前回紹介した電子メールのフィルタリング・ソフトと比較すると,不適切なWebサイトへのアクセスなどを制限する「Webフィルタリング・ソフト」の導入は進んでいるようだ。実際,使われている現場を目にする機会は多い。そこで本稿では,Webフィルタリング・ソフトの活用方法について解説したい。

特定URLへのアクセスを遮断

 Webフィルタリング・ソフトの導入が比較的進んでいる背景としては,(1)企業/組織からアクセスするには不適切なWebサイトが次々と出現している,(2)フィルタリングに使用するURLデータベースがベンダーから提供されるのでメンテナンスが容易——の2点が挙げられる。

 (2)で挙げたように,Webフィルタリングというと,URLデータベースでアクセス制限を施す「URLフィルタリング」がまずは思いつくだろう。不適切なサイトへのアクセスを未然に防ぐためには有効な方法だ。現在ではWebフィルタリング・ソフトはさまざまな機能を備えているが,以前はWebフィルタリングというと,URLフィルタリングを指す場合が多かった。

 URLフィルタリングの導入目的は,かつては「業務の効率化」だった。企業/組織のパソコンから,業務と無関係のサイトへアクセスされることを防ぐことが目的だった。私的利用を許すと,その個人の業務効率が低下することはもちろんのこと,企業/組織のネットワーク資源なども浪費されることになる。これらを防いで,業務の効率化を図るためにURLフィルタリングが導入された。

 ところが,最近では以下のような目的で導入される場合も増えている。

  • 企業/組織の信用失墜の防止

 Webサイトには,アクセスしたパソコンのIPアドレスがログとして記録される。このため,DNSを逆引きしたり,WHOISなどで調べたりすれば,「だれがアクセスしたのか」は分からなくても,「どの企業/組織のパソコンからアクセスしたのか」は容易に分かる。掲示板サイトなどでは,アクセスしたパソコンのIPアドレスやドメイン名がだれにでも分かるように表示される場合もある。

 このため,企業/組織のパソコンから不適切なサイトへアクセスするようなことがあると,その事実が公表されて,企業/組織の信用が損なわれる場合がある。このような事態を未然に防ぐために,URLベースのWebフィルタリングを導入する。

  • ウイルス/スパイウエア対策

 Webフィルタリング・ソフト・ベンダーの中には,ウイルスやスパイウエアが置かれているサイトのURLデータベースを提供しているところもある。そのようなリストを利用すれば,Web経由でウイルスやスパイウエアをダウンロードしてしまうリスクを軽減できる。

 なお,URLフィルタリングに利用するURLデータベースは,ベンダーから提供される場合がほとんどである。企業/組織ではそのリストを基に,自社のセキュリティ・ポリシーに従って,フィルタリング条件を決めることになる。具体的には,以下のような項目を設定することになる。

  • 禁止/許可するカテゴリ(例えば「カテゴリが『アダルト』のサイトへのアクセスは禁止する」)
  • 禁止/許可する時間帯や曜日(例えば「就業時間以外は『ニュース』のサイトへのアクセスを許可する」)
  • ユーザー/部署ごとの禁止/許可(例えば「広報部はすべてのカテゴリにおいてアクセスを許可する」)
  • 自社独自のブラック・リストあるいはホワイト・リスト

 ポリシーさえ設定すれば,あとはネットワーク経由で最新のURLデータベースに更新されるので,管理の手間は比較的かからない。

書き込みを制限して情報漏えい防止

 以前は,Webは情報を参照するツールだった。ところが数年前から,掲示板やWebメール,チャットに代表されるように,情報発信のツールにもなっている。そこで懸念されるのが,Web経由の情報漏えいである。Webフィルタリングは,これを防止するために利用できる。

 具体的には,ブラウザからの書き込みを制限する。フィルタリング・ソフトによっては,あらかじめ登録したキーワードを含む書き込みだけを禁止する設定も可能だ。また,URLデータベースと併用し,特定カテゴリのサイトへの書き込みアクセスだけを遮断できる製品もある。

 こうすることで,参照系のアクセスは保ったまま,不正な書き込みだけを防止することができる。

万一に備えてアクセス履歴を保存

 Webフィルタリング・ソフトは,アクセス履歴を保存するアーカイブの役目も果たす。履歴を保存しておけば,何か起きた場合の調査が容易となる。

 具体的には,情報漏えい事件の調査や,特定ユーザーの過去のWebアクセス動向の調査などを効率よく行える。アクセス履歴を保存していることを公表しておけば,抑止力としても効果があるだろう。

 履歴として残しておく項目としては,以下のようなものが挙げられる。調査の際には,これらの情報をキーにして絞込みを行うことになる。

  • アクセス日時
  • アクセス元情報(IPアドレスや認証名)
  • アクセスしたURL
  • そのURLが属するカテゴリ
  • やり取りしたデータのサイズ
  • アクセス結果(「成功」や「URLフィルタリングにより遮断」など)
  • ブラウザからの書き込み内容

 アクセス履歴は,企業/組織のポリシーに基づいて一定期間保存しておく。また,アクセス履歴には個人的な情報が含まれているので,不正に参照されないように,参照した場合には履歴が残るようにしておく必要がある。

 個人情報保護法の全面施行を控えて,メールやWebのフィルタリング・システムに興味を持つ企業/組織は増えているようだ。今後,フィルタリング・システムの導入を検討する場合には,本稿ならびに前回の記事を参考にしていただければ幸いである。

井上 秀 (INOUE Hiizu)inoueアットマークmxg.nes.nec.co.jp
NECソフト株式会社 プラットフォームシステム事業部
Linux システム G

 IT Pro Securityが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。