ポリシーとWebアクセスコントロール

　WebアクセスコントロールというとまずURLフィルタリングが上げられます。URLフィルタリングを導入する目的としては、業務とは関係ないアクセスによる生産性の低下、インターネット帯域の削減、掲示板等による誹謗中傷による企業イメージの低下、Webメールなどの情報漏

特集特集

2003年5月8日（木） 12時00分

　WebアクセスコントロールというとまずURLフィルタリングが上げられます。URLフィルタリングを導入する目的としては、業務とは関係ないアクセスによる生産性の低下、インターネット帯域の削減、掲示板等による誹謗中傷による企業イメージの低下、Webメールなどの情報漏洩、そして昨今ではWebアクセスによるウイルスの感染や、Webサイトの脆弱性を攻撃してしまう加害者となってしまうケースへの対策があげられます。
　では、実際にWebアクセスコントロールを行うにはどのような手法があるか弊社製品であるSGシリーズ（SGOS Ver.2.1.x）によって掘り下げて見たいと思います。

1．URLによるポリシー
　最も一般的な方法です。HTTPヘッダに含まれるURLを対象としてALLOWもしくはDENYのポリシーを作成します。単にURLのブロックといってもいろいろな方法があります。
　URLは下記のように表すことができ、それらを元にポリシーを設定すること可能となります。

scheme://host:port/path

例、url=http://www.bluecoat.co.jp/index.html
　　　　─>フルパス指定により、http://www.bluecoat.co.jp/index.html にマッチします。
url=http://www.bluecoat.co.jp/products/
　　　　─>プリフィックスの扱いとなり、http://www.bluecoat.co.jp/productsを含むものにマッチします。
url_domain=bluecoat.co.jp
　　　　─>ドメインサフィックスの扱いとなり、bluecoat.co.jpのドメインにマッチします。
url_address="192.168.1.0/24"
　　　　─>IPアドレスのネットワーク指定が出来、192.168.1.0のネット
ワークにマッチします。
url_scheme="https"
　　　　─>scheme（プロトコル）の指定が出来、httpsにマッチします。
url_path="/cgi-bin/"
　　　　─>パスの指定が出来ます。
url_port=8080
　　　　─>ポートの指定が出来、8080にマッチします。
url_extension=".exe, .zip"
　　　　─>拡張子による指定が出来ます。
url_regex="www.bluecoat.co.jp/.*"
　　　　─>正規表現による指定。正規表現はすべてのURLに対して評価されるため、極力使わないことが望まれます。

2．HTTPヘッダによるポリシー
　URLもHTTPヘッダの一部ですが、その他にもユーザをコントロールする情報が詰まっております。例えばブラウザ規制を行う場合は、User-Agent、MIMEタイプでポリシーを設定する場合は、Content-Typeなどがあります。また、多段接続の場合下段のプロキシから来るリクエスト（X-forwarded-for）に対して、クライアントのIPを知ることもできます。これらの情報を元に、Webへのアクセス制限を適用することもできます。また、場合によってはRefererヘッダや、From（メールアドレスを示す）ヘッダなどのようにセキュリティ上削除するということも可能です。RefererヘッダとはWebページの参照元を指すヘッダです。
　例えば、イントラのWebサイト（192.168.1.1）にリンク集があり、そのサイトからリンクをクリックしてWebにアクセスすると、ブラウザはReferer:http://192.168.1.1というヘッダを付けてWebサイトへアクセスします。そのため、社内のホスト名やIPアドレスがインターネット上に流れ出ることになります。これをセキュリティの理由上に削除するために、Refererヘッダが社内のホスト名もしくはIPアドレスレンジの場合には削除するといったポリシーが必要になってきます。

ブルーコートシステム株式会社
システムズエンジニア
中西　良夫

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》