Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
テレワークの普及や働き方の多様化により、場所に縛られない業務遂行が浸透しつつあります。
従業員の労働環境で特に大きく変わったポイントとしては、他人の目が届かなくなったことが挙げられるのではないでしょうか。
一人で作業を行なうことにはポジティブな面もありますが、緊張感が薄れてしまい業務に関係の無いWebサイトを閲覧してしまうといった問題もあります。
生産性の低下はもちろんですが、従業員が業務に無関係なサイトを閲覧することは情報漏洩に繋がる大きなリスクもはらんでいます。
この記事では、インターネット閲覧の危険性を紹介し、それを防ぐWebフィルタリングシステムの基礎知識を解説します。
Webフィルタリングで実現する安全なWeb利用環境
悪意のあるWebサイトや有害サイト、業務に不要なサイトへのアクセスを制限し、安全なWeb利用を実現する仕組みを「Webフィルタリング」と呼びます。Webフィルタリングを活用することで、どのような効果を見込めるのでしょうか。
内部不正対策
テレワークの普及に伴い、オフィスに縛られずに自宅で業務を行なうことも一般的になりました。
オフィスであればファイアウォールやプロキシサーバーなどのセキュリティ対策製品で守られていますが、そのようなセキュリティ対策を施している一般家庭は少ないでしょう。
セキュリティ対策が不十分な環境では、意図せずに不審なWebサイトへアクセスしてしまったために情報漏洩に繋がるインシデントが発生することもあります。ITリテラシーの未熟な従業員がアップロードした写真に機密情報が写り込んでしまう、個人で利用しているクラウドストレージに機密情報を保存してしまうなどのケースや、アクセスしたWebサイトにマルウェアが仕込まれていたなど、原因は様々です。
従業員への注意喚起だけではなく、問題のあるWebサイト利用はシステムとして禁止することが有効な対策と考えられます。
標的型攻撃対策
攻撃者が狙った組織に対し業務関連を装ったメッセージを送りつけ、フィッシングサイトに誘導するなどの標的型攻撃は、従業員の注意だけで全てを防ぐことは困難なのが現状です。
フィッシングサイトは巧妙に作り込まれており、見た目で気づくことはほぼ不可能と言ってもよいサイトも存在します。本物のサイトとURLは異なりますが、リンク先のURLを毎回確認することも現実的に難しいでしょう。
このような場合、システムにより自動的に危険なサイトへのアクセスを遮断することでリスクを軽減できます。
Web利用状況の正確な把握
日常的にWebアクセスを行なう場合は通信ログが膨大になり、管理が困難です。多くのWebフィルタリングシステムはアクセスするサイトを監視する特性上、従業員がどのようなサイトへいつアクセスしたのか等のログを収集できます。
従業員のWeb利用によりインシデントが発生した場合でも、Webフィルタリングシステムのログ追跡機能を利用すれば、事実関係を明らかにする大きな支えになります。
Webフィルタリングは不用意に危険なサイトへアクセスしてしまうリスクを抑制するだけではなく、アクセスログを収集することでインシデント発生時の対処にも大きな効果を発揮します。
Webフィルタリングの仕組み
セキュリティ環境の整備に大きな効果をもたらすWebフィルタリングシステムですが、どのような仕組みで動作するのでしょうか。
ここでは、Webフィルタリングシステムの仕組みとフィルタリング機能の方式を紹介します。
Webフィルタリングシステムの仕組み
多くのWebフィルタリングシステムは、プロキシサーバー型とクライアント制御型に分類することができます。
プロキシサーバー型
従業員の端末がWeb閲覧を行なうためのリクエストをプロキシサーバーに集約し、フィルタリング処理を行なうという方式です。Web閲覧に関する通信は全てプロキシサーバーを通過することになるため、全てのリクエストに対してフィルタリングの判定を行ない、併せてアクセスログの取得も行います。
また、端末とWebサイトを中継するプロキシサーバーを利用することで、従業員の端末はWebサイトと直接的な通信を行わなくなります。これにより、従業員の端末はプロキシサーバーによる一貫したセキュリティ環境に守られた状態でWeb閲覧を行なうことになります。
クライアント制御型
クライアント端末にエージェントをインストールし、フィルタリングを行なう方式です。プロキシサーバーを経由しない外出先の回線でもフィルタリングが可能な点がメリットです。
クライアント制御型は、エージェントが適切に動作し、意図通りのフィルタリング設定が適用されていることが必須です。
資産管理ツールを活用し、端末の管理を漏れなく行える環境での利用が望ましいでしょう。
Webフィルタリングを実現する方法
Webフィルタリングを実現する方式は、大きく分けて「URLベース」「カテゴリーベース」「コンテンツベース」に分かれます。
URLベース
接続先のURL情報を元にして、アクセス制限の判断を行なう方式です。許可(または拒否)するURLを明示的に指定可能で、正規表現による柔軟なフィルタリング設定を行えることがメリットです。
URLベースのフィルタリングは、さらに「ブラックリスト方式」「ホワイトリスト方式」に分けられます。
- ブラックリスト方式
アクセスを制限するURLの一覧を作成する方式です。好ましくないサイトのみを明示的に制限するため、実際には業務に必要なサイトへのアクセスも制限されるようなトラブルが起こりにくい方式と言えます。 - ホワイトリスト方式
ブラックリストとは反対に、アクセスを許可するURLの一覧を作成します。通常のWeb閲覧ではアクセスするURLが多岐にわたるため、クローズドな環境で例外的に許可するWebサイトが存在する場合に利用します。
カテゴリーベース
Web上に存在するサイトをカテゴライズし、カテゴリー毎にアクセスをフィルタリングする方式です。
Webフィルタリングを検討するとき、「SNSを禁止したい」や「掲示板への書き込みを禁止したい」など、特定のサイトではなくカテゴリー単位で制御したいというニーズは多くあります。カテゴリー単位でのフィルタリング設定が可能なため、運用の負担も比較的少ないと言えます。
仕組みを理解し、自組織でどのような使い方にするのかを明確にすることで、導入する際の判断基準にできます。
Webフィルタリング導入のポイント
Webフィルタリングシステムを利用するために、どのようなことを意識すればよいのでしょうか。
ここでは、導入前の検討事項と、導入後の注意点を解説します。
フィルタリングの方式
プロキシサーバー型、クライアント制御型それぞれに特性があり、自組織の運用にマッチした方式を選択することが大切です。
定義可能なルール
多くのフィルタリングシステムでは、URLベースとカテゴリーベースの両方でのフィルタリングに対応しています。その他、URLの正規表現やサイトレーティングによるフィルタリングなど、安全性と利便性を高める機能を搭載しているサービスも存在します。
動作の負荷
Web閲覧のフィルタリング処理は、単一処理の負荷であれば問題になりません。しかし、Web閲覧はほとんどの従業員が行ない、複数サイトを短時間で巡ることも珍しくないでしょう。
使い方によってはフィルタリング処理の負荷は大きくなるため、Web閲覧の妨げにならないかを検討する必要があります。
操作性に優れたUIを持つ管理画面
Webフィルタリングは、導入後も細かな設定変更が発生しやすいシステムです。業務内容によっては、通常禁止しているカテゴリーでも閲覧が必要なケースも頻繁に起こります。一時的に禁止サイトを許可するケースもあるでしょう。
従業員の要望に対して迅速に対応するためには、操作しやすいUIが必須です。
また、Web閲覧のログを調査する際にもUIは重要な要素です。ログの絞り込み機能や収集可能なログの種類など、事前に確認するとよいでしょう。
数多くのWebフィルタリングシステムが提供されていますが、組織によってはマッチしないシステムも存在します。どのような運用を行なうのかを事前に検討し、扱いやすいサービスを選定しましょう。
適切なWebフィルタリングでセキュリティの向上を
WebフィルタリングシステムでWeb閲覧の管理をすると、多くのメリットを享受できます。
ただし、Webフィルタリングシステムの運用には少なからず工数がかかり、ささいな設定ミスが業務に大きな影響を与えてしまう可能性もあります。セキュリティの強化と実現可能な運用のバランスを考慮し、無理なく運用できるシステムを検討することが大切です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
