Q 質問 企業でインターネットに接続しています。社員が会社のパソコンで，インターネットを介したチャットやゲーム，ファイル交換などを行っているようです。このような不正な利用を防ぐ方法を教えてください。

A 回答 ネットワークでアクセスを遮断したり，社員に心理的なプレッシャをかけたりします

---

図1●ポートを利用してアプリケーションを区別する 仮に，FTPサーバー兼メール・サーバー兼WWWサーバーがあったとする。クライアントがサーバーにアクセスするとき，どのサーバー・ミドルウエアを利用したいかを区別する必要がある。この区別するための番号をポートと呼ぶ

表1●不正利用されやすいインターネット・アプリケーションとポート番号

　取引先との連絡や，情報収集や調達・購買などの目的で，インターネット接続を社員に開放する企業が増えています。同時に，社員の不正利用が問題となるケースも増えてきました。特にソフトウエアの不正コピーや，わいせつな画像の交換などの違法行為は，実行した社員が罰せられるだけでなく，企業の信用をも失いかねません。このようなリスクに対して，情報システム管理者は，何らかの対策を講じる必要があります。

　不正利用の手段や方法は多岐にわたりますが，対策手段は大きく3つに分けられます。(1)専用のクライアント・ソフトを利用してアクセスするものはポートをふさぐ，(2)WWWや電子メールなどを利用してアクセスするものはコンテンツ・フィルタを利用する，(3)ログを取得し利用者に心理的なプレッシャをかける――です。

ポートで制限する

　ファイアウオールやルーターは，特定のパケットの通過を拒否する機能を備えています。専用のクライアント・ソフトを利用するものは，この設定でアクセスを遮断できます。

　具体的には，そのアプリケーションが利用するポートを指定したパケットを通過させないようにします。ポートとは，TCP/IPネットワークで，どのアプリケーションを利用するかを指定するための識別子です（図1[拡大表示]）。例えばFTP（File Transfer Protocol）サーバー，メール・サーバー，WWWサーバーの3つの機能を1つのサーバーで兼ね備える場合，クライアントは，SMTP（Simple Mail Transfer Protocol）のパケットはサーバーの25番ポートに向けて，HTTP（HyperText Transfer Protocol）のパケットは80番ポートへ向けて発信します。サーバーは，21番ポートでパケットを受信した場合，これをFTPのリクエストと理解するわけです。

　ポート番号は0から65535まであり，どのアプリケーションにどの番号を使わなければいけない，という決まりはありませんが，サーバーとクライアント間で一致している必要があります。インターネット上で，どのアプリケーションがどのポートを普通利用するかは，インターネットのドメイン名やポート番号の調整機関であるIANA（The Internet Assigned Numbers Authority，http://www.iana.org/）が管理しています。

　0～1023番は「Well known port numbers」（よく知られているポート番号）として，1024～49151番は「Registered port numbers」（予約済みポート番号）として，ポート番号とアプリケーションの対応が決まっています。

　チャットやゲーム，ピア・ツー・ピアのファイル交換などの専用アプリケーションが利用するポートも決まっています。例えば代表的なピア・ツー・ピアのファイル交換クライアント・ソフトである「WinMX」は，6257，6699，6700，7777，8888などのポートを利用します（表1[拡大表示]）。

　社内から社外へ，あて先がこのポート番号のパケットの転送を許可しないようにファイアウオールやルーターを設定すれば，不正な利用を阻止することができます。なお，アプリケーションによっては複数のポートを利用しますが，どのアプリケーションも基本的にはクライアント・サーバー型で動作するため，最初にクライアントがサーバーにアクセスするパケットさえ阻止すれば不正利用は防げます。

コンテンツ・フィルタで制限する

　業務でも利用されることの多いHTTPやSMTPは，ポート番号で制限をかけるわけにはいきません。通信の内容に応じて制限する必要があります。このような目的のために「コンテンツ・フィルタ」と呼ぶソフトがあります。やりとりするパケットのURLやコンテンツを解析し，ルールに基づいて有害かどうかを判定，有害な場合はアクセスさせないというものです

　例えば，英SurfControlの「SuperScout Web Filter VS」は，HTTPやFTPのプロキシ・サーバーとして動作し，あらかじめ登録された業務に無関係と思われる約600万のURLへの接続をブロックします。管理者が新たに接続させたくないURLを登録することも可能です。WWW向け製品としてほかに，米NetPartnerの「Websense」や米SurfWatch Softwareの「Surf-Watch」，米Secure Computingの「SmartFilter」などがあります。メール向けにも同様の製品として，インフォサイエンスの「Spamghetti」，トレンドマイクロの「InterScan eManager」，住友金属システムソリューションズの「GUARDIAN WALL」などがあります。いずれも効果的ですが，導入には数十万～数百万円のコストがかかるのが難点です。

心理的なプレッシャを与える

　なお，ある程度規模が小さい企業であれば，トラフィックの統計や，メールやプロキシ・サーバーのログから，業務外の利用をしていそうな個人を特定することが可能な場合も多いでしょう。このようなケースで効果的なのが，直接本人に，心理的なプレッシャを与える方法です。

　不正利用者はある程度罪の意識を持っているはずですし，なにより証拠が残るのを嫌います。そこで，この意識を突いて，例えば「何日の何時ごろ，怪しいトラフィックがずいぶんあった」などと不正利用者にそれとなく伝え，会社に監視されているかもしれないと思わせ，自発的に不正利用を止めてもらうようにします。