どんなに技術が進歩しても、欠陥のないブラウザの作成は不可能だ。われわれはインターネットにはリスクがつきまとうことを肝に銘じるべきだろう。
Webブラウザが初めて登場した当時、アプリケーションレイヤの攻撃はまれにしか発生していなかった。今ではブラウザは、あらゆる人のコンピュータ上で最も重要で最もよく使われる部類のソフトウェアだ。そのため攻撃の標的となっている。
コンピュータセキュリティ業界の奮闘をよそに、ブラウザの欠陥は後を絶たない。既にマイクロソフトのInternet Explorer(IE) 7でも新しいものがたびたび見つかっており、Firefoxは業界専門家と攻撃者からますます厳しくチェックされるようになっている。ブラウザベンダーが、欠陥のないコードの作成という不可能な課題に直面しているのに対し、ハッカーは、エラーを1つ見つけるだけで攻撃の糸口をつかめる。マルウェアを犯罪組織に販売する「サービスとしての攻撃コード」ビジネスの登場も相まって、より優れたWebブラウザとブラウザセキュリティを求める声が高まっている。
では、理想のブラウザがあるとしたら、それは現在われわれが使っているものとどう違うのか。マイクロソフトが、更新プログラムをインターネットから自動的にダウンロードしてインストールできるようにすることで、同社のソフトウェアへのパッチ適用を容易にしたのは確かだ。また、同社が新たに導入した、ソフトウェアを「サンドボックス」内で動作させる機能は、悪意あるプログラムがIE 7を不正に操作できる場合でも、被害を限定的なものにするだろう。だが、これらに加えてさらに何が必要なのか。
Webブラウザのセキュリティは、これからも続いていく問題だ。ブラウザには悪意あるコンテンツとそうでないものを区別できないからだ。重要な問題は、個々のコンテンツの受け入れをどの程度までユーザーの判断に委ね、どの程度までブラウザが独自にコンテンツを遮断すべきかという点だ。現在のブラウザは初期設定では、セキュリティに関する判断の多くをユーザーの代わりに自動的に行う。だが、例えばOutlookの判断によって、添付ファイルを開封すべきか否かが決められてしまったら、面倒なことになるのは目に見えている。その反対に、デスクトップファイアウォールが外部からのプローブや要求について、逐一われわれに判断を求めてきたら、非常に煩わしい。しょっちゅう作業を邪魔されて生産性ががた落ちになり、クリックするのに疲れてしまう。
わたしは、ブラウザがセキュリティに関する判断を、われわれの代わりにすべて的確に行えるようになることは絶対にないと思う。行動分析の成果により、判断処理やアラートはより柔軟に行うようになるかもしれない。しかし、セキュリティ確保のための開発ライフサイクルプロセスが、完璧なものになることは決してないだろう。どんな場合でも、一部のコーディングミスは発見されずに残ってしまうはずだ。ユーザーは、オンラインリスクに対する理解と管理能力を高め、攻撃との戦いに参加しなければならない。将来の新しいブラウザは、高度なフィッシング対策機能を提供するだろうが、ソーシャルエンジニアリング攻撃(心理的な攻撃)をすべて防ぐことは絶対にできないだろうからなおさらだ。
われわれはインターネットについての認識を改め、インターネットを使うときにはリスクがつきまとうことを肝に銘じるべきだろう。ブラウザは、われわれの代わりにセキュリティに関するすべての判断を行ったり、われわれを既知および未知のすべてのリスクから守ってくれたりすることは、決してないだろうから。
本稿筆者のマイケル・コッブ氏は、データセキュリティおよび解析に関するトレーニングやサポートを提供するITコンサルティング会社、コッブウェブアプリケーションズの創業者兼マネージングディレクター。CISSP-ISSAP(公認情報システムセキュリティプロフェッショナル―情報システムセキュリティアーキテクチャプロフェッショナル)の資格を持つ。共著書として「IIS Security」があり、主要なIT出版物技術記事を多数寄稿している。
Copyright © ITmedia, Inc. All Rights Reserved.
IT環境の急速な変化により、従来のセキュリティ運用には新たな課題が生じている。特にリソースが限られている中堅・中小企業にとって、セキュリティと業務効率を両立させることは難しい。そこで注目したいのが、SASEマネージドサービスだ。
ファイル共有のセキュリティ対策として広く浸透している「PPAP」だが、昨今、その危険性が指摘され、PPAPを廃止する企業が急増している。PPAP問題とは何かを考えながら、“脱PPAP”を実践する2つのステップを紹介する。
セキュリティ強化を目指す企業が増える中、ゼロトラスト推進の難しさが浮き彫りになってきた。テレワーク対応などをゴールにするのでなく、「なぜゼロトラストが必要なのか」という原点に立ち返ることで、成功への筋道が見えてくる。
クラウド活用の進展と働き方の多様化に伴い、従来の境界型防御モデルでは対処しきれないセキュリティ課題が浮上している。本資料では、国内環境に最適化されたセキュリティ基盤を活用し、これらの課題に対応する方法を紹介する。
情報セキュリティにおいて、ランサムウェアは最大級の脅威だ。バックアップはランサムウェア対策の最後の砦ともいえるが、昨今はバックアップデータへの攻撃も目立ってきた。そこで、ストレージによる対策のアプローチを紹介する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
