インフラセキュリティの処方箋

第19回 2016年1月~Internet Explorer サポートポリシー変更後の状況

この記事を読むのに必要な時間:およそ 1 分

第15回で,Internet Explorer のサポートポリシーが,2016年1月12日(米国時間)から変更になる,ということを取り上げました。

第15回 2015年9月~9月18日のDDoSは?そして,IEの今後について考える
http://gihyo.jp/admin/serial/01/infrasec/0015

今回は,その状況が今どういう影響をインターネット経由で提供されるサービスに及ぼしているか(もしくは及ぼしていないか)を簡単に述べていきます。

推奨環境はまちまち。刷新されているところもあれば,そうでないところも

記事中「2016年1月12日(米国時間)以降,このようなところがどういう推奨環境を提示してくるのかが気になります」と書きましたが,この記事の振り返りとして現状をざっと確認した所感を以下に示します。

新たなサポートポリシーにあわせ,推奨環境を刷新しているところは多い一方で,対応が追いついていないところも散見される

私がざっと見た限り,推奨環境として挙げているOSとブラウザバージョンの組み合わせを刷新しているところはわりと多いかな,という印象を受けました。

たとえばですが,みずほ銀行のインターネットバンキング利用時の推奨環境は以下のとおりです。

  • Microsoft Windows(日本語版)
  • (Windows7)Internet Explorer11(日本語版)
  • (Windows10)Internet Explorer11,Edge(日本語版)
  • FireFox42(日本語版)
  • Google Chrome46(日本語版)
ご利用環境(みずほ銀行)
http://www.mizuhobank.co.jp/direct/environment.html

表記の差異こそあれ,みずほ銀行,三井住友銀行,三菱東京UFJ銀行などの日本のメガバンクは,おおよそ新たなサポートポリシーに則った推奨環境になっています。

一方で,それ以外の金融機関では,まだ旧来の環境を引きずったところが散見されます。具体的にどの金融機関でといった名指しは本稿では行いませんが,推奨環境として以下のものが記載されているところもあります(2016年2月23日現在)。

  • OS:Windows98以上
  • 対応ブラウザソフト:Netscape Navigator ver.4.7/4.78/7x,Internet Explorer(Windows版)ver.5.01以降

この金融機関の例は極端としても,新たなサポートポリシーに追随できていない(もしくは追随した旨の告知が行われていない)ところもあります。

サービス提供側に向けて~ユーザの安全を考えるのであれば,一刻も早く最新環境に追随を

ITは利用者の利便性を向上させるために活用されますが,利便性を高くした結果,安全性が犠牲になるのはどうにも納得がいきません。

しかし,サービスを利用するための環境としてサポート対象外の環境を推奨とすることは,極論ではありますが,安全性を担保しないと言ってるに等しく,ユーザは当該サービスを利用するためには安全性を犠牲にしなければならない,ということを意味します。サービスを利用するための推奨環境を揃えたら,自分の環境に不具合が生じたなどというのはあってはならないことです。

まだ推奨環境を新たなものにできていないサービス運営者におかれましては,一刻も早く最新環境での検証を終え,当該部分の記載を刷新すべきといえます。

ユーザに向けて~自衛のために,自分が使っているサービスの推奨環境確認を

すでに述べたとおり,Internet Explorerのサポートポリシーが変わった現在,それに追随していないところも散見されます。今回取り上げたのは,金融機関の推奨利用環境ですが,それ以外のサービスでも表記の仕方はまちまちです。サポート対象外のブラウザを推奨環境に含めているところも多く見られます。

とある通販系サービスでは,「Internet Explorer 8.x以上(11以上推奨)」という書き方がされていますが,Internet Explorer 8.xは,現在はOSを問わずサポート外のブラウザになります。

こういうところの対応をきっちり行っているかを見ることは,当該サービスの運用や維持管理をきちんと実施しているかどうかの目安にもなります。

自分が使うサービスが新たなサポートポリシーに追随して,サポート対象となる環境のみに絞っているか(もしくはその環境を推奨としていないか)を確認してみることをお勧めします。

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務する,どこにでもいる技術者。

OSやネットワーク技術に興味を持ち,その延長でセキュリティ技術にも興味を持って,いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり,というのももちろん好きで,あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士(情報学),技術士(情報工学)。

URL:http://d.hatena.ne.jp/wakatono/

監訳書の1つ:実践Metasploit

コメント

コメントの記入