ブラウザ拡張機能は閲覧データやSaaS情報に触れる権限を持つことがあります。Chrome/Edgeの拡張機能を棚卸しし、許可範囲、サイトアクセス、初動対応、記録、エスカレーション条件を整理します。
ブラウザ拡張機能は「小さな便利ツール」ではなくデータ接点として見る
ブラウザ拡張機能は、翻訳、メモ、スクリーンショット、パスワード管理、開発支援、営業支援など、日常業務を支える便利な道具だ。一方で、拡張機能はブラウザの中で動くため、閲覧中のページ、Cookie、タブ情報、入力内容、SaaS画面、社内ポータルに近い場所へ配置される。
Chrome拡張機能では、機能に応じて permissions、host_permissions、content_scripts.matches などの権限を宣言する。Googleの公式ドキュメントでは、権限は拡張機能が侵害された場合の被害を限定するためにも重要だと説明されている。つまり、拡張機能の棚卸しは「不要なアドオンを消す作業」ではなく、SaaSとブラウザの間にあるデータ接点を管理する作業だ。
この記事では、セキュリティ初心者、情シス、開発者、SaaS管理者向けに、Chrome/Edgeのブラウザ拡張機能をどう棚卸しし、どの権限を優先して見て、疑わしい場合に何を記録・確認すべきかを整理する。SaaS全体の棚卸しは SaaS権限棚卸しチェックリスト と合わせて使うとよい。
この記事は、防御・確認・初動対応を目的にした実務ガイドです。悪意ある拡張機能の作成方法、回避手法、侵害再現手順は扱いません。ブラウザ管理ポリシーや管理画面の細部は変わるため、本文では確認観点と判断基準に絞ります。
読者別の影響:誰が何を確認するべきか
ブラウザ拡張機能のリスクは、利用者本人だけで完結しない。拡張機能が業務SaaS上で動く場合、メール、ファイル、CRM、ソースコード、管理画面、採用候補者情報、顧客情報に触れる可能性がある。
| 読者 | まず知りたいこと | 確認する場所 |
|---|---|---|
| 情シス担当者 | どの拡張機能が誰に入っているか、管理できているか | Chrome/Edge管理、MDM、端末管理、台帳 |
| SaaS管理者 | 拡張機能経由でSaaSデータやOAuth連携が増えていないか | SaaS監査ログ、外部アプリ、共有設定 |
| 開発者 | 開発支援拡張機能がリポジトリ、CI、シークレットへ影響しないか | ブラウザ、IDE、GitHub、CI/CD |
| CSIRT / SOC | 不審な拡張機能が端末・認証・データアクセスへ波及したか | EDR、プロキシ、IdP、SaaSログ |
| 一般利用者 | 便利そうな拡張機能を入れてよいか、何を報告するか | 拡張機能の詳細画面、社内申請導線 |
特に注意したいのは、管理者端末、開発者端末、経理・人事端末、営業管理SaaSを使う端末だ。同じ拡張機能でも、閲覧するSaaSや持っている権限によって影響範囲が変わる。拡張機能のリスクは、端末の重要度とユーザーの認可権限を合わせて判断する。
まず確認すること:8項目チェックリスト
棚卸しでは、拡張機能名だけを一覧化しても不十分だ。名前が有名でも権限が広すぎることがあり、逆に聞き慣れない名前でも管理者が承認した業務必須ツールのこともある。最初は次の8項目をそろえる。
| 確認項目 | 見る内容 | 判断の観点 |
|---|---|---|
| 発行元 | 開発元、ストア、検証済み情報、社内所有者 | 誰が保守しているか説明できるか |
| インストール経路 | 公式ストア、管理者配布、外部ストア、開発者モード | 管理外の導入経路が混ざっていないか |
| 要求権限 | permissions、host permissions、タブ、Cookie、履歴、クリップボード | 業務目的に対して広すぎないか |
| サイトアクセス | すべてのサイト、特定ドメイン、クリック時のみ | 機密SaaS上で常時動く必要があるか |
| 利用者 | 部署、権限、管理者ロール、開発者端末 | 高権限ユーザーへ広がっていないか |
| 最終利用 | 長期未利用、所有者不明、検証目的の放置 | 放置された権限になっていないか |
| SaaS連携 | OAuth同意、APIトークン、外部共有、Webhook | 拡張機能以外の継続アクセスがないか |
| 例外期限 | 業務理由、承認者、期限、次回レビュー日 | 期限なしの例外になっていないか |
Chrome Enterpriseの公式ヘルプでは、管理者が拡張機能のアクセスできる情報、つまり権限に基づいてインストール可否を制御できると説明されている。Edgeでも拡張機能の許可リスト、ブロックリスト、強制インストール、サイトアクセス制御に関係するポリシーが用意されている。個人任せの導入ではなく、管理対象ブラウザではポリシーで統制する前提にした方が運用しやすい。
翻訳やメモのように便利な拡張機能でも、すべてのサイトで常時動く必要があるとは限りません。機密SaaS、管理画面、ソースコード、顧客情報を扱うページで動く拡張機能は、発行元・権限・利用目的を必ず確認します。
初動対応:疑わしい拡張機能が見つかった時にやること
棚卸し中に、所有者不明、高権限、長期未利用、開発者モード、外部ストア経由、説明できない通信が疑われる拡張機能が見つかった場合は、削除だけで終わらせない。拡張機能がSaaS上で動いていたなら、すでにデータアクセスやOAuth同意、外部共有が発生している可能性がある。
やること
- 対象拡張機能の名称、ID、発行元、バージョン、インストール経路、対象端末、対象ユーザーを記録する。
- 要求権限とサイトアクセス範囲を確認し、機密SaaSや管理画面で動く可能性を切り分ける。
- 利用者、所有部門、導入理由、業務影響を確認する。
- 不要または説明不能な場合は、管理ポリシーで無効化・ブロックし、再インストール可否を制御する。
- 同じ拡張機能が他端末・他部署へ広がっていないか確認する。
- 関連するSaaS監査ログ、OAuth Scope、Consent Grant、外部共有、APIトークンを確認する。
やらないこと
- 拡張機能名だけで安全・危険を断定しない。
- 利用者に自己判断で削除だけ依頼し、証跡を残さない。
- 業務必須の拡張機能を所有者確認なしに一斉削除しない。
- 不審な拡張機能を本番端末で動かして挙動確認しない。
- 拡張機能の中身や通信を攻撃再現目的で解析しない。
記録すること
| 記録項目 | 例 |
|---|---|
| 拡張機能情報 | 名称、拡張機能ID、発行元、バージョン、ストアURLまたは配布元 |
| 権限 | すべてのサイト、特定ドメイン、タブ、Cookie、履歴、クリップボード、通知 |
| 利用範囲 | 利用者数、部署、高権限ユーザー、管理者端末、開発者端末 |
| 判断 | 継続利用、権限制限、代替ツール移行、無効化、追加調査 |
| 後続確認 | SaaSログ、OAuth同意、トークン、外部共有、データアクセス履歴 |
この記録は、後から「なぜ削除したのか」「なぜ例外として残したのか」を説明するために必要になる。セキュリティ例外申請テンプレート と同じく、例外は期限と所有者をセットにする。
判断基準:危険度を上げる条件
ブラウザ拡張機能の危険度は、拡張機能単体ではなく、どのユーザーが、どのサイトで、どのデータに触れるかで決まる。
| 優先度を上げる条件 | なぜ重要か |
|---|---|
| すべてのサイトで動く | 業務SaaS、管理画面、社内ポータルまで対象になり得る |
| Cookie、履歴、タブ、クリップボードに触れる | 認証状態、閲覧文脈、入力内容に近い情報を扱う可能性がある |
| 管理者端末・開発者端末で使われている | SaaS管理、リポジトリ、CI/CD、シークレットへ波及しやすい |
| 所有者不明・長期未利用 | 誰も必要性を説明できない権限になっている |
| 開発者モード・外部ストア経由 | 標準の配布・審査・更新管理から外れやすい |
| OAuthアプリやAPIトークンも併用している | ブラウザ外の継続アクセスが残る可能性がある |
| 高リスクデータを扱うSaaSで動く | 顧客情報、人事、財務、契約、ソースコードへ影響しやすい |
この条件が複数重なる場合は、通常の棚卸しではなく初動対応として扱う。たとえば「すべてのサイトで動く」「発行元が不明」「管理者端末に入っている」「顧客情報SaaSを日常的に開く」の組み合わせなら、拡張機能を無効化するだけでなく、SaaS監査ログと外部共有まで確認した方がよい。
ブラウザ拡張機能は、SaaS、OAuth、端末、DLP、CASB、SSPMとつながる領域です。拡張機能の確認結果は、SaaS権限棚卸し や DLPとCASBの違い の確認にもつなげます。
管理ポリシーで決めること:許可・ブロック・例外
平時の運用では、すべての拡張機能を個別に議論し続けるより、分類ルールを決める方が現実的だ。最低限、次の3つを明文化する。
| ルール | 決めること |
|---|---|
| 許可 | 公式に承認した拡張機能、配布対象、利用目的、所有者、更新確認 |
| ブロック | 外部ストア、開発者モード、高リスク権限、所有者不明、禁止カテゴリ |
| 例外 | 申請者、業務理由、対象者、期限、代替策、次回レビュー日 |
Chrome/Edgeの企業向け管理では、許可リスト、ブロックリスト、強制インストール、拡張機能設定、サイトアクセス制御などを使って、導入と実行範囲を制御できる。最初から複雑なルールにする必要はないが、少なくとも「自由にインストールできる」「誰も棚卸ししない」「例外に期限がない」という状態は避けたい。
開発者向け拡張機能は、業務に必要なものが多い一方で、ソースコード、SaaS管理画面、CI/CD、クラウドコンソールに触れやすい。開発環境の確認には 開発ツール・OSSサプライチェーン確認チェックリスト も併用すると、拡張機能、npm、CI、トークン、監査ログをまとめて確認しやすい。
よくある誤解
「公式ストアにある拡張機能なら安全」
公式ストアにあることは重要な確認材料だが、それだけで安全とは言えない。確認すべきなのは、発行元、権限、更新状況、利用目的、管理者承認、サイトアクセス範囲だ。公式ストア経由でも、業務に不要な広い権限を持つなら制限対象になる。
「拡張機能を消せば影響は終わる」
拡張機能を削除しても、SaaS側のOAuth同意、APIトークン、外部共有、転送設定、セッションが残る場合がある。疑わしい場合は、OAuth同意フィッシング と同じ考え方で、アプリ同意とトークンの失効まで確認する。
「パスワードマネージャー拡張機能は危険だから禁止すべき」
パスワードマネージャー自体は、使い回しパスワードを減らす有効な対策だ。重要なのは、承認済みの製品を使うこと、MFAを有効化すること、管理者向けポリシーを整えること、類似名の未承認拡張機能を入れないことだ。用語の基礎は パスワードマネージャー を確認してほしい。
「利用者教育だけで防げる」
教育は必要だが、拡張機能の権限確認を全利用者に委ねるのは難しい。管理対象ブラウザでは、ポリシー、許可リスト、申請、棚卸し、ログ確認を組み合わせて防ぐ。
関連用語・関連ページ
ブラウザ拡張機能の棚卸しは、SaaS権限、OAuth、端末管理、データ保護を横断する。次のページを合わせて読むと、作業に落とし込みやすい。
| 目的 | 内部リンク |
|---|---|
| 権限棚卸しを作業化する | SaaS権限棚卸しチェックリスト、開発ツール・OSSサプライチェーン確認チェックリスト |
| 不審な権限付与を理解する | OAuth同意フィッシング、OAuth App Review、Consent Grant |
| 基礎概念を確認する | 認証と認可の違い、最小権限の原則、SSPM |
| データ出口として見る | DLP、CASB、Data Classification、DLPとCASBの違い |
| 初心者向けに練習する | 不審URL判定ミニCTF、クイズで用語を復習する |
まとめ:拡張機能は「使っているか」ではなく「何へ触れるか」で棚卸しする
ブラウザ拡張機能の棚卸しでは、導入数を減らすことだけを目的にしない。重要なのは、どの拡張機能が、どのユーザーに入り、どのサイトで動き、どのデータやSaaS権限に触れる可能性があるかを説明できる状態にすることだ。
最初の一歩は、管理者端末、開発者端末、顧客情報を扱う部門、外部共有の多いSaaSから確認することだ。発行元、要求権限、サイトアクセス、利用者、最終利用、例外期限を並べ、説明できない高権限・長期未利用の拡張機能から制限する。
次に実務へ落とすなら、SaaS権限棚卸しチェックリスト に「ブラウザ拡張機能」「サイトアクセス」「承認済み拡張機能」「開発者モード」「例外期限」を追加し、四半期レビューに組み込む。開発組織では 開発ツール・OSSサプライチェーン確認チェックリスト と合わせて、拡張機能、IDE、npm、CI、トークンをひと続きのサプライチェーンとして見るとよい。
公式情報・参考情報
- Chrome for Developers: Declare permissions — Chrome拡張機能の
permissions、host_permissions、optional permissions の考え方を確認できる。 - Chrome Enterprise and Education Help: Chrome app and extension permissions — 管理者が拡張機能の権限に基づいてインストール可否を制御できることを確認できる。
- Google Workspace Admin Help: Control which apps access Google Workspace data — OAuth 2.0設定でGoogle Workspaceデータへアクセスするアプリを管理する方法を確認できる。
- Microsoft Learn: Microsoft Edge - Policies — Edgeの拡張機能管理に関係するポリシー名を確認できる。
- Microsoft Learn: Use group policies to manage Microsoft Edge extensions — Edge拡張機能の許可、ブロック、サイトアクセス制御の考え方を確認できる。
