2014/09/11 現在絶賛 Preview 中の機能の RemoteAppですが、IE のサポートポリシーが変更されたこともあり、今後注目されるかもしれませんので少しふれておきたいと思います。
さて、Microsoft Azure RemoteApp ですが、設定方法は難しくなく今は Office の組み合わせで選ぶぐらいしかないので、詳細は割愛しますが、、
まず、公開するアプリケーションを設定して
指定された URL にアクセスして、Azure 用 Microsoft RemoteApp コンポーネントを実行して、サインインすると次の画面になります。
ちゃんと公開設定した項目が表示されています。
後はダブルクリックで起動するだけ、ここでは注目の IE を起動します。
日本語の表示も日本語入力もできるので UI が英語以外は違和感は無いです。
ここで「なかなか使えるんじゃないか?」と感じられた方は是非試してみてください!
さて、では IE サポート ポリシーの変更を受けてどうするかですが、個人ユーザーはまず問題ないものの企業ユーザーではいくつか選択を迫られることになります。
※ セキュリティ パッチが当たらなくてもいいから古いバージョンを使い続けるという選択肢は、昨今の状況から無いものとします(セキュリティ リスクがかなり高い状態になります)
- 該当する OS の最新バージョンの IE にアップグレードする
- 企業内サイトの互換性の関係で、イントラネット接続では現行版、インターネットでは最新版を使う
この時 2 はさらに細分化されます
a-1. PC 自体をイントラネット専用端末、インターネット接続端末に分け、IP の振り分けやプロキシーの設定を変更し、イントラネット端末は一切インターネットに接続できないようにする
-> この場合はインターネットに接続する端末だけ最新版にすればよいので対応は容易ですが、コストがかかります
-> 万が一感染した場合の影響は、該当 PC のみとなります。日常業務のイントラネット専用端末に影響はありません。
a-2. a-1 の派生として、別の PC を用意するのではなくて、最新版 IE だけを RemoteApp として使えるようにする
-> サーバーが必要になります。RDS を構築しなければいけないので、人数が多いとサーバー台数も増えコストがかかります。ランニングコスト、メンテ&サポート費用も必要です
-> 万が一感染した場合の影響は、該当サーバーのみとなります。日常業務のイントラネット専用端末に影響はありません。
a-3. a-2 の派生として、RemoteApp を Microsoft Azure で使う !! この選択肢が新たに近い将来可能になります !!
-> サーバーの費用やメインテナンスは考える必要はありません。どのような料金体系になるかわかりませんので、現時点ではコストは未定です
-> 万が一感染した場合の影響は、該当サービスが動いている VM のみとなります。日常業務のイントラネット専用端末に影響はありません。
b-1. イントラネット専用端末に他社製ブラウザーをインストールする。現行 IE はイントラネットのみとし、他社製ブラウザーにプロキシーの設定をして、インターネットに接続できるようにします
-> セキュリティ リスクがどれくらい抑えられるかはお客様自身で評価していただく必要があります。 導入コストは最小限となります。
-> 万が一感染した場合の影響は、イントラネット専用端末が感染しますので、イントラネット内に拡大するリスクがあります。
ちなみに、最初の分岐で 1 もリスクという面では b-1 同様、万が一感染した場合の影響は同じです。
他にも EMETというのがあります。ただこの手の製品はイタチゴッコを続けている攻撃と防御の防御側製品ですので、常に最新版にしていく事が条件です。
入れておいた方が良いのは確かですが、万能ではありません。少なくとも 4.1 を使っている人は早いところ 5.0 にしたほうが良いでしょう。
参考情報
2013/03/22 https://www.ipa.go.jp/files/000026476.pdf
P16 にあるようにこの検証で使われた CVE-2013-0422 には効果なし (乗っ取り成功)
2014/2/25 http://www.itmedia.co.jp/enterprise/articles/1402/25/news088.html
2014/07/16 http://scan.netsecurity.ne.jp/article/2014/07/16/34529.html
このように今回 IE のサポート ポリシー変更が考える要因になっていると思いますが、日々巧妙化するインターネット攻撃に対するリスクを再検討する良い機会だと捉えてみるのはいかがでしょう。
MS のエンジニアとディスカッションしたい!という場合には、マイクロソフト プレミア サービスのプレミア フィールド エンジニアリングで随時対応しておりますので、お近くの TAM までご用命ください。