はちど

ボードゲームのレビューなど。

*

IEの脆弱性と業務システムの混乱について。

   

Hachiです。

ここ数日で話題になっている
IEの脆弱性と業務システムの混乱について
ざっくりしたまとめとか私見とか書きました。駄文注意。

IE脆弱性の発見

最近、Internet Explorerの新たな脆弱性が発見されたそうです。
脆弱性というのは、第三者がハッキングやクラッキングを行うことができる
仕様の欠陥やバグのことをいいます。
セキュリティに空いた穴という意味で、セキュリティホールとも呼ばれます。

通常は、脆弱性が発見されたソフトウェア等を
リリースした会社(IEであればMicrosoft)が
その脆弱性を「ソフトウェアの更新(パッチ)」という形で
配布することで事態は収束します。

しかし、悪意ある人たちはパッチ対応前から、
この脆弱性を利用したネットワーク攻撃を行っているそうです。
これらは、パッチ対応前に攻撃が行われることから、
ゼロデイ攻撃(zero-day attack)と呼ばれています。

セキュリティ攻撃と業務システムの近況

セキュリティ攻撃

今までの脆弱性を突いた攻撃は、コンピュータウィルスに代表されるような、
不特定多数を対象にした攻撃が中心でした。
しかし、最近のネットワーク攻撃は、不特定多数ではなく
対象を定めて攻撃を行う「標的型」と呼ばれるものが増えています。
標的を定めるということは、その攻撃には目的があるということですから、
個人よりも業務利用PCに対する攻撃の方に、特に注意が必要となってきます。

今回の件は、IEにのみ存在する脆弱性なので、
IEを利用しなければ(別のブラウザを利用すれば)
攻撃を防ぐことができると言われています。
なので、業務利用PCではIEを利用しないのが最善策と
公にアナウンスされています。

業務システム

方や、ここ最近Web化が進んできた業務システムは、
「IEにのみ対応」としている場合が多いように思います。

モダンブラウザが世に出ていない頃からのシステムは
そもそもモダンブラウザでの閲覧を想定しておらず、
確認コストやメンテナンスコストを払う代わりに、
IE以外を禁止にする対応を行っています。
もしくは、社内標準ブラウザをIEと定めたり。

そして、そのようなレガシーなシステムが存在するせいで、
新しいシステムもそれ(と、その利用者)に引きずられ、
モダンブラウザよりもIEでの閲覧を視野に開発されていきます。

こうして、業務システムにおけるIEの利用は
おそらく多くのところで必須となっていることでしょう。

ふたつをまとめると

悪意ある攻撃を避けるためには、IEを利用しなければよい。
しかし、業務システムを使うためには、IEを利用しなければならない。

その結果、IEの脆弱性を利用した悪意のある攻撃は、
IEしか使えない業務利用PCを的確に狙うことができる。

私見

これは、「モダンブラウザへの確認やメンテのコストを浮かせる」
という(明確か暗黙かはさておき)判断の結果なのだから、
仕方ないとしか言いようがないです。
いずれ、どこかのタイミングで支払われるべきコストを、
支払うべきときがきているだけ、というふうに私は見ています。

浮かせたコストぶん、ハッキング被害・社内教育・IE利用禁止による業務の遅れ・
フルスクラッチでのシステムメンテのコストが遅れて発生したにすぎません。
もしかすると2つのコストは等価ではないかもしれませんが、
遅れたぶんの利子がついただけとみなして、受け入れるしかないでしょう。

私も業務システム開発を経験したいちエンジニアとして、
IE縛りのある業務システムを利用している方のTwitterでの声を聞いて、
なんか書かずにはいられない気持ちになりました。
今後、同じ轍を踏まないようにという意味で、メモ書きとして残します。

今まさにこの件に対応しているSEの方は、本当にお疲れ様です。。

sns-widget

更新情報の確認にはこちら!

 - Web技術