気になるInternet Explorer 8のWebセキュリティ機能：新機能は小粒だが有用

IE 8はセキュリティ強化よりも標準準拠に主眼を置いたWebブラウザだが、それでも幾つか有用なセキュリティ機能が備わった。

≫ 2008年08月18日 07時30分公開

[Brien M. Posey，TechTarget]

　わたしは今週（編注：本記事は2008年4月に執筆された）、「Internet Explorer 8」（以下、IE 8）のβ版（図1）を試用した。現時点でIE 8は最初のβリリースだが、完成度はかなり高く、少なくとも最終製品がどのようになるのかという感触をつかむことはできる。

　本稿を読むに当たって留意していただきたいことが2つある。まず、今回試用したのは初期βリリースであり、本稿で紹介した機能や特徴は、Microsoftが最終的に製品をリリースするまでに変わる可能性があるということ。もう1つは、本稿では主としてセキュリティに関連した機能を取り上げるということだ。

図1　IE 8のユーザーインタフェースはこんな感じだ

評価が分かれるIE 7エミュレート機能

　では、IE 8のセキュリティ機能を見ていくことにしよう。Internet Explorer 7（IE 7）は基本的に、従来版のIEのセキュリティの弱点に対処することを狙った製品だ。これに対してIE 8は、セキュリティ対策よりもWeb標準への準拠の方に主眼を置いている。MicrosoftもIE 8開発の主要な目標の1つとして、Web標準技術のサポート改善を挙げている。そのほかにも、RSS、CSS、Ajaxのサポートの改善も目標として挙げている。Microsoftでは、セキュリティの改善もIE 8の開発目標の1つだとしているが、これは二次的な目標であるように思える。

　Microsoftが各種のWeb標準のサポートの改善を目標としてIE 8をデザインしたというのは、良いことであると同時に悪いことでもある。各種標準のサポートが充実すれば、Web開発者は標準化されたコードを使用するようになるので、よりセキュアなサイトを作成できるようになる。一方、IEは長い間Web標準の多くを強要しなかったという歴史がある。このため、現在あるサイトの多くは、IE 8で要求されるWeb標準の一部に完全に対応することはできない。これは、多くのWebサイトが正しく動作しないことを意味する。

　Microsoftはこの非互換性によって生じる問題を緩和するために、IE 8では必要に応じてIE 7をエミュレートできるようにした。図2に示すように、［Tools（ツール）］メニューに「Emulate IE7」機能が含まれている。しかし、このエミュレーションは、IE 7の脆弱性を狙った多くのセキュリティ脅威にIE 8をさらすのではないかという不安をぬぐえない。

図2　IE 8はIE 7をエミュレートできる《クリックで拡大》

　図2には「Safety Filter」というセキュリティ機能も示されている。わたしの知るかぎりでは、Safety FilterはIE 7に組み込まれていたPhishing Filter（フィッシング詐欺検出機能）をリプレースしたもののようだ。Safety Filterはフィッシングサイトを検索するための機能だが、既知の悪質なWebサイトも検索し、URL文字列全体を分析して悪質なコードの有無をチェックする。こうしたきめ細かいアプローチによって攻撃を防御するというのがSafety Filterの狙いだ。

意外に使える「ドメイン強調」

　もう1つの新しいセキュリティ機能は「ドメイン強調」と呼ばれるものだ。この機能の基本的な役割は、アドレスバー上でURLのドメイン部分を黒で表示し、残りの部分をグレーで表示することだ。これは大した機能ではなさそうに思えるが、実用度は高い。Webサイトの中にはURL文字列内にテキストを含めることによってその素性を隠し、別のサイトにいるようにユーザーに思い込ませるものもある。ドメイン強調機能では、ユーザーが実際にどのサイトにいるのかが明白になる。ドメイン強調機能がどのように見えるかを図3のアドレスバーに示す。

図3　アドレスバーで強調されたドメイン名（黒字部分）《クリックで拡大》

　本稿で紹介したセキュリティ機能は確かに有用だが、革新的というほどのものではない。残念ながら、IE 8のβサイトでMicrosoftが言及している新しいセキュリティ機能は以上で全部だ。ただし、ひそかに開発中で、まだ明らかにされていないセキュリティ機能もあるかもしれない。

本稿筆者のブライエン・M・ポージー氏はMCSE（マイクロソフト認定システムエンジニア）の資格を持ち、Windows Server、IISおよびExchange Serverに関する仕事でMicrosoft Most Valuable Professionalの認定を4回受けた。全米規模の病院／医療施設チェーンでCIO（最高情報責任者）を務めた経験を持つほか、フォートノックス（ケンタッキー州にある米軍施設）のネットワーク管理者を務めたこともある。