ザツログ

雑学、幕末、80年代、ブログカスタマイズ、ITトラブルシューティングなど。

MENU

会社のパソコンからのWEBサイト接続はこうやって監視されている

f:id:maekeeeeen:20150422224632j:plain

先日、とあるブロガーさんが社内でブログを更新していた事が、社内システムによって筒抜けになっていた、という記事をエントリしていました。
突然、『あなたが閲覧したWEBサイトは全て筒抜けですよ』なんて言われたら怖いです。気持ち悪いです。
ITセキュリティ製品の、導入、サポートの仕事をしている僕が、どのように監視されているのか、どれくらい普及しているのかを書きました。

 

どのように監視されているの?

今回は、パソコン自体へのセキュリティ(USBメモリ遮断やアプリ制御など)やメール監視ではなく、社内LAN⇔WEBサイトへのセキュリティについてざっくりと説明します。

 

WEBプロキシ

まず、『プロキシ』は代理という意味です。
社内LANに接続されているパソコンが、Internet Explorerなどのブラウザを使用してWEBサイトにアクセスした際に、事前にそのサイトが健全かどうかをチェックし、問題なければ利用者のパソコンにWEBサイトを表示させる、という機能です。

例えば以下のようなチェックをします。

 

URLフィルタリング

あらかじめ決められたカテゴリに基づいて、閲覧の許可/不許可を判別します。
例えば、『ポルノ』カテゴリに属するWEBサイトはもちろん閲覧禁止、『ビジネス』カテゴリに属するWEBサイトは仕事で必要なので閲覧許可、といった感じです。
個別にURLを指定して閲覧許可/不許可を設定する事も可能です。
もちろん、世界中にある膨大なWEBサイトを、一つ一つ社内のシステム管理者がコツコツとカテゴリ分けをするわけではありません(そんなんできません)。
以下のようなカテゴリデータベースがあって、セキュリティ製品はこのデータベースを参照してカテゴリを瞬時に判断するのです。

 

ウイルス、マルウェアチェック

ブラウザがWEBサイトを閲覧する際、実際はパソコンにデータをダウンロードしています。
例えば、Yahoo!ページは文章の他に、画像、広告などが表示されています。
ブラウザで見る時は、それぞれ、画像1.png、画像2.png、広告1.swf、広告2.swf・・・というように一つ一つのファイルとしてダウンロードし、それを合体させて一つのWEBページを表示させています。
この一つ一つのファイルがウイルスやマルウェアに感染していないかをチェックして、問題なければ利用者のパソコンにWEBサイトを表示させる、という機能です。
ファイルが一つでもウイルスやマルウェアに感染している場合は、WEBサイトへの接続を遮断してブラウザに警告画面を表示させます。

 

閲覧履歴

残念ながら、何年何月何日何時何分何秒に、どのパソコン(IPアドレス)がどのWEBサイトにアクセスしたか、という記録は全て残ります
※アクティブディレクトリなどを使用して、セキュリティ機器をドメインに参加させている場合は、IPアドレスの他にユーザ名で記録されます。

例えば、ある人物がWEBサイトへアクセスした記録から、アダルトサイトへアクセスしていないか調べたい、という場合、一昔前であれば、数字と英語の羅列のログファイルを調査して集計しないといけなくて面倒でしたが、最近はレポート出力機能が優れており、ある人物がアクセスしたWEBサイト一覧などがワンクリックで出力できるようになっています。

 

勤務先は小さな会社なのでさすがに監視していないのでは?

これらの製品は基本的に海外製です。
以前は、システムのメニュー画面やマニュアルが英語、という製品が多かったので、『日本語じゃなきゃヤダ』と導入を躊躇する中小企業が多かったのですが、近頃はローカライズ(日本語化) されている製品が増え、ローモデルであれば数十万で導入できる価格、そしてベネッセの情報漏洩のような事件が増えてきた、という事で小さな会社でも 積極的にこのようなシステムを導入してきています。

 

勤務先は小さくて情報システム部がないので、こんなシステムを導入しても運用できる人はいないんだけど』と安心してはいけません。
最近は、画面のユーザビリティが優れてきていて、直感的になって操作しやすくなっています。
社内SEがいない会社でも積極導入し、総務部といった一般の部署の方がシステム担当者として運用しているケースが僕の経験上、結構多いのです。

 

パソコンにはそのようなソフトウェアはインストールされていない

こういったシステムはパソコンにインストールするアプリケーションではなく、WAN(インターネット)回線と接続する部分に導入します。
アプライアンスと呼ばれる箱物の機器であったり、サーバにインストールするソフトウェアであったり、最近ではVMWareのような仮想サーバに導入したり、と形態は様々です。

また、パソコン側でのブラウザの設定も不要なので、利用者側からは監視されている事に気づかない場合がほとんどだと思います。

 

近年、セキュリティ意識の高まりで中小企業もこのような製品を積極導入していますので、うちの会社は大丈夫、と思わず、監視されている事を前提にWEBサイトを閲覧しましょう。