セキュリティの現場から from バラクーダラボ(356) ブラウザでJavaを無効にする

Javaの弱点を突いた攻撃が明らかになるに従い、Javaのセキュリティリスクが注目を集めており、不安が増しています。Oracleは昨日、Javaのアップデートを20以上リリースし、他の製品についても200を超えるアップデートをリリースしました。以下は、「Computerworld」の記事からの引用です。

Javaで修正された25の脆弱性のうち、23は認証なしにリモートで悪用できる脆弱性でした。16はクライアント環境のみに影響を与え、5つはクライアントとサーバ両方の環境に影響を与えます。

今回のJavaアップデートで修正された脆弱性のうち、最もリスクが高いものはCVE-2015-2590です。このアップデートが適用されるまでゼロデイ状態でした。つまり、攻撃が仕掛けられているにもかかわらず修正方法が存在しなかったのです。

非常に恐ろしい状態だったのですね。この問題について、グラハム・クラリー（Graham Cluley）氏も読者に警戒を促しています。可能であればJavaを削除すること、可能でなければリスクを最小限に抑えることを呼びかけています。

社内Webサイトなど、サイトへのアクセスに、ブラウザでJavaを有効にしなくてはならない場合、Javaを有効にしたブラウザですべてのサイトにアクセスするのではなく、そのサイトへのアクセス専用のブラウザを別途用意することをお勧めします。

バラクーダネットワークスは、製品ポートフォリオをWebベースで一元管理する機能を提供していますが、ブラウザでJavaを有効にする必要はありません。ただし、一部のSSL VPN関連機能については、設定と導入の方法によってはJavaが必要になることがあります。次の製品が該当することがあるので、ご確認ください。

Barracuda SSL VPN
Barracuda NG Firewall (SSL VPN capabilities)
Barracuda Firewall (SSL VPN capabilities)
Barracuda SSL VPN
Barracuda NextG Firewall（SSL VPN機能）
Barracuda Firewall（SSL VPN機能）

上記の製品を使用している場合の対処法として、ブラウザでJavaを使用しない方法をいくつかご紹介します。

Webフォワード：Webベースのアプリケーションと社内Webサイトに、リモートユーザが適切な証明書を使用してアクセスできるようにします。この方法は、シンプルで効率がよく、セキュリティも保持でき、企業ファイアウォールの外に機密性の高い情報を配置する必要がありません。すべてのコミュニケーションはSSLで保護されるので、暗号化や認証ルーチンの追加も不要です。SSL VPN Webフォワードについて詳しくは、こちらをご覧ください。

IPSec VPN：IPSec VPNは、Webフォワードが使用できない場合に有効な方法です。たとえば、一部のモバイルデバイスがBarracuda SSL VPNリモートデスクトップのリソースにアクセスできない状況を考えてみましょう。このような場合でも、IPSec VPNを使用すれば、ローカルRDPアプリケーションを使ってリモートデスクトップに接続できます。企業向けソフトウェアの中には、リモートアクセスにこのタイプのVPNを必要とする特殊なソフトウェアが存在します。IPSec VPNは、SSL VPN機能を使用するあらゆる製品に適用できます。IPSec VPN経由でローカルアプリケーションを使用する方法について詳しくは、こちらをご覧ください。

SSL VPN Standalone Agent：このエージェントを使用すると、ユーザはJavaブラウザプラグインを使用せずに、WindowsタスクバーからSSL VPNリソースに直接ログインおよび起動できます。SSL VPN Standalone AgentのインストーラをBarracuda SSL VPNポータルからダウンロードし、クライアントマシンにインストールしてください。Barracuda SSL VPNでの設定方法については、こちらをご覧ください。

Barracuda Network Access Client：このVPNクライアントは、Barracuda NextG FirewallとBarracuda Firewall向けのクライアントであり、リモートPCやMacを企業ネットワークに安全な方法で接続します。Windows、Mac OS X、Linuxの各オペレーティングシステム向けのクライアントが提供されています。また、PC向けのVPN「常時」接続、冗長VPNゲートウェイのサポートなど、幅広い機能がサポートされます。Barracuda NACについて詳しくは、Tech Libraryをご覧ください。

Barracuda NextG FirewallとBarracuda FirewallのSSL VPN機能について詳しくは、オンデマンドのデモ動画をご覧ください。

Javaについて、スティーブン・パオ（Steve Pao）は今日次のようにコメントしています。

バラクーダネットワークスは、OracleによるJavaプラットフォームの継続的なサポートを高く評価しています。バラクーダネットワークスは、Barracuda Centralのバックエンドと一部の製品の両方において、戦略的開発環境の1つとしてJavaを位置付けています。また、Javaエコシステムでは、堅牢性に優れた豊富なオープンソースとサードパーティツールセットが提供されており、開発において役立つコミュニティも活動しています。

このように、バラクーダネットワークスはクライアントでのJavaの継続サポートを高く評価しますが、クライアントエンドポイントにJavaを導入しないという最近の動向を考えると、このクライアントサイドのサポートは当社のビジネスにそぐわなくなりつつあると考えています。以上を考慮し、デスクトップとモバイルプラットフォームのネイティブクライアントやHTML5など、さまざまなテクノロジを組み合わせてダイナミックなユーザエクスペリエンスを提供するという目的の達成に向けて、バラクーダネットワークスはJavaに代わる新たな方法の提供を継続しています。

バラクーダネットワークスのセキュリティ担当GMであるスティーブンは、来週もJavaについてコメントを発表する予定です。来週水曜日のブログ記事でご紹介する予定なのでお見逃しなく！

バラクーダネットワークスは、お客様に最高のソリューションを提供することに取り組んでいます。上記で紹介した接続方法から、皆さまの環境に最適な方法をお選びください。Barracuda SSL VPN、Barracuda NextG Firewall、Barracuda Firewallでの設定についてサポートが必要な方は、サポート担当者に電話でお問い合わせいただくか、サポートチケットを発行してください。ご質問をお待ちしております。

※本内容はBarracuda Product Blog 2015年7月16日It’s time to disable Java in your browserを翻訳したものです。