コラム一覧へ戻る

5分で解説!気になるIT用語

2019年9月3日

Webフィルタリング1

第5回 「Webフィルタリング」

 「Webフィルタリング」とは、インターネット上で特定のウェブサイトへのアクセスを制限することを指す。「URLフィルタリング」「コンテンツフィルタリング」とも言う。

 また、最近は単に「フィルタリング」と言う場合もこれを指すことが多いが、実際には迷惑メールの選別や添付ファイルを検査する「メールフィルタリング」、データ通信を監視・検査する「パケットフィルタリング」といった別のものもあるので注意したい。

 Webフィルタリングサービスで最も一般的に知られているのは、未成年者保護を目的としたものだろう。通信料金が低価格化したことや、携帯電話(スマートフォン)の普及で、現代社会では小学生でもインターネット上の情報に触れることができる。

 そのため、ポルノサイトや出会い系サイト、犯罪を誘引するようなサイトなどにアクセスできないよう、携帯電話事業者などがWebフィルタリングサービスを提供している。

 また、企業においても、主にセキュリティ目的でWebフィルタリングが利用されている。業務に無関係なサイトへのアクセスを制限したり、アクセスログの監視を行ったりすることで、不用意な情報漏えいやウイルス感染を防ぐことができる。

 加えて、仕事中に余計な行為をできなくさせる(要するに「サボらせない」)ことで、生産性の向上という効果も見込める。

 サイト閲覧によって情報漏えいしたり、ウイルスに感染してしまったりするケースは、次のようなものがある。

  • ①SNS、掲示板(への書き込み)
  •  FacebookやTwitter、掲示板などで不用意に、または故意に個人情報や機密情報を書き込んでしまうケース。
     いずれにしろ企業の信用度の低下は避けられず、機密情報漏えいの場合は莫大な損害賠償を請求されることも考えられる。Webフィルタリングを導入することで、こうしたサイトへのアクセスや書き込みを制限したり、投稿ログを管理したりすることができるようになる。
     また、飲食店チェーンなどにおける不適切動画・画像の投稿も最近問題になっている。「バイトテロ」などとも呼ばれるもので、情報漏えいやウイルス感染とは異なるものの、企業のイメージ失墜などの影響は非常に大きい。
     もちろん、第一に必要なのは社員(やアルバイト)に対する教育をしっかりと行うことだが、対策の一環として、少なくとも社内のネットワークからはSNSに投稿できないようにしたり、ログを管理したりして、万一の「炎上」の際に迅速な対応ができる体制を整えておくことは有効だろう。

  • ②標的型攻撃
  •  「サイバー攻撃」の解説で紹介した標的型攻撃。取引先などを装って、悪意のあるURLに誘導してウイルスに感染させようとする、というケースがこれにあたる。
     官公庁や大企業はこの攻撃の標的にされることが多く、大量の顧客情報流出などの恐れがある。Webフィルタリングをすることで、悪意のあるURLへのアクセスを防ぐことができる。
     標的型攻撃にはウイルスを添付したメールを開かせようというものもあるが、こちらはメールフィルタリングをはじめとした別の対策が必要になる。

  • ③フィッシング詐欺
  •  悪意のあるURLに誘導するところまでは標的型攻撃と共通しているが、こちらは本物そっくりの偽サイトなどを用意して、サイト上で直接ユーザーに入力させることで情報を盗む。
     個人が対象の場合はクレジットカード番号、企業が対象の場合はメールや社内管理システムなどのアカウント情報が主に狙われる。
     標的型攻撃同様に、こちらもWebフィルタリングをすることで、悪意のあるURLへのアクセスを防ぐことができる。

仮想化2

 Webフィルタリングは主に次の方式で行われる。それぞれにメリット・デメリットがあるので、導入の際には運用方針に沿ったものを選ぶ必要がある。

  • ①ホワイトリスト方式
  •  安全、有益、業務上必須といったサイトを選定・リスト化して登録し、それ以外のサイトにはアクセスできないようにする方式。
     前述のフィッシング詐欺用の偽サイトといった「有害サイト」を確実に遮断するというメリットがある。
     その反面、ごく限られたサイト以外は利用できないため、無害かつ有益なサイトなのにリストに入っていないために閲覧できないというような、利便性が狭まるデメリットが存在する。

  • ②ブラックリスト方式
  •  有害なサイトをリスト化して登録し、そのサイトにはアクセスできないようにする方式。
     ホワイトリスト方式の逆となる方式で、メリット・デメリットもやはり逆になる。ユーザーの利便性を確保しつつ、ある程度安全にインターネットを利用できる反面、新規・未知の有害なサイトには対応できない。
     また、管理者にとっても常にリストの更新をし続けないといけないという負担がある。

  • ③カテゴリフィルタリング方式
  •  サイトをカテゴリごとに分類して、指定したカテゴリに該当するサイトにはアクセスできないようにする方式。仕組みとしてはブラックリスト方式と同じだが、一般的にフィルタリングサービスの提供側がカテゴリ及びサイトをデータベース化していることが特徴だ。
     つまり、管理者は用意されたカテゴリを指定するだけで済むため負担が小さい。デメリットとしては、データベースの精度次第で利便性が左右される、といった点が挙げられる。

  • ④レイティング方式
  •  サイトに対してあらかじめ一定の基準で格付け(レイティング)を行い、その結果から利用者(管理者)の判断でアクセスを遮断する方式。
     サイトの管理者自らが格付けを行う「セルフレイティング(セルフラベリングとも言う)」と、第三者によって格付けを行う「第三者レイティング」の2種類がある。
     無害なサイトをブロックする可能性が小さい反面、セルフレイティングは悪意ある人物が無害なサイトを装う危険性があり、第三者レイティングは新規サイトへの迅速な対応が難しいという点がある。

  • ⑤動的コンテンツフィルタリング方式
  •  WEBページの内容を確認し、そのページ内に有害なワードなどがあればアクセスを遮断する方式。ここまでのホワイトリスト、ブラックリスト、カテゴリフィルタリング方式は全てURLが対象だったのに対し、これはWEBページひとつひとつが対象となる。
     主に未成年者向けのWebフィルタリングサービスに使われ、掲示板のような動的に内容が変化するサイトや、新規・未知のサイトにも対応が可能となっている。
     ただし、機械判断となるために無害のサイトを誤って有害と判断してしまったり、その逆が起こってしまったりというデメリットがある。また、画像の判断もできない。

それでは最後に、SNSの書き込みによって情報漏えいが起こった事例を紹介しよう。

■姫路市職員のTwitter投稿により企業の情報が漏えい

 2015年に起こった事件。姫路市資産税課の女性職員が、庁舎内の自身の机上を撮影した写真をTwitterに投稿したところ、同市内の企業からの申告書類が映り込んでおり、社名や資産取得価格などの一部が判別できる状態になっていた。
 後日外部からの指摘を受けて発覚したもので、市は職員に画像の削除を指示。企業への謝罪も行った。
 この職員は、こうした行為が原因で情報が漏えいする可能性を全く認識しておらず、それ以前にも辞令や自身の残業申請書類を投稿していた。
 重大な被害が発生した、というケースではないが、不用意な書き込みで情報漏えいが起こった典型例と言えるだろう。
 SNSからの情報漏えいはこうした無自覚から起こることが非常に多く、時には投稿者にとっては全くの善意で行った投稿が原因となる場合もあるため、事前の対策がやはり重要である。

関連サービス

この記事は2019年9月3日時点のものです。

コラム一覧へ戻る