の試行について100%の可視性を持つことができます。

    2. SaaSガバナンス(強化されたCASB)

    従来のCASB(APIベース)は低速です。インラインCASB(プロキシベース)は機能しません。ブラウザに保存されたポリシーは瞬時に適用されます。TLS 1.3/ECH(Encrypted Client Hello)がファイアウォールの復号エンジンを破損させることを心配することなく、ブラウザ全体でChatGPTへの「貼り付け」をグローバルにブロックできます。これは、ブラウザが暗号化される前のクリアテキストを認識するためです。

    技術実装:CLIと設定の実態

    既存のPalo Alto PanoramaまたはCloud Managerとの統合は比較的簡単ですが、注意点があります。Cloud Managerでは、Security Browser Policyを定義します。標準のセキュリティポリシー規則(from zone MU-VPN to zone Web)とは異なり、ブラウザポリシーは次のようになります。

    
# Example Browser Policy Concept
Browser-Policy "Contractor-DLP" {
    Identity: "AD-Group-Contractors"
    App-Access: ["Jira", "Internal-Wiki", "AWS-Console"]
    Controls {
        Clipboard-Protection: Block-Inbound-Outbound
        File-Upload: Block
        Extension-Allowlist: ["Okta-Verify", "Password-Manager"]
        Screen-Watermark: "CONFIDENTIAL - ID: $USER_ID"
    }
}

    IPアドレスがないことに注意してください。これは純粋にIDとアプリケーションコンテキストの領域です。サービス接続を含むより複雑なルーティングシナリオの場合、引き続きPrisma AccessテナントとDC間のBGP Peeringを検討する必要がありますが、ブラウザは「ラストワンマイル」を大幅に簡素化します。

    2026年戦略:ハイブリッド「セキュアアクセス」モデル

    2026年には、優秀なエンジニアリングチームはどちらか一方を選択するのではなく、「デュアルトラック」のリモートアクセス戦略を実行するでしょう。

    • 標準従業員:GlobalProtect + Prisma Access。これにより、フルトンネルセキュリティ、HIPチェック、およびMikeの自宅Wi-Fiが機能しない理由をトラブルシューティングするためのADEM(Autonomous Digital Experience Management)が保証されます。
    • 一時的/サードパーティ/BYOD:Prisma Access Browser。これにより、ユーザーのOSに関する責任が排除され、独自のデータはブラウザの暗号化されたストレージ内に保持されます。

    注意すべき主要な技術的課題の1つは、IdP(Identity Provider)統合です。Entra ID(Azure AD)を使用している場合、管理されていないデバイスに対して「セキュアブラウザ」を厳密に強制するConditional Accessポリシーがあることを確認してください。契約者が単にChromeにログインしてセキュアブラウザを迂回することを望まないでしょう。ブラウザ固有の「デバイスID」をSAMLアサーションのクレームとして使用して、Internal-app.company.comへのリクエストがPrisma Access Browserバイナリから発せられた場合にのみ応答するようにします。

    一般的な落とし穴とその回避方法

    最大の誤りは、ブラウザを万能薬として扱うことです。私は、ローカルのPython環境やIDEを必要とするパワーユーザーにSEBを使用させようとするチームを見てきました。ユーザーがローカルコンパイラや重いローカルクライアントを実行する必要がある場合、SEBモデルは破綻します。もう1つの落とし穴は、パフォーマンスのオーバーヘッドを無視することです。VDIよりもはるかに軽量ですが、重いDLPとウォーターマークを有効にしたSEBは、通常のChromeインスタンスよりも多くのRAMを消費します。特に古い8GB RAMのマシンを使用しているユーザー向けに、「仮想」ブラウザの要件を適切に見積もってください。

    レガシーなハードウェアベースのVPNから移行している場合、クラウド配信型セキュリティへの移行を理解するために、PAシリーズからPrisma Accessへの移行に関するガイドも役立つかもしれません。

    結論

    Prisma Access Browserは、App-IDの導入以来、Palo Altoのポートフォリオにおける最も重要な変革です。「契約者パラドックス」—信頼を与えることなくアクセスを与える必要がある—を解決します。セキュリティ分離のためだけにVDIをまだ展開している、または個人用ラップトップにVPNクライアントを強制することに苦労している場合、時間と費用を無駄にしています。管理されていないアクセスにとっての未来はブラウザであり、管理されたアクセスにとっての未来は高性能SASEトンネルです。

    ゼロトラスト移行の設計や最初のPrisma Access Browserテナントのセットアップにお困りですか?techleague.ioの専門家が、ユーザーに嫌われることなくデータ流出を実際に阻止するデプロイメントの設計をお手伝いします。私たちは、複雑なPalo Alto環境に特化しており、POCを数ヶ月ではなく数日で稼働させることができます。

    よくある質問

    Prisma Access BrowserはGlobalProtectエージェントを置き換えるものですか?+

    ブラウザはアプリケーション層で動作し、DOMとデータインタラクション(クリップボード、ダウンロード)を制御します。従来のSASEはネットワーク層で動作し、パケットをトンネリングします。BYOD/契約者にはブラウザを、シッククライアントを実行する管理対象ラップトップにはSASEを使用します。

    契約者向けにVDIを置き換えるためにブラウザを使用できますか?+

    はい、もちろんです。Prisma Access Browserは、データマシンをローカルマシン上の管理されたブラウザ環境内に隔離することで、「セキュアなWebアクセス」のためだけに使用されるVDI(Citrix/VMware)の必要性を排除し、コストを最大80%削減します。

    Prisma Access BrowserはSSHやSMBのようなWeb以外のプロトコルを処理できますか?+

    いいえ。SSH、SAP GUI、レガシーSQLツールなどのシッククライアントは、Prisma Access GlobalProtectエージェントが提供するネットワークレベルのトンネルを必要とします。ブラウザはWebベースのアプリケーション(SaaSおよび内部Web)専用です。

    ブラウザ内でスクリーンショットや印刷コマンドを禁止できますか?+

    はい。ブラウザがレンダリングエンジンを制御するため、コンテンツの上に動的なウォーターマーク(ユーザーID、IP、タイムスタンプ)を挿入できます。これは、UIを変更できないネットワーク層DLPよりもはるかに効果的です。

    セキュアブラウザの代わりに個人用のChromeを使用する契約者を強制するにはどうすればよいですか?+

    IdP(例えばEntra ID)を設定して、Prisma Access Browserのみが提示する特定のクレームを要求します。ユーザーが標準のChromeを使用しようとすると、IdPはアプリケーションへの認証を拒否します。

    Prisma Access Browserを使用するとパフォーマンス上のペナルティはありますか?+

    最小限です。Chromiumベースのバイナリです。基盤となるDLPエンジンがいくらかのRAMオーバーヘッドを追加しますが、高遅延リンク上のリモートデスクトップセッションよりもはるかに高いパフォーマンスを発揮します。