IEのサポートポリシー変更を前に、最新版への更新と既存システムの動作確認を:IPAが注意喚起、1月12日までに
情報処理推進機構(IPA)は2015年12月15日、Internet Explorer(IE)のサポートポリシー変更を前に、Windows Updateを利用してIEを最新バージョンにアップデートしておくよう呼び掛けた。
マイクロソフトは2014年8月にInternet Explorer(IE)のサポートポリシーを変更し、2016年1月12日を過ぎると、サポート対象を「各Windows OSで利用可能な最新版のみ」にすることを表明している。これを受けて情報処理推進機構(IPA)は2015年12月15日、主にセキュリティの観点から、Windows Updateを利用してIEを最新バージョンにアップデートしておくことを呼び掛けた。
Windows OSの場合と同様IEも、サポート対象外になるとセキュリティ更新プログラムは提供されない。このため、新たな脆弱(ぜいじゃく)性が発見されても、パッチを適用して解消することができなくなる。
一方で、IPAが運営している脆弱性情報データベース「JVN iPedia」によると、2013年1月から2015年11月の約2年の間に登録されたIE 7からIE 10までの脆弱性情報は506件に上っている。しかもそのうち85%は、CVSS v2の基準で最も深刻度の高い「レベル III」とされている。
もし、IEの脆弱性に関して同様の傾向が続くと仮定した場合、サポート対象外となってしまうと、こうした深刻な脆弱性を修正する手段がなくなってしまう。そのまま使い続ければマルウエアなどに感染し、ブラウザーを正常に利用できなくなったり、金銭的な損失を被ったり、あるいは情報が漏えいするといったさまざまな被害に遭う恐れがある。
IPAではこうした事態を避けるため、Windows Updateを使うか、マイクロソフト公式サイトからダウンロードするなどして、IEを最新版にアップデートするよう推奨している。サポートが継続されるIEのバージョンは「Tech TIPS:古いInternet Explorerは2016年1月にサポート終了! その対策は?」にまとめられている。
企業システムでIEを利用している場合は、さらにいくつか注意が必要だ。
例えばIEで動作する独自ソフトウエアを開発している場合、まずは動作確認が必要だ。動作の都合上、Webアプリケーションのサポート環境を特定バージョンのIEに限定するケースは少なくないが、こうした環境のままでは、脆弱性が発見された場合に利用者をリスクにさらすと同時に、開発したソフトウエアも影響を受ける恐れがある。
そこでIPAでは、まず既存のシステムが最新版のIEで正常に動作するかどうかを確認し、もし正常に動作しない場合は「互換表示やエンタープライズモードで使用する」「システム改修を検討する」といった手段を検討してほしいとし、確認フローを紹介している。なお、システム改修を検討する場合は「改修が完了するまでの間はインターネット接続専用のPCを用意し、そのPCでは最新版IEにバージョンアップする」といった運用を推奨している。
同様に、Webサイトで何らかのサービスを提供している場合は、最新版IEでも利用できるか動作検証を行い、もし正常に動作しない場合は早急にシステムを改修するよう求めている。
Copyright © ITmedia, Inc. All Rights Reserved.