第2回 ウェブアクセスマネジメントのためにフィルタリングソフトに求められるもの：企業内情報をいかに守るか――リスク回避のためのソリューションを知る

企業活動を行う上で、ウェブにアクセスするという行為はすでに不可避なものといえる。だが、そこにセキュリティ上の落とし穴があることはあまり知られていない。それを未然に防止するフィルタリングソフトの役割とはどのようなものか。

[猪瀬森主（アルプスシステムインテグレーション），ITmedia]

　前回は、「企業内部におけるリスクマネジメント」と題して、ウェブアクセスマネジメントとドキュメントセキュリティの必要性を説明した。今回は、前者であるインターネットへのアクセスマネジメントについて、より深く説明していきたいと思う。

ウェブアクセスマネジメントとは？

　ウェブアクセスマネジメントとは、企業資産としてのインターネットの利用をポリシーにしたがって適切に管理し、業務効率とセキュリティの向上を図ることである。海外の企業ではフィルタリングソフトによる従業員のインターネット利用管理が一般的であるのに対し、日本ではその必要性があまり認識されていない。

　では、なぜウェブアクセスマネジメントが必要なのだろうか？

　「インターネットは自由に使用できることが利点なのであって、それを管理するという考えがおかしい」とか「社員の自覚に任せる」という企業は多く、現在までフィルタリングソフトの導入は学校施設以外では進んでいなかった。

　しかし日本でも、ブロードバンドの発展やそれに伴うウェブコンテンツの多様化により、フィルタリングソフトを利用したウェブアクセスマネジメントを具体的に検討すべき段階になっている。

　アクセスログを解析して、ぜひ自社のインターネット利用状況を確認していただきたい。以下のような現象が確認できないだろうか？　ここではログ解析ツールを利用して実際に解析した事例を交えながら説明しよう。

1. 業務に無関係なサイトへのアクセスの増加

　アクセスログを解析し、アクセスされたウェブページをカテゴリ（ジャンル）別に分別すると、業務に無関係と思われるサイトが全インターネットアクセスの20％〜40％を占めているといったケースが多い。企業の業種により「業務に無関係なサイト」の定義は異なるが、少なくともこのようなサイトのアクセスが原因で業務効率の低下が生じていることになる。さらに言えば、企業はその間、無駄な賃金を払っていることになる。

　例えば従業員500人の企業の場合、各従業員の1日1時間のインターネット私的利用が、平均時給1,500円、年間労働日数220日で換算すれば、年間で1億円以上の生産性が低下していることになる。

2. 無駄なトラフィックの増加

　私的利用の次に深刻な問題は、無駄なトラフィックの増加によるネットワークパフォーマンスの低下である。アクセスログを解析して見ると、業務に無関係なカテゴリに属するウェブページの転送量（トラフィック）が、一カ月で数十Gバイト以上に上る場合がある。特に近年のブロードバンド化によって、音声や動画などの重いファイルのダウンロードが多くなっていることが一因だろう。

　トラフィックが多いのでキャッシュサーバを増強する、という企業も多い。より快適なインターネット環境を構築し、効率的な利用を図るのが目的なのだろうが、まず最初になぜトラフィックが多いかを検討してみることが重要だ。動画ファイルのダウンロードの影響でネットワークパフォーマンスが低下しているならば、キャッシュサーバを増設するよりもフィルタリングソフトでアクセス管理をするほうが、コストの面からもモラルの面からも望ましい。

　ログを分析して以上の点を確認することで、ウェブアクセスマネジメントの必要性を実感していただけるはずだ。

　次に前回でも説明したとおり、ウェブアクセスマネジメントの必要な理由として、セキュリティ上の問題がある。従業員のウェブアクセスそのものが企業に大きなダメージを与える可能性がある。

• 掲示板やウェブメールの利用による情報漏洩
• 外部にPCの情報を送信するスパイウェアなど悪質なプログラムの侵入
• 児童ポルノ規制法や出会い系サイト規制法で処罰対象となる行為がなされているサイトへのアクセス

　特に情報漏えいの観点からは、ウェブメールや掲示板は非常に危険である。企業の情報漏えい事件は、顧客情報漏えいなど第三者に直接的な被害を与えない限り表沙汰にならないケースが多いので、あまり具体的なイメージがわかないかもしれない。

　だが、掲示板などによる情報漏えいは想像よりもはるかに多いと考えてよいだろう。

　社員が自社の未発表の製品情報を掲示板に書き込むという例は、案外身近にあったりするものだ。また、自社の社員制度のことや組織への不満がかなり生々しく書き込まれているケースなどは簡単に見つけることができるだろう。

　さらに、インターネット上のストレージサービスも大容量化しているため、社内の多くの重要データも簡単に持ち出せるはずだ。

　ここにあげたいくつかの例で、ウェブアクセスマネジメントの必要性を理解していただけただろうか？　少しでも「なるほど」と感じていただけたならば、まずはフィルタリングソフトを試用して、自社のアクセス解析をしていただきたい。

アクセスマネジメントのためのフィルタリングソフトの選び方

　アクセスマネジメントの必要性を感じていただいた方のために、アクセスマネジメントのためのフィルタリングソフトの選び方を客観的に説明したい。市場には多くのフィルタリングソフトがあるが、以下の点に注目していただきたい。

• URLデータベースの精度が高いこと

　フィルタリングソフトでは、クライアントがインターネットにアクセスする時に、そのフィルタリングソフトが持つURLデータベースを参照してアクセスの是非を判断するという方法（規制すべきページのデータベース：ブラックリスト方式）が一般的だ。URLのデータベースは「アダルト」だとか「薬物」などのカテゴリ別に収録されており、カテゴリを管理コンソールからチェックすることで規制をかける。

　このデータベースの精度が高い、ということは、まず「規制漏れ」がないことである。そのためには単純に収録URL数のより多いものがよいと思いがちだが、これは大きな誤りである。

　海外産のフィルタリングソフトは、URLの収集方法やカテゴライズが基本的に海外の文化風俗に基づいている。このような場合、日本独自の文化（出会い系サイトや自殺幇助）などのURLが漏れてしまうことが多い。したがって収録URL数よりも、いかに日本の現代文化に配慮した収集体制になっているかを必ずチェックしなければならない。

　次に、業務として「必要なページ」は確実に閲覧できるということが重要だ。ウェブページ内に含まれる文字列を拾うことで規制をかける「文字列規制」を採用している製品もあるが、これでは極端な規制がかかってしまい、必要なページにもアクセスできなくなってしまうことがあるため、はっきり言って効果的ではない。

　データベース精度はフィルタリングソフトを選定するにあたって最も重要なポイントであるため、自社のポリシーに適合できるかを含めて実際に試用して確かめていただきたところである。

• パフォーマンスに優れていること

　アクセスマネジメントのためにフィルタリングソフトを導入しても、それがネットワークのボトルネックになってしまっては導入の意義が半減してしまう。パフォーマンスは必ずチェックしなければならないポイントだ。

• 柔軟なアクセスポリシーの設定ができること

　部署や個人ごとにアクセスポリシーを変更できることは重要だ。業種や職種によって「不要なサイト」の定義は異なる。また、勤務時間外は規制を外すなど、時間ごとの設定もできることが望ましい。

• ログのレポーティングが容易に解析できること

　自社にとってどのようなアクセスポリシーがふさわしいのかを確認するためにも、またフィルタリングソフトのROIを計測するためにも、アクセスログのレポーティング機能には注目する必要がある。自社がどのようなログを解析したいかということと、製品がどのようなログをレポーティングできるのかという点は確認しておいていただきたい。個別あるいはグループ別のアクセスページはもちろんのこと、転送量なども表示できたほうがよいだろう。また、日別、月別、時間別など、どのような集計ができるか、どのような絞込みやソートが行えるのかといった点も重要だ。さらに、ログを収集するのに専用サーバを必要とするかどうか、かつ細かいログ収集ができるかどうかも選定のポイントだろう。

　以上、インターネットアクセスマネジメントの必要性を認識していただいたら幸いである。著者の所属するアルプスシステムインテグレーションでは、こうした要求に応えるべく「InterSafe」というフィルタリングソフトを提供している。同製品はすでにフィルタリングソフト市場でトップシェア *1の実績を持っている。弊社ウェブサイトにて30日間の試用版を公開しているので、製品選定の際に参考にしていただければ幸いである。

*1 富士キメラ　「2004ネットワークセキュリティビジネス調査総覧」による

組織形態や時間帯など、柔軟なアクセスポリシーの設定が可能−−あらゆる組織形態や時間設定に対応

インターネットアクセス管理ソリューション「InterSafe」

InterSafeは一定時間のアクセス許可、また時間帯やグループごとによるアクセス許可など、企業の組織形態や業務時間帯などに合わせて、アクセスポリシーを柔軟に設定可能。これにより、部署ごとの業務に支障をきたすことなく確実に規制をかけることができる。