Microsoft Edgeを選ぶべき、3つの理由

太田卓也氏(以下、太田):では次に移りまして、ブラウザの性能、パフォーマンスが出ているのはわかりました。そして、それ以外のところでも、そこまでの差はないねということがあったんですけど、では、Microsoft Edge、なぜ選ぶ理由があるのか。58パーセントの企業からなぜ興味を持っていただけるのか。

まず1つは、ナンバーワンの安全性。これがあります。

2点目としては、先ほど言いました、IE、ここに自動で切り替えが可能です。古い遺産も使えます。

そして3番目、Windowsの機能をフル活用ということで、後ほどいくつか紹介させていただきたいと思います。

ではまず、最初の「ナンバーワンの安全性」のお話をさせていただければと思います。

「リモートでコードが実行される脆弱性」ということを、近年、月例のパッチが出てくるときにみなさんよく目にする単語だと思うんですが、これはその数を示しています。

横の軸が2006年から2015年、縦の軸がパーセンテージを表しているのですが、実は近年、標的型攻撃が非常に増えていまして、2013年ごろから脆弱性の数が一気に増えています。そのなかで、1番下の濃いゾーンがブラウザに占める脆弱性の数になります。

2014年に限っては300個以上、脆弱性があるうちの220個がブラウザの脆弱性になっています。ですので、ブラウザの脆弱性というものは非常に標的型でターゲットとされやすくなっているという現状がわかります。

なぜEdgeは「脆弱性」が少ないのか?

そういった状況のなか、こちら一番左がMicrosoft Edge、真ん中がChrome、Firefoxと続くんですが、去年1年間で出た脆弱性の数は、実はMicrosoft Edgeが一番少ないんです。

ChromeやFirefoxに対して半分ぐらいしか脆弱性が見つかっていません。なぜ、そのようなことができるのでしょうか。

そもそもMicrosoft Edgeのセキュリティのデザインというものが、Webブラウジングの安全性を保つというところからスタートしています。その戦略として脆弱性の発見。そして悪用されることを困難にするというものがあります。

その手段といたしまして、攻撃者が見つける前に脆弱性を取り除く。次に攻撃者が使用する攻略手段を遮断する。MemGC、Control Flow Guardといったような機能があります。メモリの位置を特定されづらいような、仕組みが組み込まれています。

そして脆弱性が見つけられても被害を抑制するということで、Universal Windows platformはアップコンテナという特殊な権限によって動かすことにより被害が拡大しないようになっております。

そして最後は既知の悪意のあるサイトへの誘導を防ぐというところで、SmartScreenがあります。SmartScreenはクラウド上にデータがありまして、悪意のあるサイトや、そういったデータを基に、「このサイトは危険ですよ」と警告を出す機能です。

Windowsの機能をフル活用

次に、IEへの自動切り替えが可能という利点があります。ここは、URLごとに使いたいブラウザを指定できるんですが、第3章の方で使い方をデモさせていただきたいと思いますので、後ほど説明させていただきます。

そして最後、Windowsの機能をフル活用というところで紹介させていただきます。Windowsの機能と連携いたしまして、Cortana音声アシスタントがそのまま使えます。

そして2番目はWindows Hello、WebページでパスワードIDって忘れてしまうと思うんですけれど、そういったところも生体認証を使ってログインができてしまいます。ここは最後に時間がありましたら、デモをさせていただければと思います。

そして最後、拡張機能も安全に入手ということでHTML拡張がWindows Storeから安全に入手できます。

そしてあと2点だけ、Enterprise向けの安全な機能を紹介させてください。1つ目がWindows information protectionという機能があります。こちらは社内のページ、イントラネットのサイトと社外の例えばSNS、そういったところをブロックすることができるものになります。

データの交換はできないんですが、IE/Edgeを使うと、サイトごとにデータの交換を許可する・拒否するということができます。では、実際こちらをお見せしましょう。

サイトごとのデータ交換に警告を出す

こちら左側にあるのが、Microsoft Edgeで右側にあるのがIEで表示しています。information protectionが今かかってる状態で、左が実は弊社のイントラネットのサイトを表示しています。

それで、注目していただきたいのがこの上の部分で、アタッシュケースのマークがついてるんですね。

アタッシュケースがついているサイトでは、実はガードされてる状況です。なにかデータをコピーして、例えば隣のタブのぜんぜん関係ないフェイスブック、そういったところに貼り付けをしようとすると、ポップアップで警告が出るんですね。完全ブロックすることも可能ですし、ここでは企業の方で追跡される可能性があるという警告が出て、注意を促すかたちになっています。

一番安全なブラウザがEdge

では、最後に機能紹介をさせていただくんですが、Windows Defender Application Guardという機能が発表されました。こちらは、さらに安全に使えるHyper-V仮想化というテクノロジーを使ったEnterprise向けの機能になります。

管理者が承認してないサイトを閲覧した際に、仮想のMicrosoft Edgeが立ち上がって、そちらで閲覧をするという機能になります。そして閲覧が終わった際には、その仮想のコピーを削除してしまうことによって、マルウェアを踏んでしまったとしてもそのコピーを削除することによって安全にブラウジングができるという機能になります。これは次のアップデートで提供される予定になっています。

では、2章のまとめに移らせていただきたいと思います。単純なパフォーマンスでは現在Chromeに勝っています。1番セキュリティーが高いブラウザということで、脆弱性が一番少ないブラウザに現在なってます。そして最後はWindowsの機能をフル活用できるというところで機能を5つほど紹介させていただきました。

「こんとそ社」をモデルに知る、Webシステム運用のテクニック

では、第3章に移らせていただきます。「これからを見据えたWebシステム運用のテクニック」ということで、ここは似たようなセッションも多いと思いますので、ロールプレイにてお楽しみいただければと思います。

ここでは「こんとそ社」と名前をつけてますが、社内標準ブラウザはIE11そしてWindows 10の導入を検討中という設定。そして古いWebも残っているというのを想定しています。

一方、そこのIT管理部門が私、「おおたさん」ということで、やらせていただきます。そしてサポートの方を「えんどうさん」よろしくお願いします。では、始めますね。

Windows 10の導入も近づいてきました。ブラザーはMicrosoft Edgeが標準なんだ。やっとIE11に対応したばっかりなのに、IEのままではダメなのかな? 今度、サポートのえんどうさんに会うので、その時に聞いてみよう。

やあ、えんどうさん、これからWindows 10を導入するんだけど、IE11のまま使っていてはダメなんですか?

遠藤梨花氏(以下、遠藤):こんにちは、おおたさん、ダメではありません。でも、モダンブラウザを使うメリットはいろいろありますよ。1つは、生産性の向上です。モダンブラウザは応答速度が速いので、単純に作業の効率がよくなります。

また、モダンWebシステムの導入に伴って、社外からアプリケーションが利用できたり、マルチデバイスの利用が可能になったり、ワークスタイルの変革も可能になります。

さらにモダンWebシステムはクロスプラットフォーム対応の検証作業の効率がかなり削減できますし、柔軟なシステム移行や、拡張が実現できますよ。

IEは今、過去のアプリケーションのためのブラウザです。世の中のアプリケーションがモダンなアプリケーションに移行する時、いつかIEも寿命を迎えるでしょう。その時に備えて少しずつでもモダンなブラウザ、Microsoft Edgeを使ってみてはいかがですか。

移行の第一歩は相互利用がおすすめ

太田:わかりました、ありがとうございます。それならぜひモダンWeb、モダンなブラウザを取り入れていきたいですね。

まずはEdgeを使ってみたいと思うんですけど、やっぱり現在のシステムってIE11で使っているので、影響がないか心配なんですがなにか方法ってあるんですかね。

遠藤:はい。現実的には既存のシステムへの影響を考えて、EdgeとIEの相互運用がおすすめです。例えば第一歩として、社外のクラウド利用や情報検索はEdge、既存のオンプレミスのシステムはIEと2つに分けてしまう方法があります。

新しいMicrosoft Edgeのポリシーを利用すると、管理者がユーザーのブラウザ選択をコントロールすることができますよ。設定はとても簡単ですので、実際にやってみましょう。

今回はこちらにモダンブラウザでは廃止されたビデオ再生技術を利用しているサイトをご用意しました。こちらにMicrosoft Edgeからアクセスをするとビデオは再生されません。

多くのユーザーは自分がどのブラウザを使っているのか、サイトがどんな技術を利用しているのかを、あまり意識していないので、どうしてビデオが再生されないのかわからず混乱してしまいます。そこで、ポリシーで事前に制御しておきます。

ブラウザ選択を事前に制御する方法

設定は、ポリシーエディターツールで行います。ユーザーの構成、管理用テンプレート、Windows コンポネート、Microsoft EdgeのすべてのイントラネットサイトをInternet Explorer11に送るを利用します。

また、あわせてInternet Explorerでサイトを開く時のメッセージ表示を利用すると、上のポリシーでブラウザの切り替えが行われた時に、Edge側にIEで開かれた旨のメッセージを表示することができます。やってみましょう。

有効にします。

こちらも、有効にします。

すると、今はなにもアプリケーションを起動していません。Edgeを起動して、先ほどのアプリケーションにアクセスをします。

おわかりいただけたでしょうか。自動でInternet Explorerが起動してURLが開かれました。右側がEdge、左側がIEです。Edge上にメッセージも表示されています。

太田:けっこう早いペースで切り替わるんですね。

遠藤:そうですね。一瞬ですので、見逃さないでください。これで管理者によって、ブラウザ選択をコントロールすることができるようになりますよ。

これからを見据えたWebシステムとは?

太田:なるほど。ありがとうございます。これだったらすぐにでも取り入れることが可能ですね。実際、弊社の環境でもやっていきたいと思います。

では次にブラウザはEdgeを使うとして、モダンなWebというのはどういったことをやっていけばいいんでしょうか。なにか注意点ってありますか?

遠藤:そうですね。モダンWebサイトで重要なのは、コンテンツがWeb標準に従っているかどうかという点です。言い換えると古いバージョンのIE向けに作られたコンテンツは注意が必要です。

具体的には、スライドの左側にある5つのポイントについて対応が必要です。Microsoft Edgeを含むモダンなブラウザでは、IEの後方互換機能をサポートしないのでドキュメントモードの指定があっても無視されます。

また、古いバージョンのJavaScriptライブラリは正常に動かないことがあります。同様に、ActiveXなどのプラグインも動作しません。さらに、モダンなブラウザはブラウザの種別やバージョンで機能を検出することを推奨していないので、CSSベンダープレフィックスや条件つきコメントは動きません。

ご利用のサイトがこの条件に該当しているかどうかは、左側のツールを使って確認することができますよ。

太田:なるほど。わかりました。ブラウザに依存しないというのがポイントなんですね。

遠藤:そうですね。詳細はメールしますね。

太田:わかりました。

お、えんどうさんからメールが届いてるぞ。なるほど、いろんなツールがあるんだね。ちょっと自分でも整理をしてみます。

左側がいわゆるドキュメントモードですとか、現在動いている状況確認するツールになっています。いわゆるIE11、IEに標準でついているF12という開発ツールというものがありまして、そちらで使える機能。そして、そこで手軽にドキュメントモードが確認できることがわかりました。

あとは、Eneterprise Site Discoveryというものがありまして、そこでクライアントのデータを収集してレポートにしたり、あとはサイトリストというものを使ってコントロールすることができることがわかりました。こちらのほうはどちらかというと大規模向けのシステムを想定したようなツールで、ダウンロードして使うことができそうです。

そして最後はUpgrade Analyticsというものがありまして、そこはEnterprise Site Discoveryと同じ機能ですが、これはクラウド上で自動的にレポート生成から設定ができるということがわかりました。

実際モダンのWebに対応してるかどうかというところをチェックするにあたって、Site scanというツールがあるのを確認いたしました。これは、modern.ieというMicrosoftのサイトに、URLにアドレスを入れることで、そこで自動的にチェックをしてくれるというものになります。

ですので、外部に公開しているサイトであれば、企業のシステムであっても、そこのURLにアドレスを入れていただければ、スキャンをして、先ほどの5項目に対して該当しているか・できていないかということが簡単にチェックできるということがわかります。

企業内のイントラネットのアプリケーションサーバですと、外部に公開してないものもあると思いますので、いわゆるこのサイトスキャンのソースコードをGitHubから落として来てローカルでホストすることで、イントラネットのサイトでも、このツールを使えることがわかりました。

そして最後、同じような機能を実現するものとして、Microsoft EdgeのHML拡張、Page Analyzerというツールがあるのも確認できました。これはブラウザに、HTML拡張をインストールするだけで、見ているページをボタンを押して表示をすることによって、先ほどの5項目のチェックができるツールとなります。

管理者がサイトごとにブラウザを指定する方法

やあ、えんどうさん。お久しぶりです。こんなとこで会うとは。

遠藤:お久しぶりです。

太田:今回、Web標準導入の新システムを入れることになりました。そこで、ちょうど教えてほしかったんですが、今度の新しいサイトは、Web標準対応でばっちりモダンブラウザに対応してるんですけど、前回教えてもらったイントラネットはIEで使うという設定になってますので、このサイトだけはやはり、モダンブラウザのEdgeを使って表示をしたいということがあるんです。これをどうにかして設定することってできないんでしょうか?

遠藤:はい。それでは、管理者がサイトごとにブラウザを指定する方法をお教えしますね。サイトリストを使えばできます。

太田:なるほど。

遠藤:ブラウザの使い分けは、サイト一覧の作成とポリシーによる展開の2つのステップで行います。

サイトリストとは、このURLを、このブラウザで開きたいということを指定するものです。具体的には、XML形式でURL、開きたいブラウザ、開きたいモードを指定します。サイトリストは手動で記述をすることもできますが、ツールをダウンロードして利用することができます。

このツールがEnterprise Mode Site List Managerです。では、実際にサイトリストを作成して、ポリシーで展開してみましょう。

今回は、この社内アプリケーションをEdgeで開くように指定します。

先ほどご説明したステップに従って、まずはSite List Managerを使ってサイト一覧を作成します。ツールを起動するとこのような画面が開きます。

Addボタンを押して開いたダイアログのURLに、対象のURLを記入します。

その下のOpen Inという項目で開きたいブラウザを指定します。今回はEdgeで開きたいのでMSEdgeを指定します。Default Modeを選択しセーブします。

複数のURLを追加したい場合は、Addボタンの操作を繰り返します。URLの追加が終わったらFile、Save to XMLで、XMLファイルに出力します。これでサイト一覧の作成は終了です。

「エンタープライズモードIEのWebサイト一覧を使用する」

続いて、作成したXMLファイルをブラウザが開くように設定しましょう。通常はグループポリシーを使って共有フォルダ上にあるファイルを参照させますが、今回はローカルポリシーを使ってローカルのWebサーバー上にあるファイルを参照させます。

では、先ほど作成したファイルをサーバー上にコピーします。そしてこちらのユーザーの構成管理をテンプレート、Internet Explorerの下の「エンタープライズモードIEのWebサイト一覧を使用する」というポリシーを使います。

太田:なるほど。これで各クライアントにXMLファイルを配るようなかたちにするんですね。

遠藤:そうですね。このポリシーを有効にし、サイト一覧の場所に先ほど配置したファイルの場所を指定します。はい、OKです。

さらに先ほどポリシーでやったのと同じように、メッセージを表示するポリシーも一緒に有効にしておきましょう。これで指定が完了しました。

今、何もアプリケーションは開いていません。Internet Explorerを起動して、先ほどのサイトにアクセスをすると、おわかりいただけたでしょうか? Edgeが今度は起動してきました。URLが開かれています。左側がEdge、右側がInternet Explorerです。指定したURLが指定したブラウザで開くようになりました。

太田:なるほど。簡単に設定できるんですね。これについては、帰ってすぐ設定をしたいと思います。この方法で運用を進めたいと思います。ありがとうございます。

遠藤:またなにかあれば、ご相談くださいね。

太田:というわけで、少し恥ずかしい劇でありましたが、めでたし、めでたしということで設定が完了いたしました。

では、時間も押してきましたので、まとめに入らせていただきます。

これからを見据えて運用してきましょうというところで、Webモダンなブラウザを取り入れていきましょう。そして、Web標準に準拠したシステムがポイントなります。遷移が早い世界ですので、廃れるのも早いですし、ちゃんと10年20年使う、そういった技術を見定めていきましょう。

サイトリストを使えば、IE、Edgeの切り替えは簡単にできます。今やったようなかたちで各サイトを指定していただき、相互運用していきましょう。

これからを見据えたシステム運用を

そして最後、本セッションのまとめに入ります。Webの進化はとても早いものがあります。そのギャップを埋めるためにIT Heroのみなさんが活躍をして、リードをしていただくということで世の中をもっとよいものにできると思っています。

そしてEdgeは安全なブラウザとして脆弱性が一番少ないブラウザになってます。さらにはWindowsの機能を使って安全な閲覧ができます。そして最後、EdgeとIEは簡単に切り替えができますので、これからの運用、そういったところを見据えて取り入れてみてはいかがでしょうか。

ではこちらでセッションを終わりにさせていただきたいのですが、1つお土産がございます。昨日ちょっと夜なべしたのがあったんですけど、せっかくサポートの遠藤さんが来ているので、よくある問い合わせを集めました。スマートフォンで撮っていただいても大丈夫ですので、https://aka.ms/dep009こちらにファイルを上げておきましたので、ぜひEdgeを使う際には、こちらをご確認いただければと思います。

では最後、Windows Helloのデモをして、終わりにさせていただきたいと思います。

遠藤:はい。では少し時間がありますので簡単に。Windows Helloは生体認証できるという点だけが注目されがちですが、パスワードが必要のない世界を実現するFIDOという標準規格を使用していることにメリットがあります。

難しいことはさておき、こちらのポータルシステムに顔でログオンしてみましょう。ライティングの関係でこういった壇上でのハローは、成功する確率が低いのですが、もし成功して、私の遠藤梨花という名前が出たら温かい拍手をお願いします。

では、ログインボタンを押すとEdgeが認証APIを呼び出します。するとOSが生体認証のダイヤルログ表示します。はい。表示されました。

(会場拍手)

ありがとうございます。ログオン成功です。

太田:それでは、これにて本セッションを終了させてきます。50分に渡り、ありがとうございました。

制作協力:VoXT