TOPSoftware > 企業のWindows環境で使うWebブラウザー、セキュリティ...

Software

企業のWindows環境で使うWebブラウザー、セキュリティー強化の新たな策は(後)

2021/11/11

Susan Bradley CSO

 業務で使うパソコンは、不具合への警戒感から、リリース直後の修正プログラムを適用するのは控えたい気持ちになりがちだ。しかし、Webブラウザーのパッチに関しては、その姿勢は時に危険だ。今年、米Googleがパッチをリリースした「Chrome」のゼロデイ脆弱性は、9月末時点で13件に上る。Chromeと基盤が同じ米Microsoftの「Edge」に関しても、こうした脆弱性のリスクを考えなくてはならない。今回の記事では、企業のWindowsパソコンで利用するWebブラウザーのセキュリティーに関して、最近の話題をいくつか取り上げる。

前回から続く)

TLSの設定

Credit: Microsoft
Credit: Microsoft

 ブラウザーのセキュリティー面で確認すべき設定としては、SSL/TLSもある。米国防総省の情報システムのセキュリティー強化に関する製品別ガイドライン「STIG(Security Technical Implementation Guide)」でも、これについての規定がある。例えば、WindowsでのChrome利用に関するガイド「Windows Security Technical Implementation Guide for Google Chrome」(2021年7月13日更新版)では、TLSのみを使用するようにポリシーで設定することを定めている。

 Chromeの画面上でこのポリシーの現在の設定をチェックするには、オムニボックス(アドレスバー)から「chrome://policy」を開き、「SSLVersionMin」という項目の値を確認する。また、Windowsのレジストリからチェックするには、レジストリエディターで「HKLM\Software\Policies\Google\Chrome\」を開き、「SSLVersionMin」という項目の値を確認する。これらの項目がない場合や、値が「tls1.2」以外の場合、上記のSTIGでは、セキュリティーが不適切な状態とみなす。

↑ページ先頭へ