サイバー攻撃対策

2022年6月16日
Internet Explorerサポート終了。
想定されるリスクと代替ツール、必要な対応とは

  • TOP
  • 課題から探す
  • 2022年6月16日 Internet Explorerサポート終了。想定されるリスクと代替ツール、必要な対応とは

法人のお客さまに起こりがちな状況

Internet Explorer(以下IE)と言えば古くからインターネットを利用している人であればほぼ必ずと言っていいほど触れたことがあるブラウザではないでしょうか?

そのInternet Explorerのサポート終了というニュースが発表されています。

今回はInternet Explorerのサポート終了についての詳細とそれによって発生するリスク、そして必要な対応策についてお伝えします。

公式発表されたInternet Explorerサポート終了

米国時間5月19日、MicrosoftはInternet Explorer(以下IE)のサポートを終了することを発表しました。元々2020年からサポートを徐々に縮小していましたが、2022年6月15日に完全に停止すると言う内容となります。

参考:https://blogs.windows.com/japan/2021/05/19/the-future-of-internet-explorer-on-windows-10-is-in-microsoft-edge/

IEは1995年に発表されWindows OS(当時はWindows 95)にバンドルされたことで爆発的に普及し、長くウェブブラウザのデファクトスタンダードとしての立ち位置を保持し続けてきました。

流れが変わったのがIE6の頃で、CSSの普及に伴い他のブラウザは統一規格に準拠したレンダリングを行うような仕様になっていきましたが、IEはその方向に従わず独自の仕様を進めました。結果として、CSSの表示に問題が多数出ることになり、IEはそのシェアを徐々に減らしていきます。

しかし、それでも当時のシェアはトップでした。ユーザ数は非常に多く、大多数のウェブサイトではIEが推奨環境に含まれ、ウェブ製作者の間ではIE6対応にかなりの時間が割かれることがありました。

2021年8月現在の最新版はIE11となり、モバイルデバイスの普及に伴いChromeやSafariに首位の座を明け渡しているものの依然として法人、特に公的機関においては推奨環境としてまだまだ現役の様相を呈しています。

サポート終了によって発生する事象

Microsoftのサポート終了と言うとよく思い浮かべるのはWindows 7のサポート終了などのような「セキュリティのアップデートなどが終了し、あとは自己責任での利用に限る」と言うパターンです。

しかし今回のサポート終了は、他の事例のように単純にサポートがされなくなる(セキュリティ更新プログラムが停止する)と言うものではなく、そもそもIEが起動できなくなります。代わりに後述のMicrosoft Edgeが起動する形になるようです。

この対応に至った経緯は、影響があまりにも大きいと緊急のアップデートを行わざるを得ないという過去の経験を基にした方針と考えられます。

2019年に、サポート終了から数年経っているWindows XPで異例のセキュリティパッチが公開されました。これはWindows XPのユーザがまだ存在しており、その影響が決して小さくないためです。サポート終了後のセキュリティパッチ公開はこれだけではありません。

その前にも2017年のWannaCry流行時などにも、特例で公開された経緯があります。

サポート終了しているので本来であればセキュリティパッチを公開する必要はありません。

しかし、OSシェアとしては少なくても、脆弱性を突かれたPCが攻撃に使われた場合その被害は大きなものになってしまいます。「ユーザのセキュリティを守る」と言う観点よりは、「そのOSを利用された攻撃の被害を最小限に食い止める」ための観点でのセキュリティパッチ公開です。

IEの場合もこうしたケースが発生することが想定され、この対応のために必要となるリソースを考えた場合、単純なサポート終了ではまたセキュリティパッチの対応が発生する可能性があります。

結果として今までのMicrosoftではなかった「代替ツールへの強制切り替え」という手法に至ったと考えられます。

そのため、今までのようにセキュリティリスクを抱えつつも使用については自己責任で可能だったケースと異なり、今回は否応なく対応が求められる形となるのです。

一応2022年6月15日に配布される更新プログラムを適用しなければ利用できる可能性はありますが、脆弱性対応がされなくなることには変わりありません。

セキュリティ更新プログラムが停止するためWindows Updateを実行してもIEの脆弱性は解消されない状態となってしまうのです。

代替ツールは何があるのか?

公式発表されている代替ツールは同じMicrosoft社のブラウザ「Microsoft Edge」です。

IEに代わるブラウザとして開発され、Windows10から搭載されるようになりました。2018年にはレンダリングエンジンをChromiumに変更しています。

大きな特徴としては「IEモード」を搭載していることが挙げられ、IE11サポート終了日以降も、IEベースで構築されているWebサイトやアプリをMicrosoft Edge上で利用できます。

日本では一部の公的機関で未だに残る、推奨環境がIEのみに対応しているサイトなどを利用する際に重宝します。

このIEモードは少なくとも2029年まではサポートする予定であることが発表されています。

参考:https://docs.microsoft.com/ja-jp/lifecycle/faq/internet-explorer-microsoft-edge

IEモードを利用する必要がなさそうであれば、メジャーなところではGoogleが提供しているchromeやMozillaが提供しているFirefoxなどが代替ツールとして挙げられるかと思われます。

情シス担当者として確認しておくべきこと

IEの停止に備え、情シスの立場として確認しなければならないのは大きくは以下となります。

  • 社内のブラウザ利用状況の把握
    社内でIEを利用している実態があればアナウンスを行い、サポート終了時に戸惑わないように代替ツールの案内を含め事前に何度か行う必要があります。
  • 社内システムのブラウザベースシステムの推奨環境確認
    古くから社内で使用しているブラウザベースのシステムの場合、推奨環境がIEに限定されている可能性が0ではありません。そうした場合には事前に代替環境での検証を行い、状況によってはリプレイスなども視野に入れた対応が必要となります。
  • 社外(取引先)のウェブサービス等での推奨環境の確認
    社外の取引先のサービスをブラウザベースで受けている場合、その推奨環境がIEのみである場合影響が出てしまいます。
    ※ただし現在はごく少数に限られると思われます
  • 更新状況の確認とサポート
    こちらもごく少数かと思われますが、人によってはIEを使いたいためにWindows Updateを実行しないことでIEを使い続けようとする人がいるかもしれません。更新状況を確認し、セキュリティリスクを保持しないよう事前に説明のうえ代替ツールを案内して使えるようにサポートが必要です。

話を聞いてみると、意外とブラウザを変えたくない理由が「ブックマークが使えなくなるから」などのケースかもしれません。解決方法を提示もしくはその部分だけサポートしてあげることでセキュリティリスクを下げられるのであれば対応してあげることも検討してみてください。

IEサポート終了はレガシーブラウザからモダンブラウザへの最適な移行機会

IEはウェブ業界で長年通称「IE縛り」の問題を抱えてきました。

今回のサポート終了に伴い、国内でも順次モダンブラウザへの対応が進むことが想定されます。

インターネット黎明期を支えたIEの終了は少し寂しいところはあるものの、情シス担当者としては負荷を減らせる良い機会と言えるかもしれません。移行時のケアをしっかりと行い、モダンブラウザへの切り替えをしっかりと進めていきましょう。

同時に環境変化はセキュリティ面での穴が発生しやすいタイミングでもあります。この機会に見直しを図り、ネットワーク関連に対して適切なセキュリティ対策ができているかもチェックしてみましょう。

ブラウザの移行だけでは防げない不正URL対応にはWebレピュテーションが効果的

今回はIEの終了に伴う問題点とその移行先についてお伝えしましたが、ブラウザを変えただけでは防ぎきれないのが閲覧先URLの脅威です。

日々新たな攻撃サイトが構築され、そのURLが拡散される中ブラウザ側の対応のみでは限界があるのが事実となります。

ウェブからの脅威の出所である不正URLへのアクセスをブロックするには、ベースとなるブラウザのセキュリティに加え「Webレピュテーション機能」を備えたセキュリティソリューションの導入が効果的です。

Webレピュテーション機能は接続先ドメイン、ウェブサイト、ウェブページが不正な場合にはアクセス自体をブロックすることによって不正プログラムによる感染、フィッシング詐欺による被害を防ぐことができます。

詳細についてはこちらのページにも記載しておりますのでご覧ください。

参考:Webレピュテーション

トレンドマイクロからのアドバイス

ウェブブラウザはユーザのインターネットに対するフロントエンドとして活用されるとともに、攻撃者の観点からは日々多種多様な攻撃方法が模索されています。

トレンドマイクロでは既知のセキュリティリスクのみではなく、未知のセキュリティリスクにも対応できるソリューションを数多く持っています。また、1日あたり約712万件もの不正URLへのアクセスをブロックするTrend Micro Smart Protection Networkを構築し、皆様の安全な業務遂行のお手伝いを行っております(※)。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

※ウイルスバスタービジネスセキュリティサービス(VBBSS)、Trend Micro Apex One™に機能として搭載

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

事前予防と事後対処を実現するエンドポイントセキュリティ

Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。

管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り