※本ブログの内容は2014年4月30日時点のものです。
先日、Internet Explorerに関する重大なニュースが流れました。
このニュースを聞いて、どのように対策をとれば良いかと頭を抱えている管理者の方も多いのではないでしょうか。「Internet Explorer を使用しないように」と注意を促しても、素直に従ってくれるユーザーばかりではありません。このニュースを他人事のように感じているユーザーが大半ではないでしょうか。そのような状況でユーザーがそのままInternet Explorerを使い続けたとしても大丈夫なように、管理者の方ではしっかり対策を講じておき、組織を脅威から保護するための対策を取りましょう。
今回はMcAfee Web Gatewayを使用して、Internet Explorer を使用させない方法をご紹介します。
McAfee Web Gateway をご存知ない方のためにご紹介します。McAfee Web Gatewayは最新のWebの脅威に対抗するマルウェア対策ソリューションです。プロキシ、キャッシュ、フィルタの基本的な機能はもちろん、リクエストされたWebページを介するコンテンツとコードの性質と意図を分析し、マルウェアやブラウザへの攻撃など、隠された脅威からの保護を実現する大変優れたゲートウェイ製品です。
要はインターネットアクセスするときのセキュリティ対策全般を担ってくれる製品です。
では早速、このMcAfee Web Gatewayを使用した設定方法を確認します。
McAfee Web Gatewayを用いて、Internet Explorerを使用させないようにするには、許可するブラウザのリストを作成し、それ以外はブロックするように設定します。このときHTTPヘッダーの「User-Agent」を使用してブラウザを識別します。今回の例では、Google ChromeとFirefoxが許可されたブラウザとします。
まず許可するブラウザのリスト(User-Agentのリスト)を作成します。GUIにログインして下記のように設定を行います。
例)*Chrome*, *Firefox*
次に上記で設定した許可ブラウザ(User-Agent)以外はインターネットアクセスをブロックするようにMcAfee Web Gatewayでルールの設定をします。
すべての設定が完了後、以下を確認します。
- IEでWebサイトへのアクセスが正常にブロックされる
- 許可したブラウザ(ChromeとFirefox)でWebサイトへのアクセスが正常に行なえる
このような設定をおこないますと、ユーザーが特に意識せずにMicrosoft Internet Explorerを使用していても、ゲートウェイで制御することが可能となります。
<応用編>
お気づきの方もいらっしゃいますでしょうか。このUser-Agentの情報を使用すれば、サポートが切れてしまったWindows XPに対しても、アクセス制御を実施できるのです。Windows XPを使用している場合、User-AgentにWindows NT 5.1、Windows NT 5.2 (XP 64bitの場合) という文字列が含まれます。Vista以上のOSになりますとNT 6.0, 6.1, 6.2, 6.3というような表記が含まれます。この情報を利用してリストやルールを作成すれば、XP端末を識別することも可能になります。
少々変わった使い方ではありますが、XPからの移行がまだまだ終わらないというのが現状だと思います。恒久的な対策とはいかないまでも、移行が完了するまでの応急処置としては、便利な使い方としてお役立ていただけるのではないでしょうか。
※McAfee Web Gateway のAVではCVE-2014-1776の対策済みです。上記の設定をしなくてもMcAfee Web Gatewayを通したMicrosoft Internet Explorerによるインターネットアクセスは、安全に保護されています。
関連情報
関連記事
- [2014/04/30] 「Internet Explorer」脆弱性(CVE-2014-1776):McAfee製品での対応状況
