This is the top of the page.

2016年1月12日から IEのサポートポリシー変更で企業がとるべき対策とは?!

2016年1月12日からマイクロソフト社のブラウザ「Internet Explorer(以下IE)」のサポートポリシーが変わる。OSごとに指定された最新バージョンのIE以外は技術サポート及びセキュリティアップデートが提供されず、標的型攻撃などの脅威に晒されることになるため、それよりも古いバージョンを利用している企業/団体では対策が急務となっている。
そこで、対策のために残された時間を考えると“待ったなし”の今、想定される複数の対策について整理しつつ自社に最適な対策を選定するためのアプローチ(進め方)などをまとめてみた。

業務Webアプリ延命のためIE 8を継続利用…はもはや許されない!?

図:2016年以降、下記組み合わせ以外サポートが受けられなくなる!

2016年1月12日以降、サポートが受けられるOSとIEのバージョン組み合わせは右図の通り。クライアントOSで現在最も多いとされるWindows 7はIE 11となっており、もともとOS標準であったIE 8はもとよりIE 9やIE 10ですらサポートが受けられなくなるのだ。
マイクロソフトの新しいサポートポリシーに従いIE 11に全面移行すれば、最新のセキュリティパッチや無料・有料の各種サポートオプションが提供され、インターネット利用においては継続的にセキュリティが確保できる。だがそれによって、イントラネット上の各種業務Webアプリが利用できなくなる可能性があるのだ。


このように、対策においては、“こちら立てればあちら立たず”のイントラネットとインターネット利用を、どう両立するかが鍵となる。


想定される6通りの対策とは!?

もちろん、業務Webアプリの継続利用とセキュアなインターネット接続を両立するための方策は1つだけではない。以下では、Windows 7+IE 8のクライアント環境を利用する企業/団体で想定される6通りのアプローチ(対策)を紹介する。

1.業務Webアプリを改修した上でIE 11に全面移行する

図:IE 11に統一でシンプルな運用を実現

最も単純なのが、クライアント環境をすべてIE 8からIE 11に移行する…というこの方法。業務Webアプリはすべて検証の上、必要に応じて改修しなければならないことは言うまでもない。



2.IE 11に全面移行、エンタープライズモードで業務Webアプリを利用する

図:IE 11のエミュレーション機能で業務Webアプリを延命

マイクロソフトが互換性の問題をクリアする最新IEの機能として提供していた「エンタープライズモード」だが、完全互換保証はしていないので要注意だ。実際に検証してみたところ、画面表示が崩れる、印刷できない、などのトラブルで改修が必要になった…というケースも耳にする。



3.イントラネットとインターネットで異なるブラウザを利用する

図:業務Webアプリは改修も検証も不要

業務Webアプリ延命のためクライアント環境はIE 8のままとするかわりに、インターネット接続にFirefoxやChromeといったIE以外のブラウザを利用しセキュリティを担保するという方法。但しIEでのインターネット接続をブロックするために次世代ファイアウォールなどの導入が必要になる。



4.IE 11に全面移行、業務Webアプリをアプリケーション仮想化+互換ブラウザで利用する

図:業務Webアプリごとカプセル化&仮想化で延命

クライアント環境をIE 11に全面移行しつつ、業務Webアプリを必要なコンポーネントやIE互換ブラウザごとThinApp等のアプリケーション仮想化でカプセル化する方法。ThinApp等の互換ブラウザで業務Webアプリが正しく動作するかの検証が必要だ。



5.IE 11に全面移行、仮想デスクトップのIE 8経由で業務Webアプリを利用する

図:仮想デスクトップを踏み台にすることで業務Webアプリを延命

クライアント環境をIE 11に全面移行しつつ仮想デスクトップを導入。業務Webアプリは仮想デスクトップのIE 8経由で利用する。仮想デスクトップ上で業務Webアプリが正しく動作するかの検証が必要だ。



6.IE 8のまま、仮想デスクトップのIE 11経由でインターネット接続する

図:業務Webアプリは改修も検証も不要

クライアント環境はIE 8のままで業務Webアプリ利用を継続し、仮想デスクトップのIE 11経由でインターネット接続する…という、5.とまったく逆の方法。仮想デスクトップサーバーをインターネット接続セグメントに設置する場合は、インターネット接続時の印刷やファイルダウンロードなどのシステム対応が必要となる。


各対策の詳細について確認する

セグメント分離できるかどうか…が分かれ目

実は「1~5」と「6」とではセキュリティ対策としてのレベルが異なる。「6」の方法では、インターネット接続セグメントとイントラネット接続セグメントを分離することにより、強固なセキュリティを実現することができる。
セキュリティに“絶対”があり得ない以上、標的型攻撃などインターネット経由でのアタックを受けるリスクは否定できない。だが両セグメントが完全に分離されていれば、イントラネット上のシステムに被害が及ぶリスクが少なく安心できる。かつてはイントラネット接続用とインターネット接続用の端末を別々に運用する企業や自治体も少なくなかったが、デスクトップ仮想化を導入すれば、1台のクライアント端末で両セグメントを分離できる…というワケだ。


百社百様…ニーズ・要件に適した対策を選ぶべし!

一方で、IE 8での業務Webアプリ利用を継続できるのはいいが、デスクトップ仮想化となると少なからずコストを要し荷が重い…という企業/団体も多いと思う。2016年1月までに業務Webアプリを改修するのはムリ…ならば、「2」「3」といったシンプルな対策で対処し、その後よりセキュリティを強固にするためにデスクトップ仮想化を検討する…という段階的アプローチもありだ。
6つの対策のうちどれが正解でどれが不正解…という単純な話ではなく、どんな対策が可能なのかを正しく理解した上で最適解を見いだすことが企業に求められている。NECでは上記6通りすべての対策を準備し、確かなノウハウと豊富な実績をもとに、自社に最適な対策の選定及びその導入を支援している。デスクトップ仮想化によるセグメント分離についても、下図のようなフローで最適な方式の提案が可能だ。

図:仮想デスクトップを導入する場合の具体的検討プロセス

どの方法(対策)が自社に最適なのかイマイチ判断できない…、限られた時間で何からはじめれば近道か客観的なアドバイスが欲しい…、といった企業/団体は是非気軽にご相談を。


(2015年8月6日 公開)