URLフィルタリング製品選びの基準とは　第1回

〜第1回：さまざまなフィルタリング方式〜

　セキュリティ意識が高い企業では、情報漏洩や不正プログラムの侵入を防止するため、URLフィルタリング製品の導入がウイルス対策同様に「当然の備え」になりつつある。しかし歴史の短い製品カテゴリということもあって、製品をどのような基準で選定すべきなのかについては、案外知られていないようだ。
　本稿では、これからURLフィルタリング製品を導入しようとしている、または導入済み製品の更新時見直しを考えているシステム管理者向けに、「フィルタリング製品の根幹をなすフィルタリング方式それぞれの内容と特徴」および「データベース方式の品質基準と収集の実際」を2回連載で解説する。

１．セルフレイティング方式〜理想と現実のはざ間で

　ある意味ではフィルタリング「製品」自体を不要にする考え方。ウェブサイトの管理者が、自分の運営するサイトの内容について、一定の基準に沿って自己評価を行うことが前提となっている。タグとしてページのソースに埋め込まれた「評価結果」に、閲覧側ソフトウェアがアクセスした時点で、予め与えられたパラメータと比較して、「見ても良いかどうか」の判断をするというもの。閲覧側ソフトウェアの代表的なものとしては、インターネットエクスプローラなどのブラウザが挙げられる。またゲートウェイプロキシタイプの製品にも、この方式をサポートしているものが見られる。

　性善説に立てば「フィルタリングの理想形」とも言えるこの方式だが、さほど広がりを見せていない。対応しているサイトの絶対数があまりにも少ない上に、自己評価結果に対しての信頼性を担保する仕組みが備わっていないのが原因だろう。
　「アダルトや暴力など、こどもに見せられないものをブロックしたい」という単純な動機から、「情報の出入り口を固めたい」「悪意のあるサイトからの防御手段」といったところまでフィルタリング製品の役割が拡張された現在では、この方式を採用し続けることは難しくなりつつあり、実際にサポートを取りやめたブラウザも出てきている。

２．言語検索方式〜日本語圏での実用化はさらに遠いか

　アクセスしたウェブサイトのテキストを閲覧側のソフトウェアが読み込んだ上で、そこに含まれている単語を元に、予め与えられたパラメータを参照し、「見せるべきか」を自動的に判断するという仕組み。ひとつの単語だけでは判断が難しいため、ある程度の文脈まで判断材料にすると主張する製品も存在している。考え方としては期待できるこの方式も、実際には「画像主体のウェブサイトでは内容が判断出来ない」「アクセス可否の判断をするまでに一定の時間がかかり、閲覧速度を低下させる」「悪意のあるサイトからの防御が難しい」といった根本的な問題点を抱えているため、主流にはなり得ない。また特に、単語と単語の切れ目の判断そのものが難しい日本語サイトにおいては、そのフィルタリング結果の正確性は依然として実験の水準を出ていない。

３．ホワイトリスト方式〜静的なアーカイブとしてのインターネット

　ダメなものをその都度で判断するのではなく、OKなサイトだけを使わせるなら不都合は起きないだろうという発想。有用サイトをカテゴリ分けした上で、閲覧可能な状態にする一方で、それ以外については全て閲覧不可となる。
　教材としての利用であれば、最も安全かつ確実なのは言うまでも無いが、その反面、インターネットの魅力は大きく損なわれるため、企業には向いていない。

アルプスシステムインテグレーション株式会社
http://www.alsi.co.jp/
国産フィルタリングソフトNo1シェア*　InterSafe
http://www.alsi.co.jp/pro/intersafe/index.htm
* 2003ネットワークセキュリティビジネス調査総覧　富士キメラ
* LogLyzerの開発元はネットスター株式会社です。InterSafeは、フィルタリングエンジン及び規制データベースにネットスター株式会社の技術を採用しています。

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec