社内での匿名プロキシソフトを使ったWeb閲覧を許すことには危険が伴う。これを防ぐにはどのような措置を講じればいいのだろうか。
企業は社内のWebブラウザ利用をコントロールする目的で、セキュリティゲートウェイ技術戦略の一環としてWebフィルタを使うことがある。しかし、中にはどうしてもフィルタをかわして制約なしにWebを使い続けたいと思う従業員もおり、Webフィルタをだまして不適切なサイトへのアクセスを許可させる「匿名Webプロキシ」の利用で対抗してくる。本稿では、Web匿名化がシステムへの不正侵入を招きかねない実態に触れ、コンテンツフィルタリングのプロセス強化の手段を紹介する。
まず、匿名プロキシソフトを使ったWeb閲覧を許すことの危険性をはっきりさせておきたい。社内ネットワークでユーザーがこれを使っていたら、少なくともユーザーの一部が規則を破っているのは間違いない。ポルノサイトやギャンブルサイト、あるいは個人ブログ、MySpace.com、YouTubeといった禁止サイトを閲覧しているかもしれない。こうしたサイトは広告や「特別プログラム」の形で、バックドアを仕込むトロイの木馬などマルウェアをホスティングしている場合があることは覚えておきたい。
企業向けWebコンテンツフィルタ装置の多くは、単に攻撃を防いだり、悪質サイトや評判の悪いドメインからの感染を防いでいるだけではないことも知っておいた方がいい。こうした製品は、広告経由で感染するかもしれないマルウェアを防ぎ、サードパーティー広告を通じて知らないうちにマルウェアをホスティングしている正規サイト上のコンテンツからも企業を守ってくれる。インターネットとそれにアクセスするWebブラウザは、ユーザーにとって最大の弱点だ。Webコンテンツフィルタリング装置がなければ、Webからの悪質コード感染を防ぐ層はウイルス対策ソフトだけになるが、この防御は攻撃側がそれなりのツールを使えばかわすことができてしまう。
では、ユーザーはどうやってWebフィルタリング装置をかわしているのか? これは極めて簡単だ。そのためのツールが多数、無償提供されている。例えば従業員は、会社のサーバに直接アクセスしてコンテンツフィルタを通る代わりに、「Privoxy」のような“仲介”匿名プロキシソフトを介して接続を確立し、オブジェクトをリクエストできる。
しかも、新興のWebプロキシツールと技術に追い付くのは容易ではない。ウイルス対策ソフトメーカーの中には無許可プロキシに対し、ユーザーがプロキシの設定と共有に使っているフォーラム、IRCチャンネル、掲示板を継続的にチェックするブラックリスト方式を取っているところもある。メーカーは見つけたプロキシをブラックリストに追加する。このアプローチは面白いが、ユーザーが自宅でプロキシを設定し、前述したようにSSHやSSL経由で会社の環境から抜け出すトンネルを作っている場合は役に立たないという欠点がある。この場合のプロキシは、ブラックリストを作成しているベンダーの目に留まるほど多数には行き渡っていないかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.
テクノロジーの進歩によって攻撃対象領域が拡大している昨今、従来のSOCは対応能力の限界を迎えている。最新の脅威に対抗するためには、セキュリティ運用の抜根的な改革が必要になるが、どのように進めていけばよいだろうか。
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
攻撃者視点でシステムの防御策を考える「ホワイトハッカー」の仕事の需要は旺盛で、仕事内容も刺激的だ。ホワイトハッカーになるための認定資格とは。
PCをはじめとするエンドポイントデバイスがコモディティ化する中、それらをどう脅威から守るかは、あらゆる企業にとって重要課題だ。AI対応デバイス導入の波や、重大な脆弱性への対応など、現状のリスクを踏まえた上で最適な解決策を探る。
ISMSクラウドセキュリティ認証は、安全なクラウドサービスを利用者自身が選択できるように誕生したセキュリティ規格だ。ただ、取得のために何をすればよいか分からないという声も多く聞かれる。そこで、概要から取得方法までを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...