Windows OS自体もさることながら、インターネットを介した侵入の入口となるWebブラウザのセキュリティ強化が重要なテーマの1つとなりつつある。Windowsが多段防御に対応して比較的堅固であっても、侵入口をふさいでおくことは大事だ。
よく脆弱(ぜいじゃく)性で問題となっているのが「プラグイン」まわりで、ActiveXはその顕著なものだ。Microsoftは8月6日に公開した「Internet Explorer begins blocking out-of-date ActiveX controls」というブログエントリの中で、今後古いバージョンのActiveXコントロールを利用しようとすると、警告を表示し、その動作を強制的にブロックする機能を有効化すると発表した。
8月12日(日本時間8月13日)に公開されたWindowsの8月定例アップデートでは、この新機能も含まれたが、現時点でこのブロックは有効化されていない。9月9日から、旧バージョンのJavaをターゲットに、ブロックを開始すると予告している。
Microsoftでは強制ブロック導入の理由として、多くのActiveXコントロールでは自動アップデート機能が用意されておらず、これがセキュリティ的に問題のある(すでに脆弱性が報告されたような)モジュールであっても、そのまま実行され続けてしまうことを挙げている。
具体的には、Webページの特定のコンテンツに反応してActiveXコントロールが呼び出された場合など、導入されているバージョンをチェックして警告をWebブラウザ上に表示する。この場合、「Update」ボタンを押して最新バージョンへとアップデートするか、「Run this time」を選択して警告無視でActiveXコントロールを実行するかの2択となる。
ただし「Run this time」はセキュリティ的に意味がないため、企業等ではシステム管理者が「表示をオフ」にして、ボタンをユーザーに選択させないことも可能だ。
この警告はセキュリティ設定におけるすべての「セキュリティゾーン」で有効となるが、例外的に「イントラネット」「信頼されたサイト」に登録されたもののみブロック機能を通過してActiveXコントロールが利用可能になる。これは企業内システムでActiveXを利用しなければならないケースを想定したもので、本格対応前の救済措置と思われる。
今回ブロックの対象となるのは「Java SE」のクライアントモジュールで、古いバージョンはすべてチェックの過程で実行ブロックされる。ただし、Webトレンド的にもMicrosoftの方針的にも今後はプラグインを極力排除する方向に向かっており、Java以外の各種プラグインも順次対象に含まれていく見込みだ。
なお、今回の強制ブロック機能が有効となるのはWindows 7(SP1)にIE8〜11を導入した環境と、Windows 8以降のデスクトップ版IEを利用したケースの2つのパターンとなる。Windows 8/8.1におけるModern UI版(Windowsストアアプリ版)IEではFlash Player以外のプラグインが利用できないため、対象外になっていると考えられる。
一方でWindows Vistaは今回の対象に含まれていないが、その理由は明らかにされていない。だが1つ言えるのは、Windows Vistaがすでに継続利用すべきプラットフォームではなく、古いプラグインとともにレガシーの一部として排除されるリストに含まれつつあるということだ。
今回の一連の発表で分かるのは、ActiveXとIE8がサポート対象外となりつつあり、期限を設けて少しずつ排除へと乗り出し、Windows XP時代から続く負の遺産と決別すべく布石を打っていることだ。
IE8にしがみつくユーザーに提供するのがIE11のエンタープライズモードであり、Windows 7またはWindows 8.1への乗り換えを促している。もはや自然に消滅していくレベルと言えるが、Windows Vistaもすでに排除が視野に入っており、旧ユーザーを何らかの形でWindows 7以降のプラットフォームへと押し上げていくことになるだろう。ここまでが、今後1〜2年先のMicrosoftのレガシー排除戦略だと考えられる。
そうなると、やはり難しいのが「ユーザーのWindows 7からの乗り換え」だ。MicrosoftとしてはWindows 8/8.1以降の世代にユーザーを引き上げたいものの、バージョン別シェアではWindows 7が最大勢力となっている。
IE8やWindows Vistaからの乗り換え先もWindows 7という逃げ道を残しており、必ずしもWindows 8/8.1以降を強制していない。おそらくは、Microsoftにとって次の関門となるのが、Windows 7の延長サポートが終了する2020年だろう。
この対策は明確で、本連載でも紹介した「ThresholdのデスクトップSKU」がその鍵となる。使い慣れたWindows 7からユーザーが離れたくなければ、その代わりとなるOSを用意すればいい。その意味で、Microsoftのレガシー排除に向けた歩みは「Windows 7からユーザーを引き上げられる次期Windowsでの施策」に注目が集まることになる。
Copyright © ITmedia, Inc. All Rights Reserved.