Webフィルタリングとは? 必要性や種類、導入時の注意点を解説
Webサイトは、企業や公的機関からの情報発信ツールとして広く活用されています。しかし、Webサイトの中には、閲覧者から不正に情報を得ようとしたり、ウイルスに感染させようとしたりする悪意あるサイトも存在します。
不審なサイトへのアクセスを防ぐための効果的な対策が、Webフィルタリングです。情報セキュリティ対策にもつながるWebフィルタリングのメリットや種類のほか、導入時の注意点などを解説します。
Webフィルタリングとは一部のWebサイトへのアクセスを制限すること
Webフィルタリングとは、一部のWebサイトにアクセスできないように制限をかけることです。「18歳未満の子供が年齢制限のあるサイトを閲覧しないようにする」といった対策もWebフィルタリングの1つで、マルウェアなどに感染するおそれのあるサイトの閲覧を防ぐセキュリティ対策もWebフィルタリングに該当します。
業務で使用するパソコンにWebフィルタリングを導入すれば、仕事に必要のないサイトや悪意のあるサイトの閲覧を制限でき、情報セキュリティを向上することが可能です。
Webフィルタリングの必要性
情報セキュリティ対策の重要性が強く意識されるようになっている昨今、企業もWebフィルタリングを導入していくべきだという認識が一般的になっています。
Webフィルタリングは、情報セキュリティの向上だけでなく、下記のような点で企業活動に有益です。
- データを人質に金銭を要求するランサムウェアなどのマルウェア対策
- 情報を盗もうとするウイルスへの感染防止
- Webサイトの閲覧に一定のルールを設けることによる内部統制の強化
- 業務外のWebサイトの閲覧を防ぐことによる業務効率化
ただし、Webフィルタリングは適切に行わないと、「必要なサイトにアクセスできない」といった問題が起こる可能性があります。フィルタリングの方法やルールの設定をバランスよく行わなければなりません。
Webフィルタリングの種類
Webフィルタリングにはいくつかの方法がありますが、下記の4種類が一般的です。制限が過剰にならないよう、フィルタリングの目的や業務の状況などに合わせて、適切なフィルタリング方法を選択してください。
ブラックリスト方式
ブラックリスト方式とは、ブロックするWebサイトをあらかじめリスト化する方法です。ブラックリストとして登録されたWebサイトに、アクセスできないように制限をかけます。
ブラックリスト方式は、アクセスを禁止したいサイトが少ない場合には便利です。しかし、セキュリティ上問題のあるサイトなどを1つひとつ登録していくのは手間がかかります。一定数以上のサイトをフィルタリングしたい場合にはあまり適さないでしょう。
ホワイトリスト方式
ブラックリスト方式とは反対に、アクセスに問題のないサイトだけをあらかじめ登録しておくフィルタリング方法が、ホワイトリスト方式です。
アクセスできる先は登録されたサイトに限定されるため、セキュリティ対策としては高い効果を発揮します。ただし、業務に必要なサイトにアクセスできなくなってしまう可能性も高くなります。後からそのような事態に直面した場合に、どのようなフローで対応するのか(リストへの追加登録の承認フローや緊急時の対処法)についても事前に検討しておかなければなりません。
カテゴリフィルタリング方式
Webサイトをいくつかのカテゴリに分類した上で、アクセスできないカテゴリを指定する方法がカテゴリフィルタリング方式です。
通常、カテゴリはセキュリティ会社が作成します。「SNS」「オンラインゲーム」「アダルト」といったカテゴリを設けて、業務に関係のないカテゴリに該当するサイトへのアクセスを遮断します。
カテゴリフィルタリング方式は、ブラックリスト方式よりも簡単に、広範囲のサイトへのアクセスを防げる方法です。ただし、Webサイトをカテゴリに登録するデータベースが正しく作られていないと、問題のないサイトへのアクセスが遮断されてしまう可能性があります。
レイティング方式
レイティング方式は、あらかじめ定めた基準に基づいてWebサイトが格付けされていることを前提に、一定の格付けを下回るサイトへのアクセスを遮断するWebフィルタリングの方法です。
格付けの方法には、情報発信者であるWebサイトの管理者自身が行う方法と、第三者機関が行う方法の2種類があります。サイトの管理者自身が格付けを行う場合、悪意あるサイトであることを隠して虚偽の格付けをしている可能性があります。そのため、Webフィルタリングに利用するには、第三者機関による格付けを参照するのが安全です。
しかし、第三者機関による格付けには、新しいサイトの評価に時間がかかるという問題があります。
Webフィルタリング導入時の注意点
Webフィルタリングの導入は、セキュリティ対策や業務効率化に役立ちます。しかし、Webフィルタリングを導入すれば安心というわけではなく、下記の4点に注意しなければなりません。
業務に支障が出ない範囲内での制限にする
Webフィルタリングを行う際は、業務への影響を十分に考慮する必要があります。必要なWebサイトにすぐにアクセスできず、いちいち許可をとってアクセス制限を解除してもらうようでは、業務効率が大幅に下がってしまいます。取引先にも迷惑がかかる可能性があるため、十分な注意が必要です。
これを防ぐためには、Webフィルタリングで制限を行う前に、通常業務の中で利用しているWebサイトの洗い出しを行いましょう。さらに、現在は利用していなくても、将来利用する可能性のあるサイトについても検討が必要です。フィルタリングの範囲の設定は、現場の従業員の意見も取り入れながら慎重に行ってください。
ITリテラシーの向上を目指す
Webフィルタリングを利用しているからといって、すべての悪質なサイトへのアクセスを遮断できるとは限りません。レイティング方式で格付けが間に合っていない新しいサイトにアスセスする場合や、カテゴリ方式の分類に問題があった場合など、Webフィルタリングでも有害サイトへアクセスできてしまう危険性は存在します。
また、そもそも不審なWebサイトにアクセスしようとしたり、業務に関係のないサイトを就業中に閲覧したりする従業員がいること自体が、企業のリスクになりかねません。
Webフィルタリングでシステム的に有害サイトへのアクセスを防ぐのは非常に効果的なセキュリティ対策ですが、Webサイトの閲覧を行う従業員自身のリテラシーを高めることも重要です。
従業員一人ひとりのセキュリティ意識を高めるために、Webフィルタリングの限界や、有害サイトの見分け方、情報セキュリティ事故を起こさないために個々人ができる対策を周知する研修を実施しましょう。併せて、就業時間中の無関係なサイトの閲覧による問題や、露見した場合の懲戒処分などを伝えることも大切です。
例外運用規定を策定する
Webフィルタリングをより柔軟に活用するためには、例外運用規定を定めておくことも重要です。いくら綿密に検討したとしても、あらゆるケースを想定することはできません。将来、何らかの業務上の事情により、制限のかかったサイトへのアクセスが必要になる可能性もあります。
実際にそのような事態が起こってから対処法を検討しているようでは、緊急を要する場合に対応が間に合わなくなってしまうかもしれません。事前に「例外を認められるケース」「例外運用を求める場合の申請方法とフロー」などを定めておく必要があります。
Webフィルタリングを含めたセキュリティ対策で安心できる業務環境を作ろう
Webフィルタリングは、Webサイトの閲覧やアクセスによって引き起こされるトラブルの多くを解決できる効果的な手段です。しかし、それだけですべての情報セキュリティ事故を防ぐことはできません。従業員のリテラシーを高めるとともに、ログの管理や機器類の利用ルールの策定、セキュリティソフトの導入といった複数の対策を重ねて、情報セキュリティ事故の起こりにくい安心できる業務環境を構築していきましょう。
インターコムの「MaLion」シリーズは、導入のしやすさや管理のしやすさ、サポート品質、総合的な価格面から評価されているIT資産管理ツールで、Webアクセスの監視・制限機能も搭載しています。さらにオプションのWebフィルタリングで、「ゲーム」「ウェブメール」「掲示板」「ショッピング」など、140種類を超えるURLカテゴリデータベースを基に特定のWebアクセスを制限でき、管理者自身で独自のURLカテゴリと該当するWebページを設定することもできます。
Webフィルタリングを含めた情報セキュリティ対策の導入をお考えなら、「MaLion」シリーズをご検討ください。