自動更新が始まった“IE 8”はインストールすべきか？

　5月27日，日本でInternet Explorer（以下IE） 8の自動更新機能による配布が始まりました。Windows Vista/2008，およびWindows XP SP2以降，Windows Server 2003 SP2以降の利用者は，自動更新機能もしくはWindows Update，Microsoft Update実行時にIE 8のインストールを促されます。

　これを受けて，ある企業のシステム管理者から，『会社で使用するブラウザとしてIE 8はお勧めなのだろうか。アドバイスしてほしい』と相談を受けました。

　「Internet Explorer 8へようこそ」のダイアログ画面で，「インストールしない」を選択すれば，インストールを中止できます。IE 8の自動更新による配布に伴う留意事項は，「インストールの中止方法」，「アンインストールの方法」，「InternetExplorer 8 自動配布の無効化ツールキットの入手方法」です。これらはマイクロソフトの「Internet Explorer 8 の自動更新による配布について」に記載されていますので，目を通しておく必要があります。

［関連記事］
　 IE 8の自動更新による配布が日本でも開始（2009/05/25）

　また，IE 8のインストールにあたっては，リリースノートとよく寄せられる質問（FAQ）に目を通しておく必要があります。

　マイクロソフトによれば，IE 8の特徴は「より高速なページ表示，簡単になった操作，安定した動作，強固なセキュリティ」とされています。主な新機能としては，以下の6点が挙げられています。

• 「互換表示機能」：以前のブラウザー向けに設計された Web サイトの互換を実現
• 「セキュリティ機能」：SmartScreen フィルター等
• 「プライバシー保護機能」：Web 閲覧履歴を残さない”InPrivate ブラウズ”等
• 「Web スライス」：様々な更新情報を確認
• 「アクセラレータ」：Web 閲覧作業を効率化
• 「ビジュアルサーチ」：快適な情報検索を実現

　これらの概要は「Windows Internet Explorer 8: ホーム ページ」に記載されています。

［関連記事］
　IE 8は本当に速いか計ってみた（2009/03/25）
　Microsoft，次期Webブラウザ「IE 8」のリリース候補版を公開（2009/01/27）
　Internet Explorerは8.0でどう変わる？（2008/11/20）
　MS対グーグル，ブラウザで激突　企業目線で見たIE 8，Chrome，Firefoxの実力（2008/11/19）

お勧めは「デフォルト・セキュア」

　結論から言えば，『企業で使用するブラウザとしてIEを使用している場合，評価を実施し業務に支障がないと判明したら，IE 8への積極的なバージョンアップをお勧めします。特にIE 6を使用している場合は，速やかにIE 6の利用を停止し，少なくともIE 7にはバージョンアップしましょう』となります。

　IE 7までと異なり，IE 8は「互換性の問題」が発生する可能性が高くなっています。つまり，従来のWebページが意図した通りに表示されない可能性が高いということです。これは，ほかのブラウザとの相互運用性を向上させるためにデフォルトを「Web標準準拠」（W3Cが定めるHTMLやCSSの標準規格準拠）に変更したためです。このため，IE固有の独自解釈やタグを使用した従来のWebサイトを，可能な限り表示する「互換表示機能」が搭載されています。こうしたことから，IE 8導入の際には業務の表示テストを入念に行う必要があります。

　今回は，特にIE 8の「セキュリティ機能」にフォーカスして解説していきます。

　まず，“IE 6”から“IE 7”もしくは“IE 8”にアップデートすることを強くお勧めする理由は，“IE 7”もしくは“IE 8”が，IE 6よりも強固な『デフォルト・セキュア（Secure By Default）』になっているからです。“IE 8”にアップデートできない場合でも，少なくとも“IE 7”にアップデートすることをお勧めします。

　IEのバージョン 5/6/7/8のデフォルト（既定値）を比較した一覧表（バージョン別セキュリティ既定値一覧表）が，端的にセキュリティに関する立ち位置の変化を表しています。一覧表を見ると，“IE7”以降，急速に『デフォルト・セキュア』側にシフトしていることが分かります。

　一番大きいのは，「ゾーン別セキュリティ設定」のデフォルトの変更です。インターネット・ゾーンにおいて，“IE 6”は”中”ですが，“IE 7”と“IE 8”には“中高”という新たなレベルが追加されています。また，信頼済みサイト・ゾーンにおいて，“IE 6”は“低”ですが，“IE7”と“IE 8”は“中”に設定されています（制限付きサイトとイントラネットのレベルは変更ありません）。

　インターネットにおいて“IE7”と“IE 8”が新たなレベルとして設定した“中高”は，「スクリプトレットの許可」，「外部メディア プレーヤーを使用しないWeb ページのビデオやアニメーションを表示する」，「前回使用されなかった ActiveXコントロールを警告なしで実行するのを許可する」，「スクリプトでのステータスバーの更新を許可する」，「スクリプト化されたウィンドウを使って情報の入力を求めることを Web サイトに許可する」といった8項目を超える設定が，新たにデフォルト無効の状態で追加されています。

　また，詳細設定においても“IE 7”と“IE 8”は，セキュリティに関して「POSTの通信がPOSTを許可しないゾーンにリダイレクトされた場合に警告する」，「サーバー証明書の取り消しを確認する」，「証明書のアドレスの不一致について警告する」，「TLS 1.0を使用する」等がデフォルトの設定として新たに加わっています。

　さらに，“IE 7”からは，既知のフィッシング詐欺サイトを閲覧しようとした時にリアルタイムに警告する「フィッシング詐欺検出機能」も追加されています。

　一方，“IE 7”の場合でも“IE 8”にアップすることをお勧めする理由は，“IE 7”よりも“IE 8”が，さらに『デフォルト・セキュア（Secure By Default）』になっているからです。

　大きな機能追加として，「フィッシング詐欺検出機能」の代わりに，フィッシング詐欺サイトだけではなく，既知のマルウェア配布サイトへのアクセスもブロックする「SmartScreen フィルタ機能」が追加されました。「ドメイン ハイライト機能」や，クロスサイト・スクリプティング攻撃に対抗する「XSS（クロス サイト スクリプティング）フィルタ」なども加わっています。

　IE 8のセキュリティに関する詳細な正式コンテンツはあまりないのですが，Internet Explorer開発チーム・ブログの翻訳記事には，以下のような興味深いエントリーがあります。

• Internet Explorer 8 のセキュリティ：総合的な保護
• IE 8 セキュリティ Part I：DEP/NX メモリの保護
• IE 8 セキュリティ Part II：ActiveX の機能向上
• IE 8 のセキュリティ Part III：SmartScreen Filter
• IE 8 のセキュリティ Part VI：Beta 2 の更新項目
• IE 8 セキュリティー Part VII：クリックジャッキングを防ぐ

　Windows開発統括部ブログにも，「メモリ保護（DEP/NX Memory Protection）機能の IE7 と IE 8 の違い」という興味深いエントリーがあります。ここには，『IE 7から実装されているメモリ保護（DEP/NX Memory Protection）の機能ですが，IE 8 からは（条件がそろえば）デフォルトで有効になっています』と記載されています。

欲しいのはアドオンのアップデート通知機能

　私自身がIEの新機能として欲しいのは，ブラウザ起動時に，組み込んでいる「アドオン」のバージョンをチェックし，新しい「アドオン」が出ていればアップデートを促す機能です。特に，最近のWebウイルス（Webページに埋め込まれるタイプのウイルス）は，Adobe ReaderやAdobe Flash Playerのセキュリティ・ホールを悪用するケースが増えています。IE用のAdobe ReaderやAdobe Flash Playerの対策アドオンがリリースされている場合に，ブラウザがアップデートを促してくれれば，危険を避けられる可能性が高まります。

　筆者は「長すぎるFlash Playerの自動更新間隔，“隠し設定”でカスタマイズを」，「IEを使い続けるための“お勧め”設定，“デフォルト・セキュア”とMicrosoft Update使用環境を共存化」といったコラムを執筆してきました。ただ最近，各自の追加設定により，Adobe Flash Playerの最新版チェックを行ったり，各自のブラウザのデフォルト変更によってセキュリティ・レベル向上・維持を徹底するのは困難だと，つくづく感じます。やはり，『デフォルト・セキュア（Secure By Default）』や『更新の自動チェック／警告』が，セキュリティレベルの向上や維持を徹底する為には効果的だと考えています。

　なお，「Webブラウザを使い続けるための“お勧め”設定【プラグイン管理編】」で説明したように，Firefoxは「プラグイン」と「アドオン」の役割が明確に区別されており，「アドオン（拡張機能）」に関しては最新のバージョン情報を定期的に確認し，配布元から更新が提供された場合は，更新が利用可能になったことが通知されます。ただし，Flash PlayerやAdobe Readerなどの「プラグイン」については確認も通知も行われず，各自が行う必要があります。

　IEには「プラグイン」と「アドオン」の区別はなく，すべて「アドオン」と位置付けられています。マイクロソフトが行うことが立場的に難しいのは百も承知ですが，ぜひIEの起動時にFlash PlayerやAdobe Readerを含めて組み込んでいる「アドオン」のバージョンをチェックし，新しい「アドオン」が出ていればIEからアップデートを促す通知機能を実現してほしいと思います。

著者について 以前，ITproで「今週のSecurity Check [Windows編]」を執筆していただいた山下眞一郎氏に，情報漏えい対策に関する話題や動向を分かりやすく解説していただきます。（編集部より）