URLフィルタリング

 従来のパケットフィルタ型のファイアウォールでは、コネクションを制御することはできても、参照できるWebサイト制限することはできません。つまり、Webのコネクションを許可してしまえば、どんなWebサイトも閲覧できてしまうわけです。参照するサイトを制限するには、利用者を教育指導する必要がありますが、それには限界があります。

 また、有害Webサイトの増加、掲示板サイトなどへの書き込みによる情報漏洩、業務に無関係なWebサイトへのアクセスによる業務効率の低下など、そうした背景から、組織では、Webサイトへのアクセスを制限する「URLフィルタ」機能を持つ製品の導入が進んでいます。

 URLフィルタの導入形態の典型的な例は、組織内にプロキシサーバを設置して、そのプロキシサーバを経由して、Webサイトへアクセスさせる形態です。

 この形態では、プロキシサーバとなるサーバにSquidなどのアプリケーションをインストールして「URLフィルタ」を定義する必要があり、手軽に導入できるのかというと少し難があります。

 手軽に「URLフィルタ」機能を導入したいというニーズの高まりから、ルータにその機能を実装する製品が増えてきています。安価なルータには、まだ実装されている機種は少ないのですが、中小規模で利用する手頃な価格帯のルータには実装されている製品も多く、「URLフィルタ」機能は、身近なものとなってきています。

 「URLフィルタ」では、アクセスさせたくないWebサイトのURLなどを定義してゆくことになるが、Webサイトは、常に生まれては消えを繰り返すため絶えず、定義を更新する必要があります。

 そのため、多くの製品では、インターネット経由でベンダから自動的に最新データベースをダウンロードして更新できる機能を持っています。

 古いルータでは、URLフィルタ機能を利用できない製品が多いのですが、ファームウェアをアップデートすることで機能がサポートされる機種があるので、詳しくは、各ベンダーのホームページ上で確認する必要があります。

例えば、YAMAHAルータでは、以下のWebフィルタリングに対応しています。

  • 外部データベース参照型URLフィルター
  • 内部データベース参照型URLフィルター

 「外部データベース参照型URLフィルター」は、インターネット経由でベンダから自動的に最新データベースをダウンロードして更新できますが有料です。

 「内部データベース参照型URLフィルター」は、管理者自身がURLの全部または一部をキーワードとしてルーターに登録してメンテナンスを行います。こちらは無料です。

 どちらを使用してURLフィルタを行うのかは、どの精度でURLフィルタを行いたいのかで使い分けます。精度の高いURLフィルタを実現したいのであれば、「外部データベース参照型URLフィルター」を採用することとなります。こちらは、URL文字列だけでなくページの内容も判定することができます。

 ここでは、YAHAMAルータのフィルタリング機能について紹介しましたが、他ベンダのルータでも、同様なURLフィルタ機能を持っています。

P2Pフィルタリング

 P2Pネットワークには、有害なコンテンツが溢れています。ウィルス感染による情報漏洩など脅威もあります。また、通信の帯域やルータの資源を圧迫し、業務効率を低下させる恐れがあります。

そもそも、P2Pによる通信は、業務とは無関係であるため、P2Pのアクセスを制限している組織も増えています。

 そういった背景もあり、P2P通信をフィルタリングすることができるルータも登場してきています。P2P通信をフィルタリングに対応しているといっても、P2Pソフトウェアは非常に多くあり、それら全てをフィルタリングすることは、できません。しかし、利用ユーザの多いP2Pをフィルタリングするだけでも効果が見込めます。

 例えば、YAHAMAルータでは、機種とファームウェアのバージョンによっては、P2PソフトのWinny、Shareに対応しています。

Wiiny・・・RTX1200,RTX1100,RTX3000など
Share・・・RTX1200など

 フィルタリングの設定は、コマンドベースで難しいのでは?と思われるかもしれませんが、多くの製品では、WebインターフェイスのGUIで設定できるようになっており、非常に簡単に設定できるようになっています。

GUIでの設定は、目的のP2Pソフトウェアの項目にチェックを入れるだけの手軽さです。

ルータが対応していないP2Pソフトウェアについては、NATのセッション制限機能や帯域制限で対応していくことになります。

 この方法は、P2P通信を遮断するというものではなく、通信で利用される帯域やコネクションの下図を制限して、他のユーザと共有する回線を独占されないようにするためのものです。また、この制限を設定することによって、ルータの負荷を軽減することができます。