世界でもっとも使われているWebブラウザはGoogle Chromeだ。高性能で多機能、拡張機能でさまざまな機能を追加することができる。Google ChromeをベースにしてほかのWebブラウザの開発が行われており、Webブラウザとして一大勢力を誇っている。
このGoogle Chromeの高速さを支える一つの技術がJavaScriptエンジンV8のJITコンパイラだ。この技術はJavaScriptを実行時にコンパイルしてネイティブコードへ変換する。現在のWebコンテンツはJavaScriptに支えられており、JavaScriptの実行速度高速化はWeb体験の高速化に関与している。
しかし、Google ChromeのJITコンパイラは脆弱性の温床にもなっている。V8エンジンの脆弱性の半数ほどがJITコンパイラに関係しており、さらに既存のChromeエクスプロイトの半数以上がJITのバグを悪用している。V8エンジンのJITコンパイラはChromeの高速化に欠かせない反面、Chromeを脆弱にもしている。
Microsoft EdgeはChromeの技術をベースに開発されており、当然同じ弱さを抱えている。こうした問題を解決するため、Microsoftの脆弱性研究チームはこのJITコンパイラそのものを無効化するという機能の導入をはじめた。この機能は「スーパーデューパーセキュアモード (Super Duper Secure Mode)」と呼ばれている。脆弱性の発見が相次いでいる機能だけに、この機能を無効化すればその分だけ脆弱性は回避できる可能性がある。当然、実行速度を犠牲にすることにはなる。
Malwarebytesは2021年8月8日(米国時間)、「Edge’s Super Duper Secure Mode benchmarked: How much speed would you trade for security? - Malwarebytes Labs|Malwarebytes Labs」において、こうした疑問に答えるようにスーパーデューパーセキュアモードを有効にしたMicrosoft Edgeがどの程度「遅くなるのか」を伝えた。比較条件は次のとおり。
| 項目 | 内容 |
|---|---|
| ブラウザ | Microsoft Edge 92.0.902.67 |
| ブラウザ | Microsoft Edge Beta 93.0.961.11 (スーパーデューパーセキュアモード有効) |
| ベンチマーク | Sunspider 1.0.2 |
Malwarebytesは実施したベンチマーク結果を引用し、スーパーデューパーセキュアモードを有効にしたMicrosoft EdgeのJavaScriptエンジンはだいたい2倍ほど遅かったと伝えた。ただし、JavaScriptエンジンのベンチマーク結果が2倍の遅さになったとしても、Web体験はさまざまな要素に依存しており純粋に体験速度が2倍遅くなるということはなく、Microsoftはスーパーデューパーセキュアモードを有効にしてもユーザーが遅くなったと感じるのは稀なケースと説明している。
スーパーデューパーセキュアモードがデフォルトで有効になるのか、ユーザーが選択できるようになるのか、OSの設定などに連動して変わるものになるのか、今後の有様はMicrosoftが決めることになると見られるが、MicrosoftがMicrosoft Edgeのセキュリティ強化に乗り出していることは歓迎できることのように思える。
執筆時点でユーザーがこのセキュリティ機能を試すには、Microsoft Edgeのベータ版、 Dev版、Canary版のどれかを使っている必要がある。該当するチャンネルを使っている場合、「edge://flags/#edge-enable-super-duper-secure-mode」でフラグ設定を表示させ、機能を有効化することで試すことができる。
