Webサイトの脆弱性からChromebookを守る
「InterSafe GatewayConnection」

数あるセキュリティ対策の中でも、古くから利用されてきたのが、Webフィルタリングだ。サイバー攻撃は年々高度化しており、そうした攻撃を防ぐため、Webフィルタリングの需要は従来以上に高まっている。Webフィルタリングの基本は、業務に支障を来す恐れのある有害サイトを閲覧しないように規制すること。この機能の活用で、被害の拡大するフィッシング詐欺や危険なサイトへのアクセスを防ぎ、Chromebookによる安全なテレワークを実現できる。

多重判定で安全なWebアクセスを実現

 Webフィルタリングというセキュリティ機能の歴史は古い。インターネットが本格的に普及し始めた2000年前後に数多くの製品が登場し、その機能や性能を競ってきた。初期のWebフィルタリング製品の多くは、WindowsなどのクライアントPCにインストールして、登録されているWebサイトのデータベースを照会する方式が多かった。今回取り上げるアルプス システム インテグレーションの「InterSafe GatewayConnection」も、18年連続シェアNo.1(各種調査機関のデータを基にした同社調べ)という歴史の中で、クライアント型からクラウド型次世代Webフィルタリングへと進化してきた。

 その基本的な仕組みは、ChromebookのユーザーがWebアクセスを行うときに、悪意のあるURLに接続しようとしているかどうかを「規制リスト」と「許可リスト」を照会して判定する。この段階でURLの安全性が確認できれば、目的のWebサイトが表示される。アクセス先のURLが未分類のときには、規制対象かどうかを判定すると同時に、InterSafe GatewayConnectionが運用している「高度分類クラウド」のデータベースを照会し、アクセスが可能かどうかを判定する。さらに、高度分類クラウドでも判定できないURLは、InterSafe GatewayConnection独自の解析システムに送られる。こうした多重の判定により、安全なWebアクセスが実現する。

 従来のWebフィルタリングというと、従業員が会社から動画サイト/転職サイトにアクセスしないようにするための規制や、公序良俗に反しないための予防として使われるケースが多かった。しかし、現在ではフィッシング詐欺に代表されるような悪質なサイトが増加し、通常のWebアクセスのつもりが気付かないうちにサイバー被害に遭うようなケースも増えている。こうした被害から従業員を守るために、改めてWebフィルタリングの有用性が注目されているのだ。

巧妙化するサイバー攻撃を防ぐ

 Chromebookはセキュリティ対策に強い端末と評価されている。Chromebookの管理コンソールで利用するアプリを厳密に管理できる上に、WindowsやMacと比べると、有害なマルウェアなどを仕込まれる可能性も低い。OSのセキュリティパッチもリアルタイムで提供されて、再起動のタイミングで自動的に更新が行われるので、セキュリティホールが狙われる心配も少ない。それでも、インターネットを介してWebアクセスを行う限りは、全くセキュリティ被害に遭わないとは断言できないのだ。

 例えば、フィッシング詐欺サイトには、Chromebookでもアクセスできてしまう。GoogleもChromeブラウザーに有害サイトの判定機能を備えているので、被害が多発しているフィッシング詐欺サイトなどにアクセスしようとすると警告を表示してくれるが、それでも漏れてしまう危険はある。最近のサイバー攻撃は、悪質かつ巧妙になってきており、悪意のあるハッカーが特定の企業を攻撃することを目的に従業員のIDやパスワードを盗むためのWebサイトを偽装するケースも想定される。こうしたWebサイトを悪用する被害からChromebookを利用する従業員を守るには、Webフィルタリングが効果的になる。

 InterSafe GatewayConnectionは、130万台以上の導入実績を持つ。GIGAスクール構想により文教市場を中心にChromebookへの導入も進んできているという。もちろん、一般企業にも広く導入されているが、その中心はまだWindowsやMacなどだ。今後、一般企業でもChromebookの導入が加速すれば、それに合わせてInterSafe GatewayConnectionの需要も広がると考えられる。

コンプライアンスにも貢献

 ほかのWebフィルタリング製品と比較したときに、InterSafe GatewayConnectionにはいくつかの特長がある。その一つが「HTTPSデコード機能」というURL単位での制御だ。簡易なWebフィルタリングでは、悪質なWebサイトを判定するために、DNSというアクセス先のドメインだけを判定している。この簡易な方法では、該当するドメインのWebサイトを全てブロックしてしまうため、特定のドメインやページにアクセスする必要がある場合も、アクセスできない不都合が生じる。

 それに対してInterSafe GatewayConnectionでは、https://による暗号化されたサイトにアクセスする際に、HTTPSデコード機能によって、ドメインの後ろに/(スラッシュ)で続くパス部分も的確に判定するので、情報漏えいリスクのあるサイトを適切にフィルタリングできる。

 また、InterSafe GatewayConnectionでは、管理者が設定した時間当たりの特定カテゴリーに対するアクセスの上限数を判定して、閾値を超えたときにアラートメールを発信する「インシデントアラート」を装備している。例えば、企業で契約しているサービス以外のクラウド共有サイトへのアクセスや、ファイル転送サービスなどを利用している頻度が高いと、シャドーITのリスクや情報漏えいの危険性が危惧される。場合によっては、意図的に情報を外部に持ち出そうとしている可能性もあり得る。そうした予兆をインシデントアラートで検知できると、情報保護につなげられるだろう。

 さらに、InterSafe GatewayConnectionが管理している全ての端末のWebアクセスログは、専用サイトに標準で100日間保存され、ダウンロードして監査証跡として保管できる。Webアクセスログには、アクセス時間/ユーザー名/部門/ドメインURLなど、分析に必要な項目が多数用意されている。インシデントアラートやWebアクセスログは、Chromebookに用意されているGoogleの管理コンソールだけでは対応できないため、InterSafe GatewayConnectionを活用する意味がある。もちろん、InterSafe GatewayConnectionは、Googleの管理コンソールから一括で導入が可能なので、全社規模でのリモート導入も容易だ。Chromebookをより安全に業務で利用するために、Webフィルタリングは効果的なセキュリティ対策となる。