会社から、従業員が2ちゃんねるに書き込むのを禁止したい。ただし、いちいちファイアウォールのポリシーを変更するといった手間はかけたくない――。そうしたネットワーク管理者の要望に応えるのが、ネットエージェントが1月27日から販売する「One Point Wall」だろう。
同製品は、「2ちゃんねる書き込み禁止」「WinMXの利用禁止」などの、特定用途に特化した単機能のファイアウォール。ネットワーク管理者は、既存のファイアウォールにこの製品を組み合わせることで、特定の行動を手軽に禁止できる。
“一点防御型”と呼ばれる同製品が、どのような製品で、企業ネットワークにどのような効果をもたらすのか。ネットエージェントの杉浦隆幸社長に、話を聞いた。
One Point Wallは、ファイアウォールの内側に設置することを想定した、ブリッジ型ファイアーウォール。PCからCD-ROMブートすると利用できるようになる製品で、起動ディスクのみで動作するため、インストールの必要がない(記事参照)。
製品ラインアップの一つ、「One Point Wall 2ちゃんねる書き込み」を導入すれば、前述のように“2ちゃんねるへの書き込み”に相当する通信パケットが、ファイアウォールを通過しないようになる。これにより、仮に従業員が書き込みの操作を行っても、パケットがドロップするため反応が返ってこない。
「書き込んだ側は、自分の行動が禁止されているとは気付かず、『掲示板側のサーバが重いのか』ぐらいに思って、やめてしまう」(杉浦氏)。このように、“すぐには制限されていることが分からない”ことも、製品の特徴だという。
管理者側では、通信のログをハードディスクなどに保存することが可能で、誰が書き込もうとしたのかも把握できる。
2ちゃんねるにアクセスして“掲示板を閲覧する”だけの行為は、制限しない仕様。「情報収集の観点から、閲覧できないと困る、ということはままある。しかし、書き込めないで困る、ということはないだろう」(同氏)というのが、その理由だ。
同氏はまた、単に2ちゃんねるへのアクセスを制限した場合は、閲覧もできなくなるとして、閲覧だけは認められるOne Point Wallの方が自由度が高いとした。
One Point Wallは、ほかにWinMX、SoftEther、ファイナルファンタジー XI(FF XI)などのパケットをブロックする製品も用意されている。
たとえば「One Point Wall FFXI」を導入した場合、PlayOnlineのサイトにアクセスして、自分の分身となるゲームキャラクターの選択画面までたどりつけるが、そこからログインすることができなくなる。具体的には、「FFXI-3113 プロトコルタイムアウトエラー」が発生することになる。この場合も、管理者側にログは残るから、「どの社員は、FF XIを○○というキャラクターでプレイしている」といった情報が筒抜けになってしまう。
また、「One Point Wall SoftEther」 では、SoftEtherのパケットを検知することが可能。同ソフトは、通信プロトコルにSSLを全面的に採用した「バージョン 0.50 ベータ3」も登場したが、これにも対応できるという。
「SoftEtherは、問い合わせも多い。現在、200Gバイトほどのパケットをテストして、誤検知がないことも確認している」(同氏)。
各製品で、それぞれどうやって通信を遮断するかは、「それを話すと、すぐに回避する技術を考えられてしまう」(同氏)ため、詳細は話せないとのことだった。
なお、WinMXは禁止できるが、Winnyには現状で対応できていない。これは、Winny特有の暗号化が解けていないためだ。
「初期ノードの暗号化は解けているが……。Winnyがこの先も公開され、継続していくようであれば、残る暗号化を解きたい」(同氏)。
杉浦氏は、One Point Wallなら特定のアプリケーションを、狙い撃ちのかたちで止めることができると話す。
「ポートをふさぐなどして、むやみやたらと止めるのではない」(同氏)ため、ほかのアプリケーションが動かなくなるような副作用もない。同氏は、製品の機能を、“CDを入れただけで、とりあえず止めたいものが止まる”と表現した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR