Webからの脅威を“調べもの専用ブラウザ”で封じ込めろ：セキュリティTips for Today（5）（3/3 ページ）

[飯田朝洋，＠IT]

JavaScriptオフなら対策は可能だが……

　つまり、ブラウザの運用およびセキュリティ設定において、次のことを最低限実施してさえすれば、「Webからの脅威」の被害を軽減させることが可能となります。

1. セキュリティパッチを迅速に適用する。
2. JavaScriptを無効化する。

　皆さんもお気付きかもしれませんが、特に後者の対策を行うことで、多くのWebサイト上で問題を引き起こすことがあります。近年のWebサイトは、動的に変化するサイトが多く、凝った作りをしています。このような躍動感溢れるWebサイトのコンテンツを支えているものがJavaScriptに代表されるスクリプトなのです。そのため、JavaScriptを無効化したブラウザでは、閲覧できないWebサイトが現れる弊害が問題になってきます。

　さらに企業であれば、社内のイントラネット上の重要システムがJavaScriptの機能を利用していることも珍しくないと思います。ブラウザのセキュリティ設定を強固にしてしまうとことで、弊害が生じることもあるでしょう。

　そこで私が今回ご紹介したいTipsとは、2つのブラウザを使い分けるということです。

華麗なる？ ブラウザ二刀流

　ここでは1つ目のブラウザを社内イントラネット用としてInternet Explorer（IE） を利用し、もう一方のブラウザを外部用として、Firefoxを利用します。このように2つのブラウザを使い分けることで、都度ブラウザのセキュリティ設定を変更することなく、業務に必要なアクセスを可能にしつつ、強固なセキュリティを維持した状態で外部のWebサイトにもアクセスも可能となります。

　今回は外部用ブラウザとしてFirefoxを取り上げましたが、この外部用ブラウザは皆さんの好みによって変えていただいてかまいません。ただし、次の機能が最低限実装されている必要がありますので、この点を考えながらブラウザの選別をしてください。

• 1. セキュリティパッチの自動更新機能が実装されていること

図1 Firefoxのソフトウェア更新設定

• 2. 不正サイトを表示する際に警告もしくはブロックしてくれること

図2　不正サイト警告についてのセキュリティ設定

図3　不正サイトをブロック

• 3. JavaScriptを無効化できること

図4　JavaScriptを明示的に無効化する

　なおFirefoxには、上記の機能がすべて網羅されており、Firefoxの拡張ソフトとして提供されている「NoScript」を使うことで、さらにきめ細かなセキュリティ設定を実現することができます。

図5　Firefoxの機能拡張、NoScriptの設定画面

「ゾーン」という機能に頼らない理由

　今回のTipsで重要なポイントは、あえて2つのブラウザを使い分けるということです。

　読者の方々の中では、Webサイトをゾーンとして分類し、そのゾーン別にセキュリティ設定を変えることができるIEの機能を利用すれば、あえて2つのブラウザを使い分ける必要がないのではないか、というご意見を持つ方もいらっしゃるでしょう。

　しかし、私はやはりそれでも2つのブラウザを使い分けることを推奨したいと考えています。JavaScriptを無効化するといった、大胆なセキュリティ設定でブラウザを運用するには、ユーザー心理として、仮にゾーン別にセキュリティ設定を変更できたとしても、該当サイトがどのゾーンに属しているのか意識する必要がありますし、また、影響範囲を把握しておく必要もあるため、1つのブラウザでは大胆な設定変更に躊躇するのではないでしょうか。

　2つのブラウザを使い分けることで、1つのブラウザではこれまで通りにWebサイトを表示できるという安心感があります。だからこそ、もう一方のブラウザではより強固で大胆なセキュリティ設定に変更できるのです。

　外部用ブラウザでは、Webサイトによっては正しく表示されないことも増えますが、そこは割り切った考え方を持ち、正しく表示されなくても、最低限そのサイトから得たい情報が読めればよいと考えることです。また、企業によってはセキュリティパッチがリリースされても、その検証作業が終わるまでは適用を見送ることが多いと聞きます。しかし、外部用ブラウザについては、ぜひスピードを重視したタイムリーなセキュリティパッチの適用を実現してください。なぜなら、外部用ブラウザでは、Webサイトとの互換性についても割り切ることで、セキュリティに重点を置いた運用が可能となるはずです。

　2つのブラウザをたくみに使い分け、Webからの脅威を軽減しつつ、インターネットを最大限に利用しましょう。

Index

Webからの脅威を“調べもの専用ブラウザ”で封じ込めろ

Page 1

脅威はどこからやってくる？

Page 2

攻撃者の視点で考えた「Webサイトで攻撃する理由」
心理のすきを突く攻撃者の心理

Page 3

JavaScriptオフなら対策は可能だが……
華麗なる？ ブラウザ二刀流
「ゾーン」という機能に頼らない理由

Profile

飯田 朝洋（いいだ　ともひろ）

トレンドマイクロ株式会社

サポートサービス本部
コアテクノロジーサポートグループ
Threat Monitoring Center アシスタントマネージャー

トレンドマイクロへ入社後、企業向け有償サポート（プレミアムサポートセンター）のテクニカルアカウントマネージャとして、主に大企業へのセキュリティサポート・コンサルティングおよび、感染被害発生時のインシデント・オペレーションに従事。

その後、インターネットの脅威動向に関する監視・調査を行うThreat Monitoring Centerの設立と同時に、Senior Threat Research Engineerとして不正プログラムの収集・傾向分析の専門家としての活動を開始する。

現在は、米国ニュージャージー州にて不正プログラムの傾向分析に加え、インシデント対応のサポートを行う。

[an error occurred while processing this directive]