どうしてもIEを使わなければいけない人向けのお話
先日からニュースなどでも報じられていますが、現状のInternetExploler(通称:IE)シリーズの重大セキュリティホールで困っている方もいらっしゃるかと思います。
【参考記事】
IE全バージョンにコード実行のセキュリティ脆弱性 - Microsoft | マイナビニュース
もちろん、本当にどうしようもない場合でない限り、IE以外のブラウザソフト(お勧めは、FirefoxやGoogleChrome、Safari)を利用することを強く推奨しますが、仕事のシステム上、IEを使わなければいけない場合もあるでしょう。そんな時の対処方法を書いていきます。
①パーソナルファイアーウォールで通信に必要なIPアドレスやFQDNに制限する
Windows標準で用意しているファイアーウォール機能を利用すれば、通信の制御をすることが出来ますので、通信を送受信できる道を限定してしまえば、それ以外の道から進入することは出来ませんから、リスクを大幅に減らすことができると思います。
詳しくは、Microsoftさんのご説明を確認していただければと思います。
【Microsoftサポート】
ただし、許可した以外の通信は全部遮断してしまいますので、ネットサーフィンなんかをする時には、ほぼ使えないといって良いでしょう。(まぁ、ネットサーフィンが目的なら、他のブラウザを使えという話ですが…)
ちなみに、Windows標準にこだわらなくても、市販や無料で提供されているファイアーウォールソフトを利用しても良いと思います。
②完全に切り離された別ネットワークのPCや仮想環境を利用する
これは実際あまりお勧めはしませんが、メインで使っているローカルエリアネットワークとは別のネットワークを形成し、ローカルエリアネットワークを完全に分断して、別のネットワークからルーターの設定などでNAT変換し、隔離された別ネットワークでIEで通信するという方法です。
仮に乗っ取られた場合は、ルーターにて即座に隔離された別ネットワークの通信を遮断し、強制的に切り離してしまう方法なので、「乗っ取られるリスク」を許容できなければやらない方が良いです。
③修正パッチが出るまでは、一切インターネット通信をしない
正直な話、これが一番最強です。インターネットに繋いでいる以上、常に未知のセキュリティホールに晒されているわけですから、実際「インターネットをしない」というのが、一番のセキュリティ対策であることは間違いないのです。
乗っ取られて被害に遭ったり与えてしまったりするより、一切のリスクを排除してしまった方が、安心できるという方も実際少なからずいらっしゃいますからね。
大抵の方は、別ブラウザを使うと思いますが、どうしてもIEでないといけないWebシステムにインターネット経由でアクセスする場合などは、①の方法を推奨します。
また、ファイアーウォール設定やNAT設定などは、個々のネットワーク環境で変わってきますので、システム部門をお持ちの会社さんはシステム部門にお願いした方が良いと思います。(大抵は、既に対策していると思いますけどね…)
ではでは、休憩を終わりにして作業に戻りたいと思います。
P.S.
IE限定のWebシステムを作るのは、そろそろやめた方が良いなぁと私個人的には感じています。(私は作っていませんが)
(追記:2014/04/30 11:20)
以下のブログ記事で、「Enhanced Mitigation Experience Toolkit(EMET)」という脆弱性緩和ツールが紹介されていました。
方法としては、依然として脆弱性の危険が強いので、リスクを承知した上で利用する場合は、手段の一つとして考えても良いかも知れませんね。