【連載】
情報漏洩100％対策──あらゆるリスク、ケースを徹底検証

第2回ネットワーク運用からのアプローチ（1）
「内部から外部への通信」におけるリスクと対策

（2006年03月09日）

普及率と汎用性の高さがリスクの「HTTP/HTTPS」

　Webサイトの閲覧に用いられるプロトコルであるHTTP/HTTPSは、業務上不可欠な場合も多く、大抵の企業では厳しい利用制限を設けていないようだ。福利厚生の意味も込め、休憩時間に私的な“ネット・サーフィン”を認めている企業も少なくない。しかし、情報漏洩の観点からは、HTTP/HTTPSによる通信を野放しにしておくことは避けたい。

　なぜなら、Web上には、情報を発信できるアプリケーションが存在するからだ。その例としては、掲示板、Webメール、最近流行しているブログなどがあり、いずれも就業中に利用されることが少なくない。Webの利用は、ユーザーの良識に任せるというのが“暗黙のルール”だが、現実にはその期待が裏切られることが多い。匿名の掲示板などでは、内部告発というよりは、正に情報漏洩とでも言えそうな暴露情報を見かけることがあるし、発信者のIPアドレスが表示されているため、その企業からの情報発信であることが明らかな書き込みも目にする。

　このような（HTTP/HTTPSによる通信を介した）情報漏洩を防ぐ方法はいくつかある。

　まず、簡単ではあるが、外部ゲートウェイのアドレスやFQDN（完全修飾ドメイン名）を検索エンジンにかけてみるという手がある。こうすることで、自社の“正体”を明らかにした形で情報が発信されていないかどうかを調べることができるのだ。

　また、プロキシ・サーバをチョーク・ポイントとし、外部への通信はすべてそこを通過させるようにするという方法もある（図4）。こうすることで、少なくとも内部のノードがリクエストしたURLを記録することはできる。そして、ファイアウォールでプロキシ・サーバからの通信のみを許可するように設定すれば、各ノードが直接外部に接続することを避けられる。また、「社内からのWeb接続はすべてプロキシ・サーバで記録しています」と公表することによって抑止力が働き、不適切な利用が少しは減ることになろう。ただし、情報漏洩対策としてはこれだけでは不十分である。

図4：HTTP/HTTPSのチョーク・ポイントで講じる対策

　そこで次の対策として、URLフィルタリング製品によって、Webメールや掲示板の利用を制限することになる。一般的なURLフィルタリング製品はプロキシ・サーバの形態をとるが、最近はネットワークに挟み込んでユーザーに意識させずにフィルタリングを行う透過型の製品も存在する。クライアントPCのアドレス・チェックや認証機能を活用して、ユーザーごとに利用可能なWebサイトを設定しておくわけだ。もちろん、制限にかかった場合には管理者に通報される。ユーザー認証と組み合わせれば、DHCPサーバを利用している環境でも、だれがどのWebサイトを利用したかを突き止めることができるため、それなりに情報漏洩や不適切な利用を防ぐことが可能になるはずだ。

　もっとも、HTTPは普及率および汎用性が格段に高いため、情報漏洩を防ぐための決定打は見いだしにくい。LAN認証と組み合わせて事後対策、抑止力を強化するというのが、現時点での最適解となろう。

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ