2009年04月13日 07時30分 UPDATE
特集/連載

不正侵入の入り口をふさぐ匿名Webプロキシサーバを職場から一掃する方法

社内での匿名プロキシソフトを使ったWeb閲覧を許すことには危険が伴う。これを防ぐにはどのような措置を講じればいいのだろうか。

[John Strand,TechTarget]

 企業は社内のWebブラウザ利用をコントロールする目的で、セキュリティゲートウェイ技術戦略の一環としてWebフィルタを使うことがある。しかし、中にはどうしてもフィルタをかわして制約なしにWebを使い続けたいと思う従業員もおり、Webフィルタをだまして不適切なサイトへのアクセスを許可させる「匿名Webプロキシ」の利用で対抗してくる。本稿では、Web匿名化がシステムへの不正侵入を招きかねない実態に触れ、コンテンツフィルタリングのプロセス強化の手段を紹介する。

匿名Webプロキシの弊害

 まず、匿名プロキシソフトを使ったWeb閲覧を許すことの危険性をはっきりさせておきたい。社内ネットワークでユーザーがこれを使っていたら、少なくともユーザーの一部が規則を破っているのは間違いない。ポルノサイトやギャンブルサイト、あるいは個人ブログ、MySpace.com、YouTubeといった禁止サイトを閲覧しているかもしれない。こうしたサイトは広告や「特別プログラム」の形で、バックドアを仕込むトロイの木馬などマルウェアをホスティングしている場合があることは覚えておきたい。

 企業向けWebコンテンツフィルタ装置の多くは、単に攻撃を防いだり、悪質サイトや評判の悪いドメインからの感染を防いでいるだけではないことも知っておいた方がいい。こうした製品は、広告経由で感染するかもしれないマルウェアを防ぎ、サードパーティー広告を通じて知らないうちにマルウェアをホスティングしている正規サイト上のコンテンツからも企業を守ってくれる。インターネットとそれにアクセスするWebブラウザは、ユーザーにとって最大の弱点だ。Webコンテンツフィルタリング装置がなければ、Webからの悪質コード感染を防ぐ層はウイルス対策ソフトだけになるが、この防御は攻撃側がそれなりのツールを使えばかわすことができてしまう。

 では、ユーザーはどうやってWebフィルタリング装置をかわしているのか? これは極めて簡単だ。そのためのツールが多数、無償提供されている。例えば従業員は、会社のサーバに直接アクセスしてコンテンツフィルタを通る代わりに、「Privoxy」のような“仲介”匿名プロキシソフトを介して接続を確立し、オブジェクトをリクエストできる。

 しかも、新興のWebプロキシツールと技術に追い付くのは容易ではない。ウイルス対策ソフトメーカーの中には無許可プロキシに対し、ユーザーがプロキシの設定と共有に使っているフォーラム、IRCチャンネル、掲示板を継続的にチェックするブラックリスト方式を取っているところもある。メーカーは見つけたプロキシをブラックリストに追加する。このアプローチは面白いが、ユーザーが自宅でプロキシを設定し、前述したようにSSHやSSL経由で会社の環境から抜け出すトンネルを作っている場合は役に立たないという欠点がある。この場合のプロキシは、ブラックリストを作成しているベンダーの目に留まるほど多数には行き渡っていないかもしれない。

匿名プロキシソフト対策

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news128.jpg

トライバルメディアハウスがPinterestと協働プロジェクトを開始
トライバルメディアハウスは、ピンタレスト・ジャパンと協働でプロジェクトを進めること...

news109.jpg

「リードが足りない」の解消へ、toBeマーケティングとWEICが「MAPlus NIKITA」を提供
toBeマーケティングとWEICは、戦略的業務提携を行い、MA運用におけるリード数不足を解決...

news143.jpg

読売新聞社がコンテンツマーケティング事業に参入、「YOMIURI BRAND STUDIO」を設立
読売新聞社は企業のコンテンツマーケティングを支援するため「YOMIURI BRAND STUDIO」を...