ここ数年、主要なウェブ・ブラウザ・ベンダーは、最新バージョンのブラウザを普及させ、特にエンタープライズ分野で市場シェアを獲得するために、新しく改良されたセキュリティ機能の開発に懸命に取り組んできました。
しかし、Mozilla FirefoxやGoogle Chromeの最新バージョンでは、セキュリティの革新は重視されていないため、この傾向は急停止しているようです。また、マイクロソフトのインターネット・エクスプローラーの最新バージョンであるIE 11には、セキュリティ慣行が更新されただけで、特筆すべき新しいセキュリティ機能はありません。
では、今はどうなっているのでしょうか?ベンダーがセキュリティにほとんど注意を払っていないという事実は、ブラウザが絶対に安全であるということを意味するのでしょうか?この記事では、IE 11のセキュリティに注目し、現在のウェブブラウザのセキュリティの成熟度、ウェブブラウザのセキュリティの将来、そして組織がセキュリティを維持するために何をすべきかを探ります。
IE 11:ブラウザのセキュリティ対策が安定?
インターネット・エクスプローラーの最新バージョンであるIE 11は、新しいセキュリティ機能がないため、すでに批判されています。新機能がないのは、ブラウザのセキュリティ技術が安定してきたためだとする声が多く聞かれます。しかし、新しいセキュリティ機能がないにもかかわらず、IE 11ではいくつかのセキュリティ対策が改善されています。
私の考えでは、最善のセキュリティ対策は、最新バージョンのソフトウェアを使用し、常にアップデートしておくことです。IE 11には新しいセキュリティ機能はありませんが、組織はアップグレードして、IE 11で提供される追加のセキュリティ対策を利用すべきです。
ウェブブラウザのセキュリティの真実
しかし、100%安全なアプリケーションはありません。インターネットへのゲートウェイとして、また好ましいアプリケーション・インターフェースとして、ブラウザとプラグインのエコシステムは、企業への攻撃や企業データの窃盗を狙う攻撃者にとって、依然として最大の標的です。
今日のブラウザが以前のバージョンよりはるかに安全であることは間違いありません。アドレス空間レイアウトのランダム化やデータ実行保護などの緩和技術は、一般的な攻撃ベクターに対処し、ブロックすることに成功しています。
しかし、セキュリティが向上すれば、サイバー犯罪者は突破口を別の場所に求めざるを得なくなるだけです。現在、多くの攻撃が、被害者を騙して悪意のあるコードをインストールさせるソーシャル・エンジニアリングに基づく攻撃の開発に時間とリソースを費やしています。最新のブラウザのセキュリティ機能の多くが、ユーザーが既知の悪意のあるウェブサイトをクリックしたり、危険なソースからコンテンツをダウンロードしたりしないように設計されている理由の1つはここにあります。
最も弱いリンクの保護
従業員は間違いなく、組織の防御において最も脆弱なミティゲーションです。悲しいことに、ほとんどのユーザーは、最高のセキュリティ機能を備えたブラウザよりも、最高のユーザーエクスペリエンスを提供するブラウザを選択します。あまりにも多くのアラートや警告が表示されるため、ユーザーは自分を保護するためのセキュリティ・コントロールを無効にしてしまうのです。私の意見では、多くのブラウザ・ベンダーは新しいセキュリティ機能を導入していません。それは、既存のデフォルト設定がセキュリティを向上させ、許容できるユーザー体験を保証するかどうかを評価するために、ユーザーのフィードバックを評価しているからです。
特に、ユーザーがウェブを閲覧するために信頼できないコードを開かなければならない場合や、マーケティングサービスや広告サービスが、ユーザーのプライバシー保護に重点を置いた広く知られたブラウザ機能の多くを継続的に回避しようとする場合、ブラウザソフトウェアが提供できる保護には限界があることを覚えておいてください。
企業にとって最善の防御策
ブラウザ全体のセキュリティを向上させるために、すべてのブラウザでウェブ標準との互換性が向上することは素晴らしいことです。これにより、安全なサイトの展開が容易になるだけでなく、すべてのプラットフォームでウェブページを正しく表示するために費やす時間が短縮される可能性があります。GoogleのAdIDは、サードパーティのCookieを置き換えるために設計されたユーザートラッキング技術で、広告主がトラッキングをより管理できるようになる可能性があります。
しかし、このウェブブラウザのユートピアは、ユーザーによって実現されるとは限りません。つまり、エンドポイントにおけるマルウェア対策は、組織が講じるべき重要なセキュリティ対策であり続けるということです。
さらに、攻撃者はゼロデイ脆弱性の悪用を比較的簡単に見つけることができるため、ソースコードが盗まれたアプリケーションは引き続き人気の攻撃ベクトルとなるでしょう。ブラウザー・プラグインやモバイル・アプリケーションも、ネットワーク管理者がそのインストールや使用を制御することが難しくなるため、人気の高いものになるでしょう。
ブラウザを侵害する新たな攻撃手法が発見されれば、ベンダーはそのような攻撃を軽減するための新バージョンのリリースに奔走するでしょう。
最後に、ブラウザメーカーが自社製品に組み込んでいる防御策に加えて、企業は追加のセキュリティ制御策を導入すべきです。ブラウザのセキュリティはかなり進歩していますが、追加的な防御策は、多くの断固とした独創的な攻撃者に対する重要な要素です。
