Part3 監視のポイントをどこに置くか：「社内ブラックリスト」の作り方（5/7 ページ）

[N+I NETWORK Guide]

監視の対象：Webアクセス

アクセス制御とネットワーク監視を組み合わせる

池上 康（三菱スペース・ソフトウエア）

電子メール以上に監視と対策が必要

　Webでは、閲覧だけでなく、掲示板やWebメール、Webによるファイル転送などによって情報発信することも可能であり（検索サイトにおける検索キーワードの入力も情報発信）、電子メールと同じように情報漏えいの危険がある。それだけでなく、社員が自社の中傷を外部Webサイトの掲示板に記述することがあれば、企業の信用を失墜させることにもなりかねない。メールと同様、あるいはそれ以上に、監視する必要があるサービスとなっている。

　電子メールは、情報を発信する手段という認識が高く、多くの企業で情報漏えい対策を実施している。メールサーバでのログの取得はもちろん、フィルタリング機能を持った製品を導入しているところもある。

　それに比較するとWebアクセスは、閲覧の手段といったイメージが強く、情報漏えい対策を実施しているところは少ない。フィルタリングも、Webサーバからの応答時間の制限などがあるため、閲覧内容や発信内容によって行うことは難しい。電子メールと同様にサーバ（プロキシサーバ）でログを取得し解析することは可能だが、情報を閲覧しているだけなのか、情報を発信しているのかの判断はそれだけでは困難だ。

　また、Webアクセスは電子メールに比較してアクセス数が多く、アクセスしたURLをログから解析するだけでも相当な労力を必要とすると考えられる。

　ここで、Webアクセスに対して企業で実施している対策とその問題点に触れてみよう。

・HTTPSによるアクセス制限（ポートフィルタリング）

　近年、HTTPSによりアクセスすることが増えている。ユーザー情報を入力する画面は、ほとんどがHTTPSにより実現されている。機器の保守登録もWebページから実施することが多くなっている昨今、HTTPSを制限してしまうと業務に影響し、業務の効率が低下するなどの弊害があるだろう。

・POSTメソッド制限（HTTPプロトコルでのリクエスト制限）

　WebアクセスにおけるPOSTメソッドを制限することにより、HTTPSアクセス同様、ユーザー登録などの業務で必要なアクセスができなくなり、業務の効率に影響を与える。また、Webアクセスによる情報の発信は、POSTメソッドだけでなく、GETメソッドでも可能であり、完全とはいえない（図2）。

図2■HTTPによる応答内容

・コンテンツフィルタリング（URLによるアクセス制限）

　新しいWebページが日々立ち上がっているため（最近では「Webログサービス」を使用して、簡単に自分のホームページを立ち上げることができる）、ポリシーに従い、フィルタリングを実施するURLのリストを確実に更新していくのは困難である。また、フィルタリングを実施していないURLにおける情報の発信は可能であり、その内容までは制限できない。

・プロキシサーバでのログ取得とトラフィック量解析

　プロキシサーバでログを取得することにより、社員がどのURLにアクセスしているかを把握することができる。これにより、業務以外のWebページへのアクセスやトラフィック量を監視し、その変化を確認しておくことが有効である（図3）。

図3■HTTPプロキシをゲートウェイに設置

　ただし、Webアクセスはメールと比較してアクセス数が多く、ログからの情報抽出には大変な労力を要する。また、情報を発信しているかどうかの判断も難しい。さらに、Webページは日々更新されるため、同じURLであってもアクセスした時間が異なれば、同じ情報を閲覧できるかどうかの保証はない。特に掲示板などへの情報発信は、更新頻度が短く、すでに発信した情報がなくなっていることも考えられる。

運用によって差が出る投資効果

　上記のような対策では、それにかかる費用も重要な問題だ。投資対効果を意識したうえで対策を検討していく必要がある。上記のうち、いくつかの対策について投資費用を考えてみよう。

・コンテンツフィルタリング（URLによるアクセス制限）

　コンテンツフィルタリングを実施するサーバ（一般的には、プロキシサーバ）を導入する必要がある（プロキシサーバにはコンテンツフィルタリング機能が実装されていることが多い）。フィルタリングを行うURLのリストは日々更新していく必要があるため、そのための運用コストも考慮する必要がある。

・プロキシサーバでのログ取得とトラフィック量解析　

　プロキシサーバの導入は絶対条件である。サーバはネットワークの通信が集中する場所であり、高いパフォーマンスが要求される。ログを取得する場合、Webアクセスのログは非常に大きなものになるため、保管のためのディスク容量もかなりの大きさが要求される。そのため、より高いパフォーマンスを持ったサーバが必要である。企業の規模によっては、サーバを複数台設置することも避けられない。その場合は、複数のサーバからログを定期的に取得して解析し、情報をまとめ、統計的に把握しなければならない。そのための運用コストも考慮する必要がある。

　上記のように考えると、セキュリティ対策の投資効果は、運用いかんによるところが大きいと思われる。運用がスムーズに進むことを前提に対策を検討する必要があるのだ（できるだけ手間がかからないように考慮する必要があるだろう）。

Webアクセスの監視項目

　Webアクセスに対する対策は、制限をあまり強くすると業務の効率が落ちるため、社員の反発が予想される。また、制限をかける場合には、各部門ごとの特徴を考慮して実施する必要があり、企業内で一律に制限をかけることはできない。

　極端な例ではあるが、一般の企業であれば、業務時間中の出会い系サイトへのアクセスや、株取引は許可されるものではないが、青少年保護を目的に業務を遂行している部署であれば、出会い系サイトの内容の確認は必要であり、株取引を業務の中心に据えている部署では株取引サイトにアクセスしなければ仕事にならない。どのような対策を実施するにしても、業務の効率とのバランスが重要だ。

　また、Webアクセスにおける情報漏えいや私的な利用を100％防止することは困難である（Webアクセスそのものを制限してしまえば可能かもしれないが、業務を遂行するためには考えられない）。そのため、企業としては情報漏えいは起きるもの、Webアクセスの私的利用は行われるものとして対策を検討する必要があるだろう。

　Webアクセスについては、次のような情報を監視し、事故が発生したときのために情報を保管し、いつでもわかるようにしておくことが大切である。

• アクセス時間
• アクセスクライアント
• アクセスURL
• 閲覧内容
• 発信内容（情報の発信がなされた場合）

　Webアクセスの内容は、そのログによってある程度把握することができるが、閲覧内容や発信内容は確認できない。実際に閲覧した内容、発信した内容を把握するためには、ネットワーク上でやり取りされたデータ（通信パケット）をすべて記録しておく必要がある。

　近年、このような製品は「フォレンジックサーバ」と呼ばれ、注目され始めている。Webアクセスに対する監視として、こういった製品を導入することが1つの解決策になると思われる。フォレンジックサーバと呼ばれる製品は、単に通信パケットを記録するだけではなく、通信パケットをすべて記録しているため、ネットワークの通信量を把握することも可能である。また、現状のネットワーク環境を変更せずに導入することができるので、コスト（初期コスト、運用コスト）の面から考えても有効な解であるといえるだろう。

監視のPoint 1.Webアクセスは、電子メールと同様またはそれ以上に、情報漏えいの危険性がある。 2.コンテンツフィルタリングなどの制限策は、業務への影響を考慮する。 3.閲覧内容や発信内容は、ネットワークの監視によって監視する。