ポリシーとWebアクセスコントロール | ScanNetSecurity
2024.04.26(金)

ポリシーとWebアクセスコントロール

 WebアクセスコントロールというとまずURLフィルタリングが上げられます。URLフィルタリングを導入する目的としては、業務とは関係ないアクセスによる生産性の低下、インターネット帯域の削減、掲示板等による誹謗中傷による企業イメージの低下、Webメールなどの情報漏

特集 特集
 WebアクセスコントロールというとまずURLフィルタリングが上げられます。URLフィルタリングを導入する目的としては、業務とは関係ないアクセスによる生産性の低下、インターネット帯域の削減、掲示板等による誹謗中傷による企業イメージの低下、Webメールなどの情報漏洩、そして昨今ではWebアクセスによるウイルスの感染や、Webサイトの脆弱性を攻撃してしまう加害者となってしまうケースへの対策があげられます。
 では、実際にWebアクセスコントロールを行うにはどのような手法があるか弊社製品であるSGシリーズ(SGOS Ver.2.1.x)によって掘り下げて見たいと思います。

1.URLによるポリシー
 最も一般的な方法です。HTTPヘッダに含まれるURLを対象としてALLOWもしくはDENYのポリシーを作成します。単にURLのブロックといってもいろいろな方法があります。
 URLは下記のように表すことができ、それらを元にポリシーを設定すること可能となります。

scheme://host:port/path

例、url=http://www.bluecoat.co.jp/index.html
    ─>フルパス指定により、http://www.bluecoat.co.jp/index.html にマッチします。
url=http://www.bluecoat.co.jp/products/
    ─>プリフィックスの扱いとなり、http://www.bluecoat.co.jp/productsを含むものにマッチします。
url_domain=bluecoat.co.jp
    ─>ドメインサフィックスの扱いとなり、bluecoat.co.jpのドメインにマッチします。
url_address="192.168.1.0/24"
    ─>IPアドレスのネットワーク指定が出来、192.168.1.0のネット
ワークにマッチします。
url_scheme="https"
    ─>scheme(プロトコル)の指定が出来、httpsにマッチします。
url_path="/cgi-bin/"
    ─>パスの指定が出来ます。
url_port=8080
    ─>ポートの指定が出来、8080にマッチします。
url_extension=".exe, .zip"
    ─>拡張子による指定が出来ます。
url_regex="www.bluecoat.co.jp/.*"
    ─>正規表現による指定。正規表現はすべてのURLに対して評価されるため、極力使わないことが望まれます。


2.HTTPヘッダによるポリシー
 URLもHTTPヘッダの一部ですが、その他にもユーザをコントロールする情報が詰まっております。例えばブラウザ規制を行う場合は、User-Agent、MIMEタイプでポリシーを設定する場合は、Content-Typeなどがあります。また、多段接続の場合下段のプロキシから来るリクエスト(X-forwarded-for)に対して、クライアントのIPを知ることもできます。これらの情報を元に、Webへのアクセス制限を適用することもできます。また、場合によってはRefererヘッダや、From(メールアドレスを示す)ヘッダなどのようにセキュリティ上削除するということも可能です。RefererヘッダとはWebページの参照元を指すヘッダです。
 例えば、イントラのWebサイト(192.168.1.1)にリンク集があり、そのサイトからリンクをクリックしてWebにアクセスすると、ブラウザはReferer:http://192.168.1.1というヘッダを付けてWebサイトへアクセスします。そのため、社内のホスト名やIPアドレスがインターネット上に流れ出ることになります。これをセキュリティの理由上に削除するために、Refererヘッダが社内のホスト名もしくはIPアドレスレンジの場合には削除するといったポリシーが必要になってきます。


ブルーコートシステム株式会社
システムズエンジニア
中西 良夫


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  3. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  4. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  8. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  9. Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

    Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

  10. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

ランキングをもっと見る