情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を引用しながら、試験に出る基礎知識を体系的かつ詳細に整理します。

URLフィルタリングとその目的

1.URLフィルタリング

(1)URLフィルタリングとは

許可するWebサイト(URL)をフィルター(選別)することです。
URLフィルタを実現するのは、主に2つ装置です。一つは、Squid、BlueCoatなどのプロキシサーバです。日本だと、Squid上にiFilterを搭載する企業が多いようです。過去問(H22NW午後1問1)でも、プロキシサーバがURLフィルタを実装している事例が掲載されています。
もう一つは、UTMなどのURLフィルタリング機能を利用する場合です。

(2)Webフィルタリングの目的

❶ペアレンタルコントロール
社員に対し、業務に関係が無いサイトへのアクセスを禁止することが主目的です。
たとえば、「アダルト」「ゲーム」「スポーツ」「オークション」などの、業務に関係のないURLの閲覧を禁止します。親が子供を管理するペアレンタルコントロールの意味あいです。

❷セキュリティを高める
加えて、セキュリティを守るためにも大事な機能です。
たとえば、攻撃者は自らが用意した不審なサイトに巧みに誘導し、ウイルスを感染させたり、情報を抜き取ったりします。それらのサイト(C&Cサーバ)への通信を防ぐのです。

では、情報処理安全確保支援士試験の過去問(H22春SC午前2問12)を見てみましょう。

過去問(H22春SC午前2問12)
問12 ダウンローダ型ウイルスがPCに侵入した場合に、インターネット経由でほかのウイルスがダウンロードされることを防ぐ有効な対策はどれか。

ア URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する。
イ インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
ウ スパムメール対策サーバでインターネットからのスパムメールを拒否する。
エ メールフィルタで他サイトへの不正メール発信を遮断する。

正解は一つですが、それ以外の選択肢がなぜ間違いなのかをきちんと確認しましょう。





ウ、エはメールの問題であり、インターネットは関係ないですね。
正解は、アです。

(3)URLフィルタリングとコンテンツフィルタリングの違い

URLフィルタリングに関して、情報処理安全確保支援士試験の過去問(H23SC春PM1問1)では、次の記載があります。

URLフィルタリングに関して(H23SC春PM1問1より)
(a)URLマッチング
アクセスしようとしたURLと,有害情報のURLリストとのマッチングによって有害の度合いを決定する。有害情報のURLリストはA社が逐次更新し,自動ダウンロード機能によってBフィルタに取り込まれる。
(b)キーワードマッチング
表示するコンテンツの内容と,有害情報であるか否かを判定するためのキーワードリストとのマッチンクによって有害の度合いを決定する。キーワードリストは,青少年の保護者が設定する。

(a)が世間一般にいう「URLフィルタリング」で、(b)が「コンテンツフィルタリング」です。
両者の違いは、http://sc.seeeko.com/などのURLでフィルタリングするのか、「株」「パチンコ」などのキーワードでフィルタリングするかの違いです。
情報セキュリティスペシャリスト試験を目指す女性SE


ドメインレベルではなく、https://sc.seeeko.com/entry/studyのようなフルパスでのURLフィルタリングはできますか?

もちろんできます。「FQDNフィルタリング」でも「ドメインフィルタリング」でもありません。「URLフィルタリング」ですから、上記のようなURLも当然フィルタリングできます。
URLフィルタリングとコンテンツフィルタリング_情報セキュリティスペシャリスト試験

過去問(H21年春初級シスアド)を見てみましょう。

過去問(H21年春初級シスアド)
問49 電子メールのコンテンツフィルタリングによる情報漏えい対策を説明したものはどれか。
ア 外部に公開されている電子メールアドレスから発信される電子メールは,情報漏えいを検知する必要がない。
イ 電子メールの発信記録からスパムメールを選別し,スパムメール発信者のすべての電子メールの発信を停止する。
ウ 添付ファイルのない電子メールは情報漏えいの疑いがないので,検知する必要がない。
エ 登録したキーワードと自動照合することによって,情報漏えいの疑いのある電子メールを検知して発信を停止する。






正解はエです。

2.HTTPS通信のURLフィルタリング

さて、HTTPS通信は、URLフィルタリングができるのでしょうか?
情報セキュリティスペシャリスト試験を目指す女性SE



できない理由でもあるのですか?

URLはHTTPのデータ部分に入っています。
HTTPSでデータ部分は暗号化されているから、基本的に、URLフィルタリングはできないのです。
4
しかし、PCは「CONNECTメソッドを利用してプロキシサーバへ接続先を指定(H21NW午後1問2)」しますから、プロキシサーバでは接続先サーバのFQDN(ホスト名とドメイン名)までは知ることができます。よって、FQDNまで(=ホスト単位)ではURLフィルタリングが可能なのです。

では、情報処理安全確保支援士試験の過去問(H28SC春午後Ⅰ問2)を見てみましょう。

過去問(H28SC春午後Ⅰ問2)
次に,Kさんは,URLとして,https//www.example.ne.jp/user035/index.htmlをフィルタリングしようと設定してみたが,パス名を含めたURL全体を設定できず,ホスト単位のフィルタリングだけが設定できる仕様となっていたことを説明し,その理由をW氏に質問した。W氏の回答は,次のとおりであった。
・このURLの場合,プロキシサーバ経由でHTTP over TLS 通信が行われる。
・PCのWebブラウザは,CONNECTメソッドを用いてプロキシサーバに接続し,サーバwww.example.ne.jpとの間のトンネルの確立を要求する。
・PCのWebブラウザは,プロキシサーバからステータスコードが200である応答を受信した後,サーバwww.example.ne.jpとの間のTLSセッションを開始する。

W氏の説明を受け、Kさんは、②HTTP over TLS通信ではURLフィルタリングがホスト単位となることを理解した。

設問3(3) 本文中の下線②の理由は、CONNECTメソッドのどのような仕様によるものか。該当する仕様を、20字以内で具体的に述べよ。






正解は、「パス名を送信しないという仕様」です。「ホスト名しか送信しないという仕様」でも、正解になると思います。
最近では、HTTPS通信のSSL復号装置を導入することで、SSLであってもURLフィルタリングができるようにする場合もあります。

3.URLフィルタリングの機能

H28年SC秋の問題を参考に、URLフィルタリングの機能を確認します。
※この内容は、プロキシ2の機能として紹介されていますが、以下の部分は一般的なフィルタリングの機能です。
filter

ここにありますように、ホワイトリストを設定することで、特定のURLへの通信を許可します。また、ブラックリストを設定することで、特定のURLを拒否します。
また、実際には、拒否するだけではく、上記の記載にあるように「許可」「検知」「遮断」が選べます。遮断すると業務に支障が出る可能性がある場合は、「検知」にしてログに記録する場合もあるでしょう。

別の情報処理安全確保支援士試験の過去問を1つ

過去問(H22SC秋午前Ⅰ問4設問1)
W社内のイントラネットからインターネットへのアクセスは制限されており、アクセスが業務上必要でないと判断されるURLを登録する〔 b 〕リスト方式のURLフィルタが導入されている。






[ ]の中に入る文字を答える問題だが、ホワイトかブラックのどちらかであることは想像できたと思います。
正解はブラックです。。
全く関係の無い話だが、アメリカのコメディ映画「ブラック&ホワイト」は面白かった。テンポがいいし、小ネタが面白い。アクションシーンもなかなかよい。

Black&White/ブラック&ホワイト
リーズ・ウィザースプーン
20世紀フォックス・ホーム・エンターテイメント・ジャパン
2013-03-02

カテゴリ単位のフィルタリング機能に関して補足します。問題文には、「カテゴリ単位フィルタリング機能のために,ニュース,ゲーム,外部ストレージサービスなどのカテゴリが用意されており,これらについては,カテゴリごとに分類されたURL リストが随時更新され,プロキシベンダのWebサイトを通じて提供される。」とあります。
以下はForiGateの画面になりますが、URLを一つ一つ指定するのは大変なので、カテゴリ単位で設定をします。
www.viva-fortigate.com

セキュリティの観点からいうと、上記のForitgateのカテゴリの場合は「セキュリティ上問題のあるサイト」を一括で拒否します。
情報セキュリティスペシャリスト試験を目指す女性SE



たしかに、何万、何十万とあるURLを一つ一つ設定するのは無理ですもんね。

4.その他

(1)掲示板への書き込みを防止する方法は?
結論からいうと、ある程度は止められます。でも、100%止めることは無理です。
以下が、掲示板への書き込みを防止する方法の案です。
 ❶URLフィルタ
 掲示板も山ほどあるし、ブログのように、掲示板ではないけど書き込みができるものもある。そこから、個人情報などが漏えいするリスクもあるだろう。
それらのサイトをすべて個別にブラックリストで書くのは現実的ではないと思う。
 ❷メソッドを拒否
 HTTPのPostやPUT、GETなどを個別に管理し、Postはダメとか、そういう制御をすることで、掲示板を読むのは読めても、書き込みはできない制御ができ。
ただ、掲示板やサイトの作りこみによって、GETで書き込むことも可能だろう。じゃあ、GETを拒否しようとすると、そもそもサイトが一切見ることができなくなる。

(2)[参考]青少年の携帯やスマホでのURLフィルタリング 
平成25年度 青少年のインターネット利用環境実態調査というのが報告されている。 詳しくは以下にある。
(旧リンク)http://www8.cao.go.jp/youth/youth-harm/chousa/h25/net-jittai/pdf/kekka.pdf
その中で、フィルタリングの利用率のデータがある。 H23年 59.7% H24年 63.5% H25年 55.2% と、H25になって下がっている。これは、フィルタリングされるとできないアプリやゲームがあるからであろう。 フィルタリング率が約50%というのは、青少年には危険ではないだろうか。