企業や組織では,Webサイトへのアクセスを制限できる「URLフィルタ」製品の導入が進んでいる。業務に無関係なサイトへのアクセスを制限することで,業務効率の低下を防止することが今までは製品の主目的だったが,最近では,情報漏えい対策として注目されている。製品も多数市場に出ている。そこで今回は,URLフィルタの概要を解説するとともに,導入の際のポイントを紹介したい。
URLフィルタとは
URLフィルタとは,有害あるいは業務に無関係なサイトへのアクセスを遮断するフィルタリング製品(ソフトウエア)である。管理者が,例えば「ギャンブル」に関係するサイトの閲覧は禁止したいと考えたら,URLフィルタで「ギャンブル」カテゴリの閲覧を禁止する設定にすればよい。そうすれば,エンド・ユーザーは,ギャンブルに関係するサイトのURLをブラウザに入力しても,そのサイトへはアクセスできなくなる。
「どのサイト(URL)がどのカテゴリに該当するのか」――は,データベースとしてURLフィルタ製品に組み込まれている。このデータベースが,URLフィルタ製品の“キモ”になる。データベースは,ほとんどの場合,URLフィルタ・ベンダーが提供する。新しいサイトは次から次へと生まれるので,データベースを絶えず更新する必要がある。このため,ほとんどの製品では,インターネット経由でベンダーのサイトから自動的に最新データベースをダウンロードして更新できる機能を持つ。
カテゴリの分け方やカテゴリの数はベンダーによって異なる。例えば,「暴力」「ドラッグ」「ギャンブル」といった,通常は有害とみなされるコンテンツのカテゴリや,「映画」「音楽」「ショッピング」といった,通常は害はないが業務時間内のアクセスは禁止したいカテゴリなどがある。管理者が独自のカテゴリを作って,アクセスさせたくないサイトのURLを手動で登録することもできる。
また,あるカテゴリのサイトへのアクセスを一律に禁止するだけではなく,曜日や時間帯などの条件付きで禁止あるいは許可する設定も可能だ。これを「Web のアクセスポリシー」などと呼ぶ。具体的には,「『ギャンブル』サイトへのアクセスは終日禁止だが,『ショッピング』サイトへは,昼休みの時間帯だけはアクセスを許可する」といった設定が可能となる。
URL フィルタの導入形態は最も典型的なのは,組織内にプロキシ・サーバーを設置し,そのプロキシ・サーバーに導入する形態である。プロキシ・サーバーを経由しなければ,インターネット上の Web サイトへアクセスできないようにしておく。そうすれば,組織内からのすべてのWebアクセスをチェックすることができる。
柔軟なアクセス制限に対応できる製品を
今までURLフィルタは,業務に無関係なサイトの閲覧を防ぐことが主目的だった。このため,特定カテゴリ・サイトへのアクセスを禁止する機能やデータベースの充実に重点が置かれてきた。Webが情報を参照するだけのツールだった時代には,これで十分だった。
ところが現在では,クライアントからサーバーへ情報を発信する(書き込む)ツールにもなっている。そのため,URLフィルタ製品を選択する際には,データベースのカテゴリ数や登録URL数を比較検討するだけでは不十分になっている。柔軟なアクセス制限に対応できる製品を選択すべきだ。具体的には,「株価を参照することは許可するが,株取引は禁止したい」「掲示板の閲覧は許すが,書き込みは禁止する」――といったアクセス制限を設定できる製品が望ましい。
例えば,掲示板サイトへのアクセスを一律禁止すれば,掲示板への書き込みによる情報漏えいを防止できる。しかしそれでは,「自社を誹謗中傷する書き込みがないかどうかチェックしたい」といったニーズは満たせない。単にアクセスを禁止するだけではなく,そのサイトでの行動(動作)によって,許可/不許可を設定できる機能が不可欠となっている。
具体的には,「アクセス・タイプによるフィルタリング」機能を備えている必要がある。Web アクセスは,「GET」や「POST」といったHTTPの「メソッド」を使って情報のやり取りをしている。GETは情報の取得が主目的のメソッドであり,POSTは書き込みの際に主に用いられるメソッドである。このメソッドを条件にフィルタリングできれば,「閲覧は許可するが,書き込みは禁止」といった設定が可能となる。現在市場に出ている主な製品はこの機能を備えているが,導入の際には,きちんと確認しておきたい。
そのほか望ましい機能としては,「書き込みキーワードによるフィルタリング」が挙げられる。これは,通常は書き込みを許可しておくが,あらかじめ設定しておいたキーワードが書き込まれる場合のみ,アクセスを禁止する。つまり,そのキーワードを含むデータがWebサーバーに送信されないようにブロックする。
また,「書き込んだ(Webサーバーへ送信した)データを記録する機能」も望ましい。通常,プロキシ・サーバーや URL フィルタのアクセス・ログには,以下のような情報が残る。
- アクセス日時
- アクセス元情報(IP アドレスまたは認証名)
- アクセス先 URL
- 分類カテゴリ名およびアクセス許可/禁止の結果
これらに加えて,送信したデータもログに記録すべきである。「ユーザーがアクセスしたサイトはどのようなサイトなのか」を調べるには,後日,そのURLへアクセスすれば,確認できる可能性が高い。ところが,「ユーザーがどのようなデータを送ったのか」を後日確認することは困難だ。データを送信した時点で記録しておく必要がある。
業務効率の低下や情報漏えいを防止するためのツールとして有効なURLフィルタ。前述のように,URLフィルタのキモは,ベンダーが提供するURLデータベースであることは確かである。しかし,それだけにとらわれてはいけない。機能面にも注目すべきである。導入の際には,「自分の企業(組織)が望むフィルタリングが機能的に可能かどうか」を十分検討してほしい。
井上 秀 (INOUE Hiizu)
NECソフト株式会社 プラットフォームシステム事業部
Linux システム G
IT Pro Securityが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
