好ましくない情報を遮断する仕組み
01
WEBフィルタリングの遮断の方式による分類
ISMS新規格「ISO/IEC 27001:2022」に追加されたWEBフィルタリングですが、厳密な定義があるわけではありませんが、少し技術的な話も交えて、どのようなものがあるかを紹介したいと思います。
WEBフィルタリングは「好ましくない情報を遮断する仕組み」と言えます。この仕組みには、遮断する方式によっていくつかのタイプに分類されます。
WEBフィルタリングのいろいろ
WEBフィルタリングは、遮断の方式によって「コンテンツフィルタリング」「URLフィルタリング」「DNSフィルタリング」に分類され、それぞれ特徴やメリット・デメリットがあります。また、コンテンツフィルタリングとURLフィルタリングは組み合わせて利用されることもあります。
ホワイトリスト型とブラックリスト型
02
通信遮断のルール設定の方針による分類
遮断の方式による分類以外にも、URLフィルタリングとDNSフィルタリングには、通信遮断のルール設定の方針として「ホワイトリスト型」と「ブラックリスト型」の2種類に分類できます。
ホワイトリスト型は、あらかじめ設定されたURLやドメイン名だけをホワイトリストに登録して、そこに登録されている通信だけを許可し、それ以外の全ての通信を遮断する方法です。この方式は絶対安全だと確認されているサイト以外、全く通信できないようにするので、安全性は非常に高くなります。しかし、無害なのにホワイトリストに登録されていないケースが多々発生するため、アクセスしたいのにできなくて業務に支障がでることもあるようです。
一方、ブラックリスト型は、不正または不適切なサイトのURLやドメイン名だけを事前にブラックリストに登録して、そこに登録されている通信だけを遮断し、それ以外はすべて通信許可する方法です。ホワイトリスト型と正反対の特徴があり、数多存在する不正サイト全てを遮断することは困難ですが、日常の利用を妨げず、業務に支障が出ることはあまりありません。
どれを選べば良いの?
03
組織に合ったセキュリティ対策を!
どのような方式を選ぶべきかは、求めるセキュリティのレベル、用意できるヒト・モノ・カネのリソース量によって異なるため、組織にあったものを選定しなければなりません。例えば、非常に高いレベルのセキュリティが必要な組織であれば、おそらくゼロトラストを導入していることでしょう。そこでは、コンテンツフィルタリング(+URLフィルタリング)が採用されることが多いと思いますし、より高い安全性を目指すなら、ホワイトリスト型で運用することになると思います。しかし、日常業務への影響も抑えるように運用しようとすると、膨大なハードウェアリソースと、運用チームを用意しなければなりません。
一方、多くのリソースは用意できないが、ある程度はセキュリティを担保したいという組織であれば、例えば、URLフィルタリングやDNSフィルタリングをブラックリスト型で導入するのがおすすめです。セキュリティリスクを抑えつつ、日常業務への影響を極力少なくすることで、運用を楽にできるからです。
セキュリティ対策は上を見るとキリがありません。また、どんなに頑張っても100%にはなり得ません。だからといって、全く対策しないというのは論外ですし、ISMSを取得・維持するのであれば、どちらにしても対策が必須です。もちろん、WEBフィルタリングだけではなく、社員教育やルール整備なども併せて対策を検討すべきです。
ISMSの新規格である「ISO/IEC 27001:2022」は、組織としてどのレベル感を目指すかを考えるきっかけになりますので、審査に向けてしっかりと準備を進めましょう。