ポリシーとWebアクセスコントロール | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

ポリシーとWebアクセスコントロール

特集 特集

 WebアクセスコントロールというとまずURLフィルタリングが上げられます。URLフィルタリングを導入する目的としては、業務とは関係ないアクセスによる生産性の低下、インターネット帯域の削減、掲示板等による誹謗中傷による企業イメージの低下、Webメールなどの情報漏洩、そして昨今ではWebアクセスによるウイルスの感染や、Webサイトの脆弱性を攻撃してしまう加害者となってしまうケースへの対策があげられます。
 では、実際にWebアクセスコントロールを行うにはどのような手法があるか弊社製品であるSGシリーズ(SGOS Ver.2.1.x)によって掘り下げて見たいと思います。

1.URLによるポリシー
 最も一般的な方法です。HTTPヘッダに含まれるURLを対象としてALLOWもしくはDENYのポリシーを作成します。単にURLのブロックといってもいろいろな方法があります。
 URLは下記のように表すことができ、それらを元にポリシーを設定すること可能となります。

scheme://host:port/path

例、url=http://www.bluecoat.co.jp/index.html
    ─>フルパス指定により、http://www.bluecoat.co.jp/index.html にマッチします。
url=http://www.bluecoat.co.jp/products/
    ─>プリフィックスの扱いとなり、http://www.bluecoat.co.jp/productsを含むものにマッチします。
url_domain=bluecoat.co.jp
    ─>ドメインサフィックスの扱いとなり、bluecoat.co.jpのドメインにマッチします。
url_address="192.168.1.0/24"
    ─>IPアドレスのネットワーク指定が出来、192.168.1.0のネット
ワークにマッチします。
url_scheme="https"
    ─>scheme(プロトコル)の指定が出来、httpsにマッチします。
url_path="/cgi-bin/"
    ─>パスの指定が出来ます。
url_port=8080
    ─>ポートの指定が出来、8080にマッチします。
url_extension=".exe, .zip"
    ─>拡張子による指定が出来ます。
url_regex="www.bluecoat.co.jp/.*"
    ─>正規表現による指定。正規表現はすべてのURLに対して評価されるため、極力使わないことが望まれます。


2.HTTPヘッダによるポリシー
 URLもHTTPヘッダの一部ですが、その他にもユーザをコントロールする情報が詰まっております。例えばブラウザ規制を行う場合は、User-Agent、MIMEタイプでポリシーを設定する場合は、Content-Typeなどがあります。また、多段接続の場合下段のプロキシから来るリクエスト(X-forwarded-for)に対して、クライアントのIPを知ることもできます。これらの情報を元に、Webへのアクセス制限を適用することもできます。また、場合によってはRefererヘッダや、From(メールアドレスを示す)ヘッダなどのようにセキュリティ上削除するということも可能です。RefererヘッダとはWebページの参照元を指すヘッダです。
 例えば、イントラのWebサイト(192.168.1.1)にリンク集があり、そのサイトからリンクをクリックしてWebにアクセスすると、ブラウザはReferer:http://192.168.1.1というヘッダを付けてWebサイトへアクセスします。そのため、社内のホスト名やIPアドレスがインターネット上に流れ出ることになります。これをセキュリティの理由上に削除するために、Refererヘッダが社内のホスト名もしくはIPアドレスレンジの場合には削除するといったポリシーが必要になってきます。


ブルーコートシステム株式会社
システムズエンジニア
中西 良夫


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

    工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  8. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×