SafeSquidによるインターネットアクセス管理：Leverage OSS（2/2 ページ）

[Cory Buford，SourceForge.JP Magazine]

アクセスとコンテンツの制御

SafeSquidの管理ページ

　ブラウザのプロキシ設定が済んだら、アドレスバーに「http://safesquid.cfg/」と入力してSafeSquidの管理ページにアクセスする。「Config」メニューには、設定に使えるオプション群がドロップダウンリストとして用意されている。ユーザーのインターネットアクセスを制御するには、最初に「Access Restriction」の設定を行う。デフォルトではグローバル設定が「Deny（拒否）」になっている。つまり、このプロキシによってすべてのユーザーのWebブラウジングを禁止する設定だ。ただし、このグローバルポリシーは、だれでもインターネットにアクセスできるというデフォルトポリシーの存在によって無効になっている。実際には、このデフォルトの「Allow（許可）」ポリシーを削除し、アクセスを許可したいユーザーを指定した別のポリシーで置き換えることになる。開発側がこうした設定をデフォルトにしているのは、デフォルトのグローバルポリシーを拒否にしておいて許可用に特定のポリシープロファイルを設けるやり方が好ましいことを示すためである。

　アクセスを許可するユーザーを指定するには、「Allow」の下に新しいポリシーを追加すればよい。ポリシーの名前と説明、適用するネットワークアドレスまたはその範囲を指定する。また、ユーザー名とパスワード、制限を課すユーザープロファイルのグループも指定する。例えば、技術部門のユーザーが工学系のサイトにアクセスする必要がある場合は、その部門のユーザーで構成されるプロファイルグループを作成し、そうしたサイトへのアクセスを許可するように設定する。SafeSquidでは、ユーザーとグループの認証用に専用のローカルデータベースを作成することも、既存のLDAPまたはActive Directoryを利用することもできる。定義したポリシーの下には、SafeSquidで適用可能な各種コンテンツフィルタ（前述のアダルトフィルタなど）が用意されている。独自のコンテンツフィルタの作成も可能だが、多少の手間と時間がかかる。こうしたフィルタでは、SafeSquidの管理ページへのアクセス権を持つユーザーの設定もできる。

　ユーザー数が少なければ個別にポリシーを作成することも可能だが、企業の環境であればPAMを有効にしてLDAPやActive Directoryのような認証機構にSafeSquidを統合した方がよい。だが、こうした統合を行うには、SafeSquidの設定ファイル「/etc/pam.d/safequid」を編集しなければならず、一筋縄ではいかない（SafeSquidフォーラムの関連スレッドを参照）。現時点でディレクトリサービスを利用しておらず、特定のコンテンツプロファイルを複数のユーザーに簡単に適用したい場合には、ユーザーをプロファイルグループに追加するのが次善の策となるだろう。そうしたアクセスポリシーの設定は、ファイアウォールポリシーと同じように設定できる。

成人向けコンテンツのフィルタリング設定

　ユーザー側の設定が済んだら、コンテンツの規制に移るとしよう。コンテンツを規制する最善の方法は、Webサイトをそのコンテンツに応じて事前定義済みカテゴリに分類したcProfileのサービスを利用することだ。これは、SafeSquidが特定のWebサイトのカテゴリを確認するためにアクセスするオンラインデータベースのようなものである。すでにWebサイトが分類されているため、管理者はカテゴリごとにアクセスの拒否または許可を選ぶだけでよい。Webサイトのフィルタリングを行うために、わざわざカスタムのプロファイルを作成せずに済む。また、cProfileのサブスクリプションを契約しない場合も、キーワード、ヘッダ、MIMEタイプ、URL、DNSによってフィルタリングを行うことができる。

　今回は、成人向けコンテンツを引っかけるキーワードとプロキシサイト用のフィルタプロファイルをSafeSquidのサイトからダウンロードし、SafeSquidのトップメニューにある「Load Settings」オプションでSafeSquidに取り込んだ。これで、ブロックすべきが幾つかの語句がキーワードフィルタに追加される。定義済みのフィルタプロファイルに挙がっていないサイトやキーワード、そのほかのコンテンツをブロックしたければ、自力でフィルタプロファイルを作成する必要がある。これは、SafeSquidの有償サービスcProfileを利用しておらず、無料で使える既存のフィルタプロファイルにしか頼れない場合に特に当てはまる。ただわたしの場合は、主な関心が成人向けコンテンツのブロックにあったので、ブロックすべき語句の一覧を増やすことなく、新たに追加された成人向けコンテンツのフィルタプロファイルをそのまま利用した。

　コンテンツ規制の設定を保存した後、このプロキシのテストとしてほかのワークステーションの1台でWebブラウジングを試みた。ブラウザを開き、SafeSquid経由でインターネットにアクセスしようとすると、認証用のユーザー名とパスワードの入力を求められる。このプロキシの認証プロセスはSafeSquidセキュリティの一部なので、ディレクトリサービスにも適用される。このユーザー名とパスワードの入力は、ブラウザセッションの開始時にだけ求められる。ユーザーアカウントの1つを入力すると、ブラウジングできるようになった。続いてGoogleに成人向けコンテンツに関するキーワードを入れて検索したところ、その結果はSafeSquidによってブロックされ、SafeSquidロゴとブロックされたURLが表示された。「playboy.com」といったURLもアドレスバーに入力してみたが、同様にブロックされた。これで、SafeSquidのフリープロファイルだけを利用しても、コンテンツの閲覧を十分に規制できそうなことが分かった。

　また、バナー広告をブロックするプロファイルの作成も可能だが、HTMLテンプレート使用時に404エラーが表示が出るのを避けたければ、画像、Flashファイル、HTMLテンプレートを個別に指定してSafeSquidサーバ内の広告バナーに置き換える必要がある。さらに、成人向け画像のフィルタをダウンロードしようとしたが、その際に必要な電子メールでの依頼を送っても音さたがなく、こちらの試用ライセンスは取得できなかった。

SafeSquidのリポート

　SafeSquidの管理ページでは、ウイルス対策機能、DNSブラックリスト、ファイルタイプによるフィルタリング、外部認証など、その他多くの設定も行える。cProfileサービスを申し込むか、設定ファイルの一部を大々的に修正すれば、プロファイルの設定はあまり重要でなくなる場合もある。

　SafeSquidのリポート機能は、ブロックされたURL、条件に合うページの要求件数、DNSキャッシュ、ユーザーおよびIPアドレス別のインターネット利用状況、利用帯域幅、一般的なシステム状態（CPU使用率、メモリ使用量など）といった情報が得られるという点で十分なものに思えるが、SafeSquidではWebalizerやCalamarisのようなCLIのリポーティングツールも利用できる。なお、SafeSquidのドキュメントページには、設定の参考資料一式や動画によるチュートリアルが用意されている。

まとめ

　SafeSquidには、ささいな欠点が2つある。1つは、使いやすいのだがはじめてのユーザーは慣れるまでに時間がかかりそうなGUI。もう1つは外部の認証設定で、管理者が設定ファイルを編集しなくても済むようにすべてをGUIインタフェースでカバーしてもらえるとありがたい。

　こうした小さな欠点はあるが、SafeSquidの管理のしやすさ、継続的な開発、フォーラムからの素晴らしいサポートといった点から、プロキシとしてはこのSafeSquidをわたしは最も高く評価している。追加機能やユーザーサポートにはコストが掛かるが、競合製品と同等またはそれ以上の機能を備えているのでそれだけの価値はある。SafeSquidの各機能は、何千ドルもする統合脅威管理（UTM：Unified Threat Management）マシンに通常見られるような機能に匹敵する。SafeSquidであれば、ローエンドマシン1台（Pentium 4と1Gバイトメモリを搭載した200ドルほどのマシン）、SafeSquidのいずれかのエディション（コストはユーザー数と機能による）、cProfileのサブスクリプションさえ用意すればよく、これらは通常のUTMサブスクリプション料以下の費用でそろえられるはずだ。その上、ユーザーが20名以下の小さなオフィスであれば、SafeSquidの機能のほとんどが無料で利用できる。

原文へのリンク