匿名Webプロキシサーバを職場から一掃する方法:不正侵入の入り口をふさぐ
社内での匿名プロキシソフトを使ったWeb閲覧を許すことには危険が伴う。これを防ぐにはどのような措置を講じればいいのだろうか。
企業は社内のWebブラウザ利用をコントロールする目的で、セキュリティゲートウェイ技術戦略の一環としてWebフィルタを使うことがある。しかし、中にはどうしてもフィルタをかわして制約なしにWebを使い続けたいと思う従業員もおり、Webフィルタをだまして不適切なサイトへのアクセスを許可させる「匿名Webプロキシ」の利用で対抗してくる。本稿では、Web匿名化がシステムへの不正侵入を招きかねない実態に触れ、コンテンツフィルタリングのプロセス強化の手段を紹介する。
匿名Webプロキシの弊害
まず、匿名プロキシソフトを使ったWeb閲覧を許すことの危険性をはっきりさせておきたい。社内ネットワークでユーザーがこれを使っていたら、少なくともユーザーの一部が規則を破っているのは間違いない。ポルノサイトやギャンブルサイト、あるいは個人ブログ、MySpace.com、YouTubeといった禁止サイトを閲覧しているかもしれない。こうしたサイトは広告や「特別プログラム」の形で、バックドアを仕込むトロイの木馬などマルウェアをホスティングしている場合があることは覚えておきたい。
企業向けWebコンテンツフィルタ装置の多くは、単に攻撃を防いだり、悪質サイトや評判の悪いドメインからの感染を防いでいるだけではないことも知っておいた方がいい。こうした製品は、広告経由で感染するかもしれないマルウェアを防ぎ、サードパーティー広告を通じて知らないうちにマルウェアをホスティングしている正規サイト上のコンテンツからも企業を守ってくれる。インターネットとそれにアクセスするWebブラウザは、ユーザーにとって最大の弱点だ。Webコンテンツフィルタリング装置がなければ、Webからの悪質コード感染を防ぐ層はウイルス対策ソフトだけになるが、この防御は攻撃側がそれなりのツールを使えばかわすことができてしまう。
では、ユーザーはどうやってWebフィルタリング装置をかわしているのか? これは極めて簡単だ。そのためのツールが多数、無償提供されている。例えば従業員は、会社のサーバに直接アクセスしてコンテンツフィルタを通る代わりに、「Privoxy」のような“仲介”匿名プロキシソフトを介して接続を確立し、オブジェクトをリクエストできる。
しかも、新興のWebプロキシツールと技術に追い付くのは容易ではない。ウイルス対策ソフトメーカーの中には無許可プロキシに対し、ユーザーがプロキシの設定と共有に使っているフォーラム、IRCチャンネル、掲示板を継続的にチェックするブラックリスト方式を取っているところもある。メーカーは見つけたプロキシをブラックリストに追加する。このアプローチは面白いが、ユーザーが自宅でプロキシを設定し、前述したようにSSHやSSL経由で会社の環境から抜け出すトンネルを作っている場合は役に立たないという欠点がある。この場合のプロキシは、ブラックリストを作成しているベンダーの目に留まるほど多数には行き渡っていないかもしれない。
匿名プロキシソフト対策
Copyright © ITmedia, Inc. All Rights Reserved.