情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

10.クライアントセキュリティ > 10.7 URLフィルタリング

1.URLフィルタリングとコンテンツフィルタリングとは
URLフィルタリングに関して、過去問(H23SC春PM1問1)では、次の記載があります。
(a)URLマッチング
アクセスしようとしたURLと,有害情報のURLリストとのマッチングによって有害の度合いを決定する。有害情報のURLリストはA社が逐次更新し,自動ダウンロード機能によってBフィルタに取り込まれる。
(b)キーワードマッチング
表示するコンテンツの内容と,有害情報であるか否かを判定するためのキーワードリストとのマッチンクによって有害の度合いを決定する。キーワードリストは,青少年の保護者が設定する。
(a)が世間一般にいう「URLフィルタリング」で、(b)が「コンテンツフィルタリング」です。
両者の違いは、http://sc.seeeko.com/などのURLでフィルタリングするのか、「株」「パチンコ」などのキーワードでフィルタリングするかの違いです。
情報セキュリティスペシャリスト試験を目指す女性SE
ドメインレベルではなく、以下のようなフルパスでのURLフィルタリングはできますか?
http://sc.seeeko.com/archives/3844516.html
もちろんできます。「FQDNフィルタリング」でも「ドメインフィルタリング」でもありません。「URLフィルタリング」ですから、上記のようなURLも当然フィルタリングできます。
URLフィルタリングとコンテンツフィルタリング_情報セキュリティスペシャリスト試験
過去問(H21年春初級シスアド)を見てみましょう。
問49 電子メールのコンテンツフィルタリングによる情報漏えい対策を説明したものはどれか。
ア 外部に公開されている電子メールアドレスから発信される電子メールは,情報漏えいを検知する必要がない。
イ 電子メールの発信記録からスパムメールを選別し,スパムメール発信者のすべての電子メールの発信を停止する。
ウ 添付ファイルのない電子メールは情報漏えいの疑いがないので,検知する必要がない。
エ 登録したキーワードと自動照合することによって,情報漏えいの疑いのある電子メールを検知して発信を停止する。 

正解はエです。

2.URLフィルタを実現する装置
URLフィルタを実現するのは、主に2つ装置です。
一つは、Squid、BlueCoatなどのプロキシサーバです。日本だと、Squid上にiFilterを搭載する企業が多いようです。過去問(H22NW午後1問1)でも、プロキシサーバがURLフィルタを実装している事例が掲載されています。
もう一つは、UTMなどのURLフィルタリング機能を利用する場合です。

3.ホワイトリストとブラックリスト
W社内のイントラネットからインターネットへのアクセスは制限されており、アクセスが業務上必要でないと判断されるURLを登録する〔 b 〕リスト方式のURLフィルタが導入されている。(H22SC秋午前Ⅰ問4設問1)

[ ]の中に入る文字を答える問題だが、ホワイトかブラックのどちらかであることは想像できたと思います。
正解はブラックです。。
全く関係の無い話だが、アメリカのコメディ映画「ブラック&ホワイト」は面白かった。
テンポがいいし、小ネタが面白い。アクションシーンもなかなかよい。
Black&White/ブラック&ホワイト [DVD]
リーズ・ウィザースプーン
20世紀フォックス・ホーム・エンターテイメント・ジャパン
2013-03-02


4.[参考]青少年の携帯やスマホでのURLフィルタリング 
平成25年度 青少年のインターネット利用環境実態調査というのが報告されている。
詳しくは以下にある。
http://www8.cao.go.jp/youth/youth-harm/chousa/h25/net-jittai/pdf/kekka.pdf
その中で、フィルタリングの利用率のデータがある。
H23年 59.7%
H24年 63.5%
H25年 55.2%
と、H25になって下がっている。これは、フィルタリングされるとできないアプリやゲームがあるからであろう。
フィルタリング率が約50%というのは、青少年には危険ではないだろうか。

結論からいうと、100%は無理です。
ある程度は止められます。

案1 URLフィルタ
掲示板も山ほどあるし、ブログのように、掲示板ではないけど書き込みができるものもある。そこから、個人情報などが漏えいするリスクもあるだろう。
それらのサイトをすべて個別にブラックリストで書くのは現実的ではないと思う。

案2 メソッドを拒否
HTTPのPostやPUT、GETなどを個別に管理し、Postはダメとか、そういう制御をすることで、掲示板を読むのは読めても、書き込みはできない制御ができ。
ただ、掲示板やサイトの作りこみによって、GETで書き込むことも可能だろう。じゃあ、GETを拒否しようとすると、そもそもサイトが一切見ることができなくなる。

このページのトップヘ