標的型攻撃対策や不適切な社員の内偵、URLフィルタリングツール：IT導入完全ガイド（5/5 ページ）

提供形態の選び方

　アプライアンス、ソフトウェア、クラウドサービスの3つの提供形態から選ぶことになる。アプライアンスとソフトウェアの違いは、導入や構築の手間と期間の違いだけと考えてよいだろう。

　クラウドサービスの場合は、オンプレミス構築用のツールとは設定項目などが異なる場合もあるので注意が必要だ。別々に評価を行うことが薦められる。

カテゴリ分類が適切かどうか？

図9 カテゴリリスト画面の例（出典：アルプスシステムインテグレーション）

　ブラックリスト以外のWebサイトやページは、数十から数百のカテゴリに分類される。この分類の考え方と精度が、ツールベンダーの腕の見せ所だ。

　カテゴリリストの一例を図9に示す。ユーザー企業の管理者は、リストの中から利用制限したいカテゴリを選んで詳細な制御設定を行う（図10）。

　管理者は、会社のポリシーに従い、閲覧してよいカテゴリ、閲覧を禁止するカテゴリ、閲覧してもよいが書きこみは禁止したいカテゴリ、警告を表示してエンドユーザーの責任で閲覧するか否かを選べるカテゴリなどを設定する。グレーゾーンのカテゴリでは警告表示を利用することで、会社のWeb利用ポリシーを周知徹底させる教育効果も期待できる（図11）。

　こうした設定作業が、人手のない中で可能かどうか、また業務部門に設定を任せることも考えられるので、ITリテラシが十分でなくても分かりやすいかどうかが問題になる。これは試用してみないとなかなか判断が難しいので、ベンダーに一定期間のツール貸与などを依頼して、業務部門とともに検討する必要があるだろう。

図10 カテゴリ詳細設定画面の例（出典：アルプスシステムインテグレーション）

図11 ユーザー自身が一時解除できる形でのアクセス規制の例（出典：アルプスシステムインテグレーション）

フィルタリングルールのグループへの一括設定機能の有無

　フィルタリングルール設定がこのツールの最大の難関でもある。それを少しでも軽減するために、社内の部署や担当業務などによるグループごとの設定管理や、そのグループごとに例えば「企業用基本ルール」「小学校ルール」などあらかじめテンプレート化されたフィルタリングルールセットを一括して適用するといった省力化設定法を用意したツールもある。

日本製と海外製の違いは選択の基準になるか？

　企業のWeb利用は国内サイトが中心である場合がほとんどだ。日本の文化、習慣に即したカテゴリに、日本語サイトが適切に分類されるのは、やはり日本製の製品に若干のアドバンテージがあるようだ。カテゴリ分けは機械的な手法で行われるが、最後は（部分的にでも）人間の目視確認が求められる。そこに日本人スタッフが多数いることは強みになるはずだ。

　一方、海外製ツールは世界に莫大な数のユーザーがいるため、セキュリティインシデントの報告数、カテゴリ分けの正確性についての意見数も自然に多くなり、精度が上がる。C&Cサーバはじめ悪性サイトは海外がはるかに多く、国内での攻撃も海外サーバが使われることがほとんどであることから、対応が若干速いかもしれないとの期待はできよう。

SSLへの対応と性能は見逃せない？

　HTTPSサイトが増えていることもあり、SSL（HTTPS通信）デコード機能はオプション扱いのものが標準装備されるなど、各社製品が対応を強めている。SSLデコード性能は2万ユーザーに1台のアプライアンスで対応する事例もあり、CPUへの最適化などにより10倍の性能を実現したという製品もある。今後は見逃せない選択ポイントになりそうだ。

費用対効果が分からないときは？

　セキュリティ投資の費用対効果は被害を想定した推測で計算することになるが、URLフィルタリングの場合は「業務時間のロス」も試算することができる。例えば500人の従業員の9割が1日30分Webを私用で利用するとすれば、時給1500円として1年で8000万円以上の損失が隠れているといった計算法だ。

　その損失をURLフィルタリングツールを導入することでなくすことが期待できる。自社の現実的な業務時間ロス状態をモニターして計算すれば、それだけでも十分なコスト効果が判断できる場合が多いだろう。

アンチウイルスとの連携は？

　サンドボックス型も含め、アンチウイルスツールとの連携も最近の一般的な傾向だ。ICAPを利用して通信するので、ほとんどのアンチウイルスツールとの連携が可能だ。特にアンチウイルスのログをアクセスログと一括して監査可能にすると、管理負荷が軽減し、管理精度も上がることが期待できる。

UTMとの違いは？

　UTMにもURLフィルタリング機能がある。専用製品との違いは「十徳ナイフとハサミの違い」と説明する。根本的な仕組みに違いはないが、機能の網羅性や操作性に大きな違いがある。またメールフィルタリング、IPS、IDSなど既存ツールが導入されている場合には、専用製品の方がなじみやすい場合が多いだろう。