Internet Explorerの保護モードとは?:Tech TIPS(1/2 ページ)
Internet Explorerの保護モードを有効にしておくと、悪意のあるプログラムやスクリプトなどがシステムの重要な情報を窃取したり、システムを変更したりするのを可能な限り防ぐことができる。その設定方法や現在の状態の確認方法などを解説する。
対象ソフトウェア:Windows 7/Windows 8/Windows 8.1/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2、Internet Explorer 8/Internet Explorer 9/Internet Explorer 10/Internet Explorer 11
解説
●保護モードとは
Internet Explorer(IE)には「保護モード(protected mode)」と呼ばれる機能がある。これはウイルスやマルウェアなどに感染したり、不正なプログラムなどによってシステムが破壊されるのを防ぐ機能だ。Internet Explorer 7以降およびWindows Vista以降の組み合わせで利用できる(Windows XPでは利用不可)。
保護モードが有効になっていると、IE上で動作するプロセスや拡張機能(アドオン)、(システムへの)アクセス権限などが制限を受ける。例えばアドオンからアクセスできるシステムのリソース(アクセス可能な場所)や利用できる機能が制限される。
内部的には、アドオンなどを実行するプロセスを隔離して権限を下げて実行することにより、重要な情報へのアクセスなどを禁止している。悪意のあるプログラムなどの動作を完全に禁止するわけではないが、少なくとも書き込みや変更はできなくなるため、システムが破壊されたり、乗っ取られたりするような深刻な事態を防ぐことができる。
- 参考「IEにゼロデイ脆弱性、回避策の実施を推奨」(Security & Trustフォーラム ニュース)
セキュリティのためには常に保護モードを有効にして運用するのが望ましい。だが、サイト(の作り方)によっては保護モードのために正常に動作しないこともある。そのため、保護モードを(意図してかどうかにかかわらず)無効にして運用していることもある(保護モードを無効化することを要求するサイトすらある)。
本TIPSではこの保護モードを確認する方法や、保護モードの有効/無効を設定する方法について解説する。保護モードの詳細については以下の情報などを参照していただきたい。
- 「保護モードの Internet Explorer の理解と機能」(マイクロソフトMSDNサイト)
●保護モードが有効かどうかを調べる
IEで保護モードを有効にしても、いつでも保護モードオンでアクセスしているわけではない。保護モードを有効にするかどうかは、IEでは「ゾーン」ごとに選択する。
ゾーンとは、アクセス先に応じてセキュリティ設定などを切り替えるための機能である。IEには「インターネット」「ローカル イントラネット」「信頼済みサイト」「制限付きサイト」という4つのゾーン区分がある。ゾーンについては以下の記事を参照していただきたい。
- TIPS「アドレス表記を変更してIEのゾーンを切り替える」
- TIPS「IEのセキュリティ設定を変更してセキュリティ機能を強化する」
デフォルトでは「インターネット」と「制限付きサイト」では保護モードが有効、「ローカル イントラネット」と「信頼済みサイト」では保護モードが無効となっている(IE7では、「ローカル イントラネット」は「有効」だったが、IE8以降では「無効」になっている)。
現在アクセスしているサイトがどのゾーンになっていて、さらに保護モードが有効か無効かは、Webサイトのプロパティページを参照すれば分かる。IE上でWebページのどこか(文字も画像も表示されていないところ)を右クリックし、ポップアップメニューから[プロパティ]を選べばよい。
保護モードが有効な場合のWebサイトのプロパティの例
保護モード下では、IEやそこから起動される拡張機能などは、機能が制限されたプロセス空間(サンドボックス)内で動作することになり、システムの安全性が保たれる。
(1)デフォルトでは、インターネットゾーンでは保護モードが有効になっている。
保護モードが無効だと次のようになる。
保護モードが無効な場合のWebサイトのプロパティの例
保護モード下では、IEやそこから起動される拡張機能などは、制限のないプロセス空間内で動作することになる。そのため機能制限は受けないが、システムに不正なアクセスなどが行われる可能性がある。
(1)保護モードが有効だと動かないサイトなどがあるため、場合によっては保護モードを無効にしてIEを利用することもある。
IE8では、ステータスバーに保護モードが有効かどうかが表示されていたのですぐに判別できた。一方、IE9以降ではステータスバーには表示されないため、プロパティ画面で確認する必要がある。複数のゾーンが混在したWebページでは、表示領域ごとにゾーンや保護モードが異なる可能性があるので、注意してチェックする。
- TIPS「IE9でゾーン情報を確認する」
●保護モードの設定を変更する
保護モードが無効になっていると、安全のために、IEの起動時に保護モードを有効にするかどうかを表示するようになっている。
保護モードを自動的に有効にする
IEの起動時に保護モードが無効になっていると、有効にするかどうかを問い合わせるダイアログが表示される。特別な理由がない限り、有効にしておくことが望ましい。これはWindows 8上のIE10の例。
(1)IE起動時に保護モードが無効だとこのような問い合わせダイアログが表示される(IE8の場合は、画面の一番上端に表示される)。
(2)以後もずっと保護モード無効のまま利用し続けるならこれをクリックする。次回からはこのメッセージは表示されなくなる。
(3)保護モードを有効にするにはこれをクリックする。IEやOSのバージョンによっては、この後IEの再起動が必要になる。
[今後、このメッセージを表示しない]を選択すると、以後はこのメッセージは表示されなくなるが、保護モードはずっと無効のままである。後で有効にしたくなった場合や、ゾーンごとの設定を確認したい場合は、IEの[ツール]メニューから[インターネット オプション]画面を表示させ、[セキュリティ]タブを選択する。
保護モードの設定
保護モードはゾーンごとに設定する。これはWindows 8上のIE10での設定画面例。
(1)このタブを選択する。
(2)4つのゾーンそれぞれで保護モードやセキュリティレベルを設定できる。
(3)これは「インターネット」ゾーンを選んだところ。
(4)これをオンにすること。
(5)4つのゾーンの設定を初期値に戻すには、これをクリックする。
保護モードの設定だけでなく、セキュリティレベルの設定などを変更しすぎて元の状態が分からなくなった場合は、IEの設定を全てリセットするとよいだろう。[インターネット オプション]画面の[詳細設定]タブに[リセット]というボタンがあるので、これをクリックする。
Copyright© Digital Advantage Corp. All Rights Reserved.