Webフィルタリングとは 基礎知識と導入のために覚えておくべきポイント
- INDEX
-
Webフィルタリングは企業や組織、学校など様々な場所で役に立ちます。しかし、実際にどのような形で運用されているか知らないという場合もあるでしょう。
そこで今回は、Webフィルタリングの基礎知識と、導入のために覚えておくべきポイントについてご説明します。
Webフィルタリングとはなにか
Webフィルタリングとは、企業や学校などの組織でインターネットを利用する時に、悪意のある第三者の作成した不正サイトへのアクセスや、不必要な情報の閲覧及び発信を防ぐものを指します。
基本的にインターネットに接続したパソコンやスマートフォン、タブレットなどのデバイスは、制限なくWebページの閲覧が可能です。悪く言えば、企業や学校などの組織に被害を与えるものや、従業員や生徒に不快な思いをさせるサイト、または不適切なWebページでさえ閲覧できてしまうということです。
また、不正なサイトにアクセスさせるだけではなく、マルウェアや悪質なスクリプト、アプリをダウンロードさせられることで、さらに被害が拡大する恐れもあります。いわゆるサイバー攻撃と呼ばれるもので、これらを防ぐためにWebフィルタリングが必要です。
次に、どのような形でWebフィルタリングを可能とするのか、基礎的な仕組みを抑えておきましょう。
ブラウザで特定のサイトの閲覧制限やアクセスログの管理や監視
Webフィルタリングではブラウザの閲覧を制限することで、特定のサイト・URLやドメインにアクセスさせないように制御することができます。
例えば、企業や組織としての業務で必要な範囲の検索や情報収集は可能だけれど、明らかに不適切なサイトの閲覧を制限することが可能です。単に閲覧制限だけでなく、誰がどのWebページにアクセスしたのかわかるログの管理や監視も可能であり、業務に関係のない閲覧を注意することもできます。
その他にも、学校であれば生徒に不適切なサイトを閲覧させないようにすること、ご家庭でも子供に見せたくないWebページを制限することにもWebフィルタリングは利用されています。
Webメール・クラウドストレージ・SNSの利用制限や制御
WebフィルタリングではWebメールの送信、クラウドストレージへのアップロード、SNSへの書き込みなど、各種オンラインサービスの利用制限や制御も可能です。
例えば、社外秘のデータ、もしくは個人情報の含まれるファイルをWebメールの添付ファイルとして送付されたり、勝手にクラウドストレージにアップロードすることを防ぎます。その他にも、SNSに機密情報をアップするようなことを防げるので、情報漏洩や内部不正対策につながります。
もちろん、必要に応じて制限や制御が可能であり、業務や作業に支障のないよう調整することが可能です。
不正サイトへのアクセスや遠隔操作のブロック
Webフィルタリングはフィッシングサイトやフィッシングメールによる被害を防いだり、遠隔操作をブロックしたりする機能もあります。
サイバー攻撃は複合的に被害を拡大させるパターンもあり、例えば最初は取引先からのメールと信じて開いたらマルウェアでパソコンが乗っ取られてしまい、次に遠隔操作によって掲示板に爆破予告を書き込まれてしまったなど、にわかに信じられないような手口で企業や組織に迷惑を掛けてきます。
Webフィルタリングによってサイバー攻撃やマルウェアやウィルス感染を検知し防御することで、そもそもパソコンが乗っ取られるようなインシデントの防止に役立ちます。
Webフィルタリングに求めるべき機能について
次にWebフィルタリングに求めるべき機能についてご紹介します。
企業や学校などの組織で定めたルールやポリシーを実現できるかどうか
まずはWebフィルタリングの基本として、閲覧や制御ができるかどうかと同時に、ルールやポリシーを実現するための機能や設定が可能かチェックしましょう。
例えば、単純にドメインによるアクセス制限だけではなく、オンラインサービスやSNSごとにどこまで対応しているのか、またはグループやカテゴリ分けしたデバイスに対し、一括でルールやポリシーを設定できるかどうかなど見ておくことが大切です。
ホワイトリストやブラックリストのデータベースの更新や精度
ホワイトリストやブラックリストのデータベースの更新や精度も重要です。例えば、古い情報のままのブラックリストではフィッシングサイトや偽装サイトへのアクセスを防ぎきれない可能性もありますし、悪質なアプリやソフトウェアをダウンロードしてしまう可能性もゼロにはなりません。
ブラックリストのデータベースの更新頻度と精度が高ければ安心、安全度が違うということを覚えておきましょう。
サーバー管理者による監視やアラート・警告
Webフィルタリングはルールやポリシーの適用、ホワイトリストやブラックリストによる制限だけでなく、管理者が監視・管理しやすい機能を持っていることも重視すべきです。簡単に言えば、何が起こっているのか把握できるようにすること、リアルタイムに対処できるような仕組みやシステムが必要です。
閲覧ログ、アクセスログの管理や監視、管理者への通知、利用者への警告なども含めて管理しやすい機能があるかどうかは非常に重要と言えるでしょう。
Webフィルタリング導入のためのポイント
次にWebフィルタリング導入のために覚えておくべきことを説明します。
学校の教育や業務に支障の出ない範囲の制限をすること
Webフィルタリングではインターネットの良い部分を上手に利用し、必要な情報を取り出せる健全な状態を維持する必要があります。例えば、生徒や子供に悪いものを見せたくないあまりに条件や制限を厳しくしてしまえば、必要な情報にたどり着けない、または閲覧できない可能性があるからです。
企業活動においても制限が厳しすぎることで、必要な情報にアクセスできないとなれば本末転倒です。不正なサイトや悪質なサイト、またはブラックリストに乗るようなサイトのアクセスは遮断し、可能な限りアクセスできるドメインやWebページが多くなるようなルールやポリシーの策定が大切です。
WebフィルタリングだけでなくITリテラシーの向上を目指す
企業や組織においてはWebフィルタリングによる制限や制御だけでなく、ITリテラシーの向上を目指すことも大切です。社会人として、企業や組織に属する人間として、企業活動に必要の無いサイトの閲覧や情報漏洩、内部不正は褒められたものではありません。それらはすべてリスクであることを理解させると同時に、監視や管理が従業員を守るためであることを周知徹底しましょう。
また、生徒や子供の場合は自分自身で判断することはできません。だからこそ、学校側、先生や教師、大人が適切にWebフィルタリングしてあげる必要があります。注意点としては、並行してITリテラシーの向上を促すことです。現実世界と同じく、オンライン上でも一般常識や法令を遵守すること、画面の向こう側に人がいることなど、当たり前のことを理解させるということです。
IT資産、情報資産であることを理解してもらおう
Webフィルタリングは企業や学校などの組織におけるIT資産や情報資産を守るためにあります。従業員や生徒が扱うデータがどんなものであれ、情報資産であることは間違いありません。同時に、データを扱うデバイスも含めてIT資産であることを理解してもらうことで、安易に危ないサイトへのアクセス、添付ファイルの開封、安全性の低いアプリやソフトウェアのインストールをすべきではないということが伝わります。
また、パソコンやスマートフォン、タブレットを利用し、インターネットによって情報を閲覧したり、投稿や発言をすることによる「責任」についても十分に理解してもらうことも忘れないようにしましょう。
貸与するデバイスを安心・安全に利用するにはどうすれば良いのか
次に貸与するデバイスを安心・安全に利用するにはどうすれば良いのか説明まします。
Webフィルタリングとともに機能の制限・システムの制御を行うことが重要
Webフィルタリングを必要とする環境において、学校から自宅学習時にタブレットデバイスの貸与、または企業や組織からテレワーク時にパソコンを貸与するケースでお悩みのこともあるでしょう。
いわゆる学校内のパソコン室のような教室、または社内や組織内の部門や部署のように、物理的にもシステム的にも目の行き届く場所であれば、セキュリティ性は確保しやすいと言えます。しかし、自宅のように個々のセキュリティ環境や家庭でのセキュリティリテラシーが見えない環境では、十分なセキュリティ性が確保できるとは限りません。
これらはWebフィルタリングとともに、機能を制限したり、システム的に制御したりする仕組みを導入することで解決できます。インストールやアンインストールを勝手にさせないこと、同時にドメイン単位でアクセスをブロックしたり、制限をしたりすることで制御できるためです。
IDやパスワードとともに個人情報の取扱いに関する指導が必須
大人や子供、年齢に関係なく、IT技術に疎い場合があります。今でこそDXの推進が注目されていますが、急激な普及に伴い「IT格差」が生じているためです。例えば学校の教師だからといってITに強いとは限りませんし、今までパソコンを必要としていなかった業界・業種であれば当然と言えます。
まずはIDやパスワードとともに、個人情報の取扱いに関する指導を行いましょう。前述したSNSによる情報発信の責任とともに、ID・パスワード・個人情報がどれだけ大切であり、どれだけ危険性を秘めているのかを教えるべきです。間違ってもメモや付箋でわかるところに放置しておいたり、自動でログインするような仕組みを利用したりすることのないよう徹底しましょう。
企業や組織であればPC操作ログ・メール送受信履歴の取得と監視
企業や組織でのテレワークの場合など、WebフィルタリングやWeb閲覧履歴の取得と監視とともに、PC操作ログ・メール送信履歴の取得と監視も行うべきです。不要な操作や私的な利用によって、マルウェアの感染や他のサイバー攻撃によるリスクを回避するために必須と言えます。
実際にテレワーク環境下を狙ったサイバー攻撃も年々増えてきており、個人が自宅で作業・業務することによるセキュリティ性の低下は企業や組織にとってリスクでしかありません。社内や組織内にいるのと同様に、自宅やその他の場所でも監視によって管理されていることを周知することで、内部不正対策にもつながります。また、監視によってサイバー攻撃の検知や対処もしやすくなることから、監視体制の強化を早めに行っておきましょう。
BYOD(Bring Your Own Device)についても対策しておくべき
BYODとはBring Your Own Deviceの略称であり、個人所有のデバイスを業務で利用することを指します。また、学校で言えば、学校のシステムやネットワークに私物のデバイスでアクセスし、勉強に役立てたり、連絡手段にしたりすることもあるでしょう。
BYODの場合においても管理する側がデバイスを特定し、監視する技術を持っていれば安心・安全に運用できます。許可したパソコンのみネットワークに接続させて、許可したパソコンのみシステムにログインできるように設定することができるからです。必要に応じてOSやソフトウェアのアップグレードのチェックや更新する権限を取得しておくことで、利用する側のセキュリティ知識が低い場合でも、セキュリティ性を確保しやすくなるでしょう。
遠隔で一元管理できる仕組みやVPN・多要素認証の導入
前述した監視やOSのアップグレードも含めて、遠隔で一元管理できる仕組みの導入は必須です。同時にVPNや多要素認証を組み合わせることで、ネットワークやシステムへのログインの安全性を高めることにつながります。OSやソフトウェアを最新の状態にしつつ、ネットワークやシステムへはスムーズにログインできるようになれば、業務や学業に支障が起きにくいということでもあります。
ただし、VPNだから、多要素認証だから絶対に安全とは限りません。その他のセキュリティ対策とともに、多角的・多層的なセキュリティ対策を行うこと、年齢問わず、セキュリティに関するリスクやサイバー攻撃の手法について逐次、情報共有することをおすすめします。
DX推進が先でセキュリティ人材の育成が伴わない場合にどうすべきか
次にDX推進が先行してセキュリティ人材の育成が伴わない場合にどうすべきか説明します。
基本的にはセキュリティが先で、DX推進が後
教育現場でも企業や組織でも、基本的にはセキュリティが先だと覚えておきましょう。DX推進はオンライン化が含まれる技術も多いため、基盤となるセキュリティ技術が伴っていないとサイバー攻撃のリスクが増大してしまうのが理由です。とはいえ、DX推進ありきで話が進み、セキュリティどころかIT技術そのものに疎いまま導入に至ってしまうことも現実問題としてあり得ます。
まずは導入した技術にどのようなリスクがあるのか、提供元のベンダーに管理職や管理者が問い合わせること、具体的にどのような対策をするべきか聞いてみることから始めましょう。特に予算ありき、DX推進ありきで進められているような場合ですと、提供元のベンダーもセキュリティ体制は整っているもの、ITに関する技術者がいるものだと誤解して、基礎的なセキュリティに関する確認すらしてこないこともあります。セキュリティ人材がいない、もしくは不足していることをしっかりと伝えることが大切です。
付け焼き刃のセキュリティはかえって危険だということを知るべき
セキュリティは専門性の高い分野です。そのため、個人でIT技術が詳しい程度の方がセキュリティ対策を行っただけで満足してしまうと、かえって危険性が増すことがあるので注意しましょう。付け焼き刃のセキュリティではなく、基礎から、基本からしっかりと基盤や体制を構築することを意識し、実行に移してください。
DX推進などで導入した技術のリスクが大きすぎる、もしくはセキュリティ体制が整っていないのであれば、予算や時間をセキュリティ基盤の構築に費やすことをおすすめします。何も対策しないまま、従業員や顧客、もしくは生徒の個人情報などが危険に晒されてしまえば、DX推進どころではないと理解しておくことが重要です。
同業他社、もしくは他の学校の事例を参考にしてみることも大事
同業他社、もしくは他の学校など、同じような組織・団体も含めて事例を参考にしてみることも大事です。実際にDX推進においても導入に失敗したケースや改善して成功に導いたケースなどさまざまあります。
失敗した事例、成功した事例の両方を参考にしつつ、どのようにすれば成功するのか、安全性を高められるのかを模索し、実行に移すことができれば少なくとも同じような失敗を防ぐことにもつながります。
セキュリティに強い開発元のベンダーとのつながりが必須
セキュリティ人材がいない場合、セキュリティに強いシステム開発元ベンダーとのつながりを作っておきましょう。課題や問題点すら把握しきれていない場合など、外部のベンダーに精査してもらった方が、現実的な対策や対応策を把握できる可能性があるためです。
事実、日本においてもセキュリティ人材が不足していることから、セキュリティ人材のみを確保することは難しいです。同様に業界や業種によっては「セキュリティのために就職したのではない」と思われてしまえば、人材を失うことになりかねません。
セキュリティの専門家に任せることを視野にいれておき、相談しながらセキュリティ人材の育成や環境を整える方向性で調整すると良いでしょう。
まとめ:これからの時代はIT資産管理が「必須」となる
今回はWebフィルタリングの重要性と導入のために覚えておくべきポイントについてご説明しました。
Webフィルタリングはセキュリティにおける基礎となる技術であり、企業や組織として必須であると言えます。さらに一歩進んで、IT資産、情報資産を守るために、何らかの形でIT資産管理も意識する必要があるでしょう。
IT資産管理の必要性をお感じであるなら、当社が提供するIT資産管理ソフト「AssetView」の導入をご検討ください。この記事でご紹介したWebフィルタリングの機能はすべて網羅しており、さらに高度なセキュリティ対策についても万全なソフトウェアです。いつでもお気軽にお問い合わせ、ご相談ください。