ブラウザを取り巻く環境は大きく変わってきている

ちょっとタイムリーではなくなってしったネタですが、Internet Explorerに脆弱性が発表されて、マイクロソフトから更新プログラムも出ました。一段落したって感じでしょうか。

さてさて、今回の騒動でいろいろ整理しておこうと思ったことを書いておきます。

IEのシェアはどの程度か

最新の調査によると、デスクトップで使われるブラウザのシェアはIEが57％と圧倒的で、その次がChrome、Firefoxと続きます。

IEはバージョン別に分けると、IE8が一番多く、IE11が次に続いています。

これだけIEを使っている人が多ければ、IEに脆弱性が！とニュースが出ると騒ぎになるはずです。ChromeやFirefoxに同じような脆弱性があったとしても、ここまで騒ぎにはならなかったでしょう。

複数のブラウザに対応した方が良いのでは

今回の問題点は、圧倒的なシェアを誇るIEの全てのバージョンで脆弱性が見つかったことです。それによって、「IEを使うことを控える」必要が一時的に生じました。知り合いから「IE使えなかったら、どうやってインターネットにアクセスするの？」という質問を頂戴しましたが、まあそういう感じになりますよね。。。。

エンタープライズシステムでも、Web系システムはブラウザをIEに限定したり、さらにはIEの特定バージョンに限定してたりします。そうなると、IE使えない＝業務停止、となりかねません。

リスクヘッジとしては、「IE以外のブラウザでも使えるようにしておく」ということだと思うのですが、エンタープライズシステムの対応コスト、各端末でインストールされることによる管理コストなどの手間を考えると、避けたいなーと思うのが管理側の発想ですかね。でも、そろそろ避けられないんじゃないかという気がしてきます。

最低でも、こういう事態に陥ったときのルールを決めておいた方がいいでしょう。IEが使えない、でも端末にIE以外のブラウザがない、となると別のブラウザをインストールするためにIEを使わざるを得ない、という笑えない状況に陥ります。

ブラウザのバージョンアップスピードは早くなっている

ChromeやFirefoxはブラウザの「自動更新」が標準になっており、ユーザーが意識せずとも勝手に最新版に更新されます。良し／悪しの面はありますが、セキュリティ面から考えれば常に最新にしておくのは正しい行為です。セキュリティ被害の原因の多くは、ゼロデイ攻撃ではなく脆弱性を放置された古いバージョンの継続利用です。

Microsoft自身も認めるとおり、自動アップデートはFirefoxやChromeなど現代の多くのブラウザで標準になっている。もっともFirefoxのアップデート自動化は比較的最近のこと。自動アップデートの先鞭をつけたのはGoogleで、Chromeブラウザの一つのセールスポイントになった。言うまでもないが、ブラウザを最新版にアップデートすることはセキュリティーを飛躍的に高める効果がある。Microsoftは親切にもこの点を実証する独自の調査へのリンクを提供している。それ（Microsoft Security Intelligence Report vol 11）によれば、2011年上半期に発生したセキュリティー侵害事件のうち、ゼロデイ攻撃（セキュリティ上の脆弱性が発見された際、問題の存在が公表され、ソフトウェアのベンダー等によって対策が取られる前に行われる攻撃）によるものは1%以下だったという。 Microsoftのレポートによれば、99%の攻撃はパッチを当てられていない既知の脆弱性を利用したものだったという。45%はソーシャル・エンジニアリング（身分を詐称して電話したりのぞき見したりするなど、コンピュータ自体を攻撃する以外の方法で秘密情報を入手すること）によるものだったというのも驚きだ。残念なことに被害件数の90%は1年以上前にセキュリティー・アップデートが行われている脆弱性によるものだった。1年以上も放っておくとは！
ついに！　Microsoft、来年からIEを自動アップデートすると発表 | TechCrunch Japan

また、OSやブラウザの開発スピードが早くなっており、これまでの対応方法は通じづらくなっている現状があります。IE6から7が発表されるまでの間は5年かかりましたが、IE10から11が発表されるまでは1年です。どんどん短くなっています。

Internet Explorer – Wikipedia

それでもエンタープライズシステムが5年とかいうサイクルで使い続けてこられたのは、ひとえにIEが新しいバージョンに古いバージョンとの互換性を持たせてきたからです。しかし、独自進化してきたIEも標準化へ舵を切っており、過去の互換性を捨てていく方向にあります。そのあたりの内容は、以下の資料がわかりやすいです。

Internet ExplorerはIE特化アプリから一時的に日本を救ってくれたけど次回はもう助けてくれないよという警告 from Hiroshi Kawada

で、何が起こるのかというと、エンタープライズシステムの5年とかいうサイクルでは、ブラウザのバージョンはもたなくなっているということです。途中でバージョンアップすることが当然のように必要になるんじゃないかってことですね。予め計画に組み込むなどの対応が求められるでしょう。

ウェブの標準化が進み、ブラウザの互換性は高まるはず

とはいえ、一方で新しい波も来ています。それがウェブの標準化です。HTML5ってやつですね。

これまでは、各ブラウザが仕様を拡張していろいろ利便性を高めてきましたが、そのデメリットとして互換性が進みませんでした。違うブラウザで開くとレイアウトが崩れる、とか。なので、HTML5という規格でウェブの標準化が進められています。その結果としてブラウザの互換性も高まると思います。

このプレゼン資料を読めば、HTML5が何かがさっと把握できますよ。

HTML5, きちんと。 from Masataka Yakura

今日はこのへんで。

参考：
IEブラウザの互換性問題の緩和方法 – とあるコンサルタントのつぶやき – Site Home – MSDN Blogs