2ちゃんねる、SoftEtherもブロック――「One Point Wall」で何ができるのか？

[杉浦正武，ITmedia]

　会社から、従業員が2ちゃんねるに書き込むのを禁止したい。ただし、いちいちファイアウォールのポリシーを変更するといった手間はかけたくない――。そうしたネットワーク管理者の要望に応えるのが、ネットエージェントが1月27日から販売する「One Point Wall」だろう。

　同製品は、「2ちゃんねる書き込み禁止」「WinMXの利用禁止」などの、特定用途に特化した単機能のファイアウォール。ネットワーク管理者は、既存のファイアウォールにこの製品を組み合わせることで、特定の行動を手軽に禁止できる。

　“一点防御型”と呼ばれる同製品が、どのような製品で、企業ネットワークにどのような効果をもたらすのか。ネットエージェントの杉浦隆幸社長に、話を聞いた。

閲覧はできるが、書き込めない

　One Point Wallは、ファイアウォールの内側に設置することを想定した、ブリッジ型ファイアーウォール。PCからCD-ROMブートすると利用できるようになる製品で、起動ディスクのみで動作するため、インストールの必要がない（記事参照）。

　製品ラインアップの一つ、「One Point Wall 2ちゃんねる書き込み」を導入すれば、前述のように“2ちゃんねるへの書き込み”に相当する通信パケットが、ファイアウォールを通過しないようになる。これにより、仮に従業員が書き込みの操作を行っても、パケットがドロップするため反応が返ってこない。

　「書き込んだ側は、自分の行動が禁止されているとは気付かず、『掲示板側のサーバが重いのか』ぐらいに思って、やめてしまう」（杉浦氏）。このように、“すぐには制限されていることが分からない”ことも、製品の特徴だという。

　管理者側では、通信のログをハードディスクなどに保存することが可能で、誰が書き込もうとしたのかも把握できる。

　2ちゃんねるにアクセスして“掲示板を閲覧する”だけの行為は、制限しない仕様。「情報収集の観点から、閲覧できないと困る、ということはままある。しかし、書き込めないで困る、ということはないだろう」（同氏）というのが、その理由だ。

　同氏はまた、単に2ちゃんねるへのアクセスを制限した場合は、閲覧もできなくなるとして、閲覧だけは認められるOne Point Wallの方が自由度が高いとした。

SoftEtherの新バージョンにも対応

　One Point Wallは、ほかにWinMX、SoftEther、ファイナルファンタジー XI（FF XI）などのパケットをブロックする製品も用意されている。

　たとえば「One Point Wall FFXI」を導入した場合、PlayOnlineのサイトにアクセスして、自分の分身となるゲームキャラクターの選択画面までたどりつけるが、そこからログインすることができなくなる。具体的には、「FFXI-3113 プロトコルタイムアウトエラー」が発生することになる。この場合も、管理者側にログは残るから、「どの社員は、FF XIを○○というキャラクターでプレイしている」といった情報が筒抜けになってしまう。

　また、「One Point Wall SoftEther」 では、SoftEtherのパケットを検知することが可能。同ソフトは、通信プロトコルにSSLを全面的に採用した「バージョン 0.50 ベータ3」も登場したが、これにも対応できるという。

　「SoftEtherは、問い合わせも多い。現在、200Gバイトほどのパケットをテストして、誤検知がないことも確認している」（同氏）。

　各製品で、それぞれどうやって通信を遮断するかは、「それを話すと、すぐに回避する技術を考えられてしまう」（同氏）ため、詳細は話せないとのことだった。

　なお、WinMXは禁止できるが、Winnyには現状で対応できていない。これは、Winny特有の暗号化が解けていないためだ。

　「初期ノードの暗号化は解けているが……。Winnyがこの先も公開され、継続していくようであれば、残る暗号化を解きたい」（同氏）。

手軽に「狙い撃ち」が可能

　杉浦氏は、One Point Wallなら特定のアプリケーションを、狙い撃ちのかたちで止めることができると話す。

　「ポートをふさぐなどして、むやみやたらと止めるのではない」（同氏）ため、ほかのアプリケーションが動かなくなるような副作用もない。同氏は、製品の機能を、“CDを入れただけで、とりあえず止めたいものが止まる”と表現した。