Webフィルタリングとは、「有害な情報が掲載されている不適切なWebサイト」や「サイバー攻撃者によって作成・改ざんされたWebサイト」などにアクセスしないよう制限をかけて、安全なWeb利用を実現する仕組みです。

アクセスを許可するWebサイトを登録しておき、登録されていないWebサイトへは一切アクセスできないようにする「ホワイトリスト方式」やアクセスを制限するWebサイトを登録しておき、登録されているサイト以外であればアクセスできるようにする「ブラックリスト方式」などさまざまな方式があります。

このWebフィルタリングを活用することで、

・クラウドストレージへのアップロードやSNSへの投稿などを制限
・不正なサイトの挙動を検知し、閲覧を防止
・従業員がどのようなサイトへいつアクセスしたのか等のログを収集

なども可能になります。

そのため、内部不正や標的型攻撃への対策になるだけでなく、Webサイトの利用状況を正確に把握できるといったメリットが期待できます。

この記事では、安全なWeb利用を実現するWebフィルタリングシステムの基礎知識を解説します。

Webフィルタリングとは？

Webフィルタリングとは、「有害な情報が掲載されている不適切なWebサイト」や「サイバー攻撃者によって作成・改ざんされたサイト」などにアクセスしないよう、制限をかける仕組みです。

近年のサイバー攻撃は、不特定多数ではなく、特定の企業・組織を狙ったものが増えています。

攻撃者は企業・組織が保有する重要な情報を窃取するために、従業員のPCをマルウェア（悪意のあるソフトウェアやコードの総称）に感染させようとしますが、その際の手口としてたびたび使用されるのがWebサイトです。

Webサイトを使った攻撃手法の具体例は以下になります。

例1
社内の連絡メールや取引先関係者を装ってメールを送り、メール内のURLをクリックさせて不正なサイトに誘導。誘導先のサイトでマルウェアに感染させる。

例2
従業員がよくアクセスするWebサイトを改ざんし、アクセスした際にマルウェアに感染させる。もしくは改ざんされたサイトにアクセスした際に不正なコードが実行され、攻撃者が用意したサイトに勝手にリダイレクトしてマルウェアに感染する。

どちらの手法も非常に巧妙で、従業員が不正なサイトにアクセスしないように意識するだけではなかなか防ぐことが困難です。

そのため、自動的に危険なサイトへのアクセスをブロックできるWebフィルタリングの導入は必要不可欠といえます。

Webフィルタリングで実現する安全なWeb利用環境

Webフィルタリングを活用することで、以下のような効果が期待できます。

・内部不正対策になる
・標的型攻撃対策になる
・Web利用状況を正確に把握できる

一つずつ解説していきます。

内部不正対策

Webフィルタリングでは、クラウドストレージへのアップロードやSNSへの投稿などを制限することが可能です。

そのため、

ITリテラシーの未熟な従業員がSNSに投稿した写真に機密情報が写り込んでしまう
個人で利用しているクラウドストレージに機密情報を保存してしまう

などの情報漏洩につながる危険な行為を未然に防ぐことができます。

標的型攻撃対策

標的型攻撃とは、特定の個人・組織を狙った攻撃のことです。

主な手口として、攻撃者が狙った組織に対し「業務関連を装ったメッセージを送りつけ、フィッシングサイトに誘導して情報を盗む」「ターゲットがよく閲覧するWebサイトを改ざんしてマルウェアに感染させる」などがあります。

フィッシングサイトは巧妙に作り込まれており、見た目で気づくことはほぼ不可能と言ってもよいサイトも存在します。

また、正規のサイトが改ざんされた場合、見た目はあまり変わらないので、こちらも一見しただけで異変に気付くことは難しいでしょう。

そこでWebフィルタリングシステムを活用すれば、フィッシングサイトや改ざんされたサイトなど、不正なサイトの挙動を検知し、閲覧を防止することができます。

Web利用状況の正確な把握

多くのWebフィルタリングシステムは、アクセスするサイトを監視する特性上、従業員がどのようなサイトへいつアクセスしたのか等のログを収集できます。

つまり、業務用のPCでネットサーフィンをするなど、私的利用していた場合は従業員に注意喚起を行うことができます。

さらに、従業員のWeb利用によりインシデントが発生した場合でも、Webフィルタリングシステムのログ追跡機能を利用すれば、事実関係を明らかにする大きな支えになります。

Webフィルタリングは、私的利用や不用意に危険なサイトへアクセスしてしまうリスクを抑制するだけではなく、アクセスログを収集することでインシデント発生時の対処にも大きな効果を発揮します。

Webフィルタリングの仕組みと種類

セキュリティ環境の整備に大きな効果をもたらすWebフィルタリングシステムですが、どのような仕組みで動作するのでしょうか。
ここでは、Webフィルタリングシステムの仕組みと種類を紹介します。

Webフィルタリングシステムの仕組み

多くのWebフィルタリングシステムは、プロキシサーバー型とクライアント制御型に分類することができます。

プロキシサーバー型

従業員の端末がWeb閲覧を行なうためのリクエストをプロキシサーバーに集約し、フィルタリング処理を行なうという方式です。Web閲覧に関する通信は全てプロキシサーバーを通過することになるため、全てのリクエストに対してフィルタリングの判定を行ない、併せてアクセスログの取得も行います。

また、端末とWebサイトを中継するプロキシサーバーを利用することで、従業員の端末はWebサイトと直接的な通信を行わなくなります。これにより、従業員の端末はプロキシサーバーによる一貫したセキュリティ環境に守られた状態でWeb閲覧を行なうことになります。

クライアント制御型

クライアント端末にエージェントをインストールし、フィルタリングを行なう方式です。プロキシサーバーを経由しない外出先の回線でもフィルタリングが可能な点がメリットです。
クライアント制御型は、エージェントが適切に動作し、意図通りのフィルタリング設定が適用されていることが必須です。
資産管理ツールを活用し、端末の管理を漏れなく行える環境での利用が望ましいでしょう。

Webフィルタリングを実現する方法

Webフィルタリングは、大きく分けると以下の4種類があります。

・ホワイトリスト方式
・ブラックリスト方式
・カテゴリフィルタリング方式
・レイティング方式

・ホワイトリスト方式

アクセスを許可するWebサイトを登録しておき、登録されていないWebサイトへは一切アクセスできないようにする方式です。

ホワイトリスト方式はセキュリティを強化できる反面、たとえ問題のないサイトであっても登録されていなければアクセスできないので、閲覧できるサイトがかなり限定されるというデメリットもあります。

・ブラックリスト方式

アクセスを制限するWebサイトを登録しておき、登録されているサイト以外であればアクセスできるようにする方式です。

アクセスを避けてほしいサイトのみを明示的に制限するため、ある程度の自由度を保ちながらセキュリティ対策を行うことができます。

ただし、セキュリティ上問題のあるサイトが増えた場合、その都度登録しなおさないといけないという課題もあります。

・カテゴリフィルタリング方式

「ゲーム」「アダルト」「SNS」などWeb上に存在するサイトをカテゴライズし、カテゴリごとにアクセスをフィルタリングする方式です。

「SNSを禁止したい」「掲示板への書き込みを禁止したい」など、特定のサイトではなくカテゴリ単位で制御したいという場合に適しています。

このカテゴリは、フィルタリングシステムを提供しているソフトウェアメーカーが作成します。

そのため、管理者がWebサイトを一つひとつ登録する手間はなくなりますが、カテゴリに登録するデータベースの精度が低いと、本来ブロックしたかったサイトがブロックできていない、という事態が発生することもあります。

・レイティング方式

Webサイトごとにレイティング（一定の基準で数値化）し、レイティング値によってアクセスをフィルタリングする方式です。

レイティングには、Webサイトの管理者がレイティングを行う「セルフレイティング」と第三者機関がレイティングを行う「第三者レイティング」があります。

特に第三者レイティングは客観的なレイティング結果が確認できるので、より効果的なフィルタリングができます。

しかしながら、新しく作成されたWebサイトのレイティングには時間がかかるというデメリットもあります。

仕組みを理解し、自組織でどのような使い方にするのかを明確にすることで、導入する際の判断基準にできます。

Webフィルタリング導入のポイント

Webフィルタリングシステムを利用するために、どのようなことを意識すればよいのでしょうか。
ここでは、導入前の検討事項と、導入後の注意点を解説します。

フィルタリングの方式

先ほど解説したように、Webフィルタリングにはプロキシサーバー型とクライアント制御型があり、さらにフィルタリングの方式もさまざまなものが存在します。

それぞれメリット・デメリットがあるので、自組織の運用にマッチしたものを選択することが大切です。

動作の負荷

Web閲覧のフィルタリング処理は、単一処理の負荷であれば問題になりません。しかし、Web閲覧はほとんどの従業員が行ない、複数サイトを短時間で巡ることも珍しくないでしょう。
使い方によってはフィルタリング処理の負荷は大きくなるため、Web閲覧の妨げにならないかを検討する必要があります。

操作性に優れたUIを持つ管理画面

Webフィルタリングは、導入後も細かな設定変更が発生しやすいシステムです。業務内容によっては、通常禁止しているカテゴリーでも閲覧が必要なケースも頻繁に起こります。一時的に禁止サイトを許可するケースもあるでしょう。

従業員の要望に対して迅速に対応するためには、操作しやすいUIが必須です。
また、Web閲覧のログを調査する際にもUIは重要な要素です。ログの絞り込み機能や収集可能なログの種類など、事前に確認するとよいでしょう。

数多くのWebフィルタリングシステムが提供されていますが、組織によってはマッチしないシステムも存在します。どのような運用を行なうのかを事前に検討し、扱いやすいサービスを選定しましょう。

LANSCOPE エンドポイントマネージャー クラウド版のWebフィルタリング機能

エムオーテックスが提供しているIT資産管理・MDMツールの「LANSCOPE エンドポイントマネージャー クラウド版（以下エンドポイントマネージャー）」には、Webフィルタリング機能をオプション追加することができます。

エンドポイントマネージャーのWebフィルタリング機能は、カテゴリを指定するだけで関連サイトの閲覧を一括で制御することができます。ユーザー設定カテゴリを含めた全26種・148カテゴリで制御が可能です。さらにカテゴリごとにサブカテゴリが設定されていて、より詳細な制御が可能です。
また制御内容は「許可」「書き込み規制」「規制」「一時解除」の4つの規制が可能です。
※OSによって動作が異なります。事前に体験版環境で動作確認をお願いします

適切なWebフィルタリングでセキュリティの向上を

WebフィルタリングシステムでWeb閲覧の管理をすると、多くのメリットを享受できます。
ただし、Webフィルタリングシステムの運用には少なからず工数がかかり、ささいな設定ミスが業務に大きな影響を与えてしまう可能性もあります。セキュリティの強化と実現可能な運用のバランスを考慮し、無理なく運用できるシステムを検討することが大切です。