結局「IE」は安全になったか？

Paul Thurrott

2006.05.12

　決断のときがきた。筆者は5月9日（米国時間）の夜，「Microsoft Internet Explorer（IE）7.0」について地元のユーザー・グループで講演することになっているが，どのように話すか決めかねている。筆者は，過去10年にわたってIEが引き起こした数多くの問題に対する苦情のおかけでキャリアを積んできたようなものだ。しかしIE 7.0で，米Microsoftはやっと安全性を確立したようだ。

　筆者の評価に不満があるのなら，実際にIE 7.0を評価してみればよいだろう。Microsoftが先日リリースしたIE 7.0のBeta 2は，非常に安定している。安定しているため，MicrosoftはBeta 2ユーザー向けの無料電話サポートを提供しているほどだ。2006年の終わりごろには，IE 7.0 Beta 2から最終版にアップグレードする仕組みまで用意する。

　電話サポートの件は別にして，IE 7.0 Beta 2は様々な面で興味深い。筆者にとっては，IEの機能とセキュリティという2つの部分が大きな懸念であり続けた。MicrosoftはIE 7.0で，実にうまくその2つをほとんど解決した。ほかのWebブラウザが何年も前から提供している，タブ・ブラウジングと検索機能を搭載した。ほかのWebブラウザにはない新機能として，開いているウインドウをグラフィカルなグリッドに並べて表示する「Quick Tabs」を搭載した。新たな印刷機能は，驚くほど優れている（かつてIEから印刷しようとしたら，必ずひどい結果になったものだ）。

　さらにIE 7.0は，「Windows Vista」から拝借した新しいユーザー・インターフェース（UI）を採用する。ただしこのUIは，「Windows XP」や「Windows Server 2003」などWindows Vista以外のOSではまともに動かない。「Mozilla Firefox」のツールバーは簡単明瞭で，当然のように「戻る」「進む」「更新」「中止」「ホーム」というボタンがアドレス・バーの左に設けてある。それに対しMicrosoftはIE 7.0で，ユーザーがよく使うこれらのボタンをばらばらに配置することにした。戻ると進むは通常の場所に置き，更新と中止はあえて場所を変えてアドレス・バーの右に置いた。頻繁に使うホームは，UIコントロールの「Command Bar」と呼ぶ領域の2列目に格下げして配置した。その結果，UIを簡素化できた。

　セキュリティに関して，MicrosoftはとうとうIEの問題点をほぼ解消したようだ。なお，この解決方法がWindows Vistaの「後付けセキュリティ機能」であるユーザー・アカウントプロテクション（UAP，User Account Protection）と似ていることに注目しよう。次から次へとIEでシステムに被害を与え続けていたMicrosoftがついに事態を収拾できたとは，喜ばしいことだ。しかし機能の追加は，新たに安全性の低い製品を生み出しかねない。これからもIEが，多くのハッキングに耐えるよう願っている。

　筆者が述べたいのは，「IEが攻撃される場合に悪用されているのは，主にActiveX処理が中心である」ということだ。ActiveXは，Microsoftが1990年代半ばにCOMから派生させた，安全性の低いヘルパー・アプリケーション技術である。FirefoxがIEより安全なのには，2つ理由がある。1つは，IEほど普及していない（そのため攻撃対象とされにくい）こと。もう1つは，FirefoxがActiveXに対応していないことだ。MicrosoftはIE 6.0のうちWindows XP Service Pack 2（SP2）に搭載したバージョンで，ポップアップ広告阻止機能や，自動的にソフトウエアがダウンロードされるのを妨げる機能に加えて，ActiveXコントロールとその他ブラウザ用プラグインを無効化するためのアドオンの管理機能を追加した。これら3つの機能のうち2つはActiveXの不正利用を直接防ぐものだが，驚くに当たらない。

　IE 7.0には，さらに多くの新しいセキュリティ機能がある。ActiveX Opt-Inと呼ばれる機能は，ユーザーがWeb上で明示的に有効と設定しなかったActiveXコントロールを，すべて自動的に無効化する。明示的に有効と設定する必要があるということは，IE 7.0のインストール前からハードディスク内に存在していたActiveXコントロールからも，システムを守ってくれる。IE 7.0は，クロスドメイン・スクリプティング攻撃とフィッシング・サイトに対抗する保護手段も持っている（残念ながらフィッシング対策は標準機能ではない）。アドオンの管理インターフェースは機能強化し，特定のActiveXコントロールをアンインストールできるようになった。こうしたセキュリティ機能が過去の過ちを正すための取り組みだとしたら，すべてに価値があるだろう。

　IE 7.0は，Windows Vista上で使うとさらに安全性が高まる。「IE Protected Mode」という独特の機能は，ユーザーが持っている権限と関係なく，標準的なユーザー・アカウントよりも低いセキュリティ権限でIE 7.0を動かす。そのため，ユーザーはUIからIEの設定を手作業で変更できる。ところがプログラムを使って設定変更を行うことや，Webダウンロード機能経由で設定を変更することは不可能となる。

　管理面では，旧バージョンよりも設定作業がしやすくなった。利用価値の高いフィッシング・フィルタも含め，すべての新機能がグループ・ポリシーで完全に管理できる。従来通り「IE Administration Kit（IEAK）」によるカスタム化も可能だ。

　筆者がIE 7.0を数週間使ったところ，互換性に関する問題がいくつか発生した。IE 7.0のためにWebアプリケーションの動作検証を始める必要があるだろう。インライン検索やダウンロード・マネージャといった機能は，FirefoxにあったのにIE 7.0では見当たらない。しかし，IE 7.0の機能が基本的にFirefox並みになったことは間違いない。唯一の疑問は，Microsoftのセキュリティ・アドオンが時間をかけた検証に耐えるかどうかというだけだ。

　筆者は友人にはIEを勧めないが，IE 7.0で状況は変わる。あなたの意見はどうだろう。あなたの会社は新しいWebブラウザに備えているだろうか。