Internet Explorer (IE) 旧バージョンサポート終了の衝撃

Windows XP、Windows Server 2003の次にくるIE危機を乗り越えるために

 
2014年8月8日、米マイクロソフト社は、2016年1月12日以降に各Windows OSごとに定められたInternet Explorer(以降、IEと記述)バージョンより古いIEのサポートを打ち切ると発表しました。本記事では、このIEのサポートライフサイクルが企業に及ぼす事象を明確にし、企業がどのように2016年1月を迎えるべきかの指針をご紹介します。

Internet Explorer 旧バージョンサポート終了とは

2014年4月9日(日本時間)のWindows XP、Office 2003のサポート終了への対応が完了し、息をつく間も無く多くの企業が2015年7月14日のWindows Server 2003(Windows Server 2003 R2)のサポート終了に向けて準備しています。そして多くの企業は、今からIEサポートポリシー変更の問題の準備に追われることになりそうです。

このIEのサポートポリシー変更に関して事実を整理しましょう。
従来、マイクロソフトではWindows OSに対して複数のIEのサポートを行っていました。古くはWindows NT 4.0の時代にはIE 1.5、2.0、3.0、4.0、5.0、5.5、6.0と実に7つのバージョンのIEをサポートしていました。直近では、Windows 7においてIE 8、9、10、11の4つのバージョンをサポートしています。

2016年 1月 12日以降、サポートされている各 OS 上で利用できる最新の IE のみがセキュリティ更新プログラムの適用とテクニカルサポートの提供を受けることができることが発表されました。例えばWindows 7 SP1を利用している場合にはIE10やIE9、IE8はサポート対象から外れることになり、企業はIE11に移行する必要があるのです。現在、2016年 1月 12日時点での具体的なサポート対象 OS と その OS 上で使用できる最新の IEは以下としています。

Windows Platform Internet Explorer Version
Windows Vista SP2 Internet Explorer 9
Windows Server 2008 SP2 Internet Explorer 9
Windows 7 SP1 Internet Explorer 11
Windows Server 2008 R2 SP1 Internet Explorer 11
Windows 8.1 Internet Explorer 11
Windows Server 2012 Internet Explorer 10
Windows Server 2012 R2 Internet Explorer 11

「IEBlog: Stay up-to-date with Internet Explorer」より

なおWindows 8は同じタイミングでサポート終了となるためポリシー変更の影響は受けません。
2016年の 1月時点で正式なサポートを受けて利用できる IE としては、IE9 が最も古いバージョンとなりIE8 以前のバージョンはサポート対象外となります。

ie_os_support

 

IEの影響範囲

多くの企業や組織ではIEを標準のブラウザとして利用しています。そのブラウザシェアはNet Applicationsの調査によると実に60%近くにものぼります。同社が2014年9月に発表したデータを確認するとIE 8やIE 9、IE10といった古いブラウザを活用している方が、まだ40%近くも存在します。実に多くの企業や組織、個人が今回の影響を受けることになることはお分かりいただけるでしょう。

ie_range

古いIEを使い続けるリスク

マイクロソフト社の見解では、今回のサポートライフサイクルポリシーの変更はセキュリティの強化や最新Web標準技術への対応を目的に行うとのことです。基本的にはマイクロソフト社が推奨しているとおりWindows Updateを有効にしておくことで自動的に最新版のIEが適用されます。しかし、前述のシェアからも分かるとおり、多くの企業や組織ではアプリケーションの互換性の問題などで、どうしてもすぐに最新版IEに移行できない場合も多々有ります。

ここで最も大きな問題となるのはセキュリティリスクに他なりません。サポート対象外となるバージョンのIEに対してはセキュリティ更新プログラムが提供されなくなるため、脆弱性を突いた悪意を持ったソフトウェアなどが開発されるとその脆弱性を修正する手段がないため、そのまま不正アクセスなどが行なわれ、情報漏えいなどへと繋がります。また、単なる情報流出の危機管理レベルではなくデータ改ざんやシステム破壊などのリスクを含んでおり、事業の継続性をも揺るがすリスクがあるのです。

マイクロソフトは2000年初頭より「Trustworthy Computing」の名称で、信頼性の高いコンピューティング環境の構築に取り組んでいます。マイクロソフト製品の脆弱性は自らが持つサイバーセキュリティ専門組織とセキュリティ関連企業や組織などの第三者機関、そして個人ユーザーという3つの大きなルートで発見された脆弱性に対して対策が行われます。これを元に発見された脆弱性は毎月第2火曜日(日本時間では水曜日)にセキュリティ更新プログラムとして配布が行われています。そして今回の旧バージョンサポート終了にともない、これらが機能しなくなりセキュリティ更新プログラムが提供されなくなるのです。

動作検証の必要性と改修作業の可能性

2016年1月12日までに企業や組織は、各OSでサポートされるIEへのバージョンアップを行う必要があります。例えばWindows 7 SP1をメインで利用している企業や組織は、IEのバージョンを11に変更する必要があります。

しかし、多くの企業や組織ではブラウザを単純にバージョンアップするだけの話には留まりません。長年利用してきた社内外のアプリケーションが正しく動作するのかを検証する必要があります。また、パッケージやSaaSアプリケーションなどがそのIEのバージョンをサポートするのかを調査、検証する必要もあるでしょう。そして、動作しなかった場合にはアプリケーションの改修作業やサービス提供事業者へのエスカレーションが必要になってきます。Windows XP、Windows Vista、Windows 7と3つのOSをサポートするIE8がいまだにブラウザシェアの20%を超えていることからも、可能な限り出来れば企業や組織は動作検証や対応調査をともなうブラウザのバージョンアップを行いたくないという意向が読み取れます。

企業や組織が行うべき4つの対応方法

ここではこれらの問題に対して、企業がどのような方針で乗り切るかを4つのパターンを提示してメリット、デメリットをご紹介します。

1. すべてサポート対象のIEに対応

これはWindows 7 SP1やWindows 8.1を利用中であればIE11、Windows Server 2012 であればIE10というようにOSごとに指定されているIEにバージョンアップをする方法です。メリットとしては、提供元のマイクロソフト社からの正式なサポートを受けられる点があります。デメリットは、前述した通り、社内外で利用しているアプリケーションが正しく動作するのかをすべて検証する必要がある点です。そして、動作しなかった場合にはアプリケーションの改修作業やサービス提供事業者へのエスカレーションが必要になってきます。組織の方針として標準のブラウザをIE以外に切り替えることも考えられますが、やはり動作検証という作業は必要不可欠なうえに、選択するブラウザによってはサポートポリシーから調べる必要があるため、切り替えにはより注意が必要です。

ie_zuhan1

2. エンタープライズモードで対応

IE11では、エンタープライズモードと呼ばれる過去のIEのバージョンとの互換性を向上させるための機能が提供されます。旧バージョンのIEをエミュレーションすることにより、組織内に多く残っている古いIE向けのアプリケーションをIE11でブラウズできるようになるとマイクロソフト社は述べています。この場合、マイクロソフト社からの正式なサポートを受けつつ、アプリケーションの互換性対応もされるというメリットがあります。しかし、すべての互換性を保証するものではないため、事前にすべてのアプリケーションが動作するのかを確認する必要があることに変わりはありません。もちろん、エミュレーションが正しく動作しない場合には、アプリケーションの改修が必要になります。

ie_zuhan2

3. アプリケーションに応じたIEを配信

これは社内で動作検証済みのブラウザをアプリケーション仮想化により提供する方法です。手元のPC内のIE環境をサポートされる最新のバージョンにして、動作しない場合には動作するバージョンのIEのみを配信することで今まで通りにアプリケーションを利用することができるというメリットがあります。デメリットとしては、サポートされないIEを使い続けることになる点にあるため、外部にはアクセスさせない対象となるアプリケーションの利用限定に留める必要があります。
関連製品:Citrix XenApp、IE互換ブラウザのストリーミング配信

ie_zuhan3

 

4. XenAppによるセキュアブラウジング

これはサポートされる最新のIEをアプリケーション仮想化により配信する方法です。DMZを超えたインターネットの閲覧などは、すべてマイクロソフト社がサポートする最新かつサーバーに集約されたIEを用いることでセキュアなインターネット閲覧が可能になります。さらに、他の方法と違い、ブラウザの環境を業務環境から切り離しているため、IEの脆弱性だけに起因しない標的型攻撃などの悪意ある攻撃に対しても、影響を最小限にすることが可能です。この方法は互換性問題とは別にセキュリティ強化のために多くの企業や組織で採用されています。

ie_zuhan4
関連製品:Citrix XenApp

まとめ

1.すべてサポート対象の
IEに対応
2.エンタープライズ
モードで対応
3.アプリケーションに応じた
IEを配信
4.XenAppによる
セキュアブラウジング
互換性チェック 必要 必要 不要 不要
改修 必要(場合に応じて) 必要(場合に応じて) 不要 不要
セキュリティ
導入期間 × ×
将来的なサポートライフサイクルへの対応 × ×

多くの企業や組織で影響を受ける2016年1月12日IEサポートポリシー変更まで1年を切りました。今からどのような方針で企業情報システムを運用するのかを策定することが重要になることは間違いありません。XenAppによるセキュアブラウジングはワンランク上のセキュリティを担保しながら、アプリケーションの互換性問題の解消を行える最適な現実解といえるでしょう。