見出し画像

ISMS新規格に必須となる「WEBフィルタリング」とは?

久保 健 / Takeshi Kubo

こんにちは。ゼタントCEOの久保です。

前回はISMS新規格で設備投資が必須となり、企業にとってハードルになっている「WEBフィルタリング」と「監視活動」についてお話ししましたが、その対策方法についてご紹介する前に、少し詳しく「WEBフィルタリング」についてご紹介したいと思います。



好ましくない情報を遮断する仕組み

ISMS新規格「ISO/IEC 27001:2022」に追加されたWEBフィルタリングですが、厳密な定義があるわけではありません。そこで今回は、少し技術的な話も交えて、どのようなものがあるかについてご説明します。

前回の記事でも触れましたが、WEBフィルタリングは「好ましくない情報を遮断する仕組み」といえます。ここでは、好ましくないものを遮断する方式によるWEBフィルタリングの分類をご紹介します。

【コンテンツフィルタリング方式】

特徴:やりとりされる情報の中身をチェックして、遮断するかしないかを判断する方法

メリット・デメリット:情報の中身を全部チェックするので、最も安全になる可能性が高いですが、暗号化されている通信には適用できません。また、フィルタリングサーバに多大な負荷がかかるので、通信が遅くなる可能性があります。また、それを防ぐためには高性能なサーバが必要になります。

【URLフィルタリング方式】

特徴:WebサイトのURLだけをチェックして、遮断するかしないかを判断する方法

メリット・デメリット:URLしかチェックしないので、遮断処理が軽量で通信は遅くなりにくいですが、Webの通信にしか適用できません。また、暗号化されている通信には適用できません。

【DNSフィルタリング方式】

特徴:WebサイトのURLの中にあるドメイン名だけをチェックして、遮断するかしないかを判断する方法

メリット・デメリット:Webだけでなくあらゆる通信に対してフィルタリングを適用でき、高速に遮断処理させることができます。また暗号化の有無にも影響されず利用できます。ただし、ドメインの粒度でしかフィルタリングの判断ができません。

このように、方式によってそれぞれ特徴やメリット・デメリットがあります。なお、コンテンツフィルタリングとURLフィルタリングは組み合わせて利用されることもあります。


ホワイトリスト型とブラックリスト型

上記の分類以外にも、URLフィルタリングとDNSフィルタリングには、通信遮断のルール設定の違いでホワイトリスト型とブラックリスト型の2種類に分類できます。

ホワイトリスト型

ホワイトリスト型は、アクセスを許可したいURLやドメイン名だけを事前にホワイトリストに登録しておき、リストにない全ての通信を遮断する方法です。この方法は、絶対安全だと確認されているサイト以外、全く通信できないようにするので、安全性は非常に高くなります。しかし、無害なのにホワイトリストに登録されていないケースがたくさん発生するため、アクセスしたいのにできず、業務での利用に支障が発生する可能性があります。

ブラックリスト型

ブラックリスト型は、不正または不適切なサイトのURLやドメイン名だけを事前にブラックリストに登録して、リストにある通信は遮断し、それ以外はすべて許可する方法です。数多ある不正サイト全てを遮断することは困難ですが、ホワイトリスト型のように日常の業務上での利用に支障をきたす可能性は低いです。


組織リソースに合ったセキュリティ対策の選定

どのような方式を選ぶべきかは、求めるセキュリティのレベル、用意できるヒト・モノ・カネのリソース量によって異なるため、企業組織ごとにあったものを選定しなければなりません。例えば、非常に高いレベルのセキュリティが必要であれば、おそらく最近ではゼロトラストを導入していることでしょう。そこでは、コンテンツフィルタリング(+URLフィルタリング)が採用されることが多いと思いますし、より高い安全性を目指すなら、ホワイトリスト型で運用することになると思います。しかし、日常業務への影響を抑えて運用しようとすると、膨大なハードウェアリソースと、運用チームを用意しなければなりません。

一方、多くのリソースは用意できないが、それでもある程度はセキュリティを担保したいということであれば、例えばURLフィルタリングやDNSフィルタリングをブラックリスト型で導入するのがおすすめです。セキュリティリスクを抑えつつ、日常業務への影響を極力少なくすることで、運用を楽にできるからです。

セキュリティ対策は上を見るとキリがありません。また、どんなに頑張っても100%にはなり得ません。だからといって全く対策しないというのは論外ですし、ISMSを取得・維持するのであれば、どちらにしても対策が必須です。もちろん、WEBフィルタリングだけではなく、社員教育やルール整備なども併せて対策を検討すべきです。ISMSの新規格である「ISO/IEC 27001:2022」は、組織として、どの程度の情報セキュリティレベルをめざすかを改めて考えるきっかけになるでしょう。

[次回のテーマ]

次回は、WEBフィルタリングの中でも、もっとも動作が軽量で制限の少ない「DNSフィルタリング方式」について、もう少し詳しくご紹介していきたいと思います。


ゼタントについて
https://qfilter.net/#about


この記事が気に入ったらサポートをしてみませんか?