フィルタリングソフト導入後にやるべきこと

フィルタリングソフト導入後の5つのステップ

ステップ1　実態調査

まず最初にやっておくべきことは、業務上必要とするインターネット上のWebサイト閲覧について、どのようなサイトにどの程度アクセスしているのかを知ることです。 アクセスするWebサイトの種類とアクセス数、頻度などを正確に計測し、業務内容と照らし合わせておくことができればベストですが、そこまでの情報がなくとも、社内からのアクセス傾向を知ることが重要です。

フィルタリングソフトの機能は、ざっくりと言ってWebサイトへのアクセス制限と許可を行うことです。フィルタリングソフトの運用が開始された結果、閲覧する必要のあるWebサイトへのアクセスが制限されることがあれば業務に支障を来しますので、この後の設定や運用ポリシー作成のためにも、本項の情報はもっとも時間をかけて収集する必要があります。

ステップ2　アクセス禁止カテゴリの決定

実態調査が終われば、自ずとアクセスできなければ困るWebサイトの傾向が見えてきますので、次に調査検討するのはアクセスさせるべきではないWebサイトについてになります。

こちらは、掲示板やSNSなど情報漏洩のリスクのあるコミュニケーションサイト、オンラインショッピングサイト、アダルト、暴力表現、エンターテインメントやギャンブルなど明らかに業務と関係のないサイト、不正な技術情報の掲載が予想されるサイトなど、いくつものカテゴリがありますが、利用者の利便性も考慮して決定していかなければいけません。

仮にショッピングサイトをすべて完全に禁止にしてしまった場合、利用者が出張する場合のホテル予約なども不可能になり、非常に面倒なことになるでしょう。 そのため、利用者が業務に関連する事項でどの程度使用するかを予測し、ある程度の余裕を持ったものにしておく必要があります。

ステップ3　例外時の運用規定の策定

どのような業務にでも例外がありますので、フィルタリングについても、何らかの理由でアクセス禁止のサイトにアクセスしなければならない事態が発生することはあります。 そんなとき、杓子定規にアクセスできないというのでは、本末転倒です。

フィルタリングソフトは、セキュリティリスクを下げるとともに、私的利用を禁じ、あくまでも業務効率をあげるために導入するのですから、そのような効率を下げるような対応ではなく、臨機応変な対応でなければいけません。

そのため、いざという時はフィルタ設定のレベルを下げる、もしくは完全に撤廃するための手続きを決めておく必要があります。 多くの場合が上長の認可をとるような、ただの承認手順だけになると思いまずが、いざという時にそれがないのでは、話になりません。

ステップ4　フィルタの見直し設定

フィルタリングソフトは、アクセスさせたくないサイトのリストであるブラックリストやその逆のホワイトリスト、特定の文言や機能などを検知する、一定の基準で数値化する、などという幾つかの仕組みでWebサイトのアクセス可否を判断します。

しかし、何千何万とあるインターネットサイトのすべてを最適に判断できる手段は存在せず、フィルタリングソフトでのブロック率は100%でないと言われています。その上、サイトは毎日数千という勢いで増えていますので、同じ設定ではフィルタリングソフトでアクセス制限ができるWebサイトの割合は確実に減少していくと考えられるでしょう。

そのため、ステップ1同様の情報を定期的に入手し、フィルタ設定を見直す仕組みを作っておかなければいけません。 一週間に一度、一ヶ月に一度など具体的に日程を決めるだけではなく、情報が収集できるような環境や判断するためのポリシーも整えておく必要があるでしょう。

ステップ5　フィルタ設定の限界の周知

フィルタリングソフトを導入していると、多くの悪質と思われるWebサイトがブロックされるため、利用者はフィルタリングソフトがブロックしないWebサイトは安全である、と勘違いしがちです。 しかし、ステップ4で書いたように、フィルタリングソフトは完璧ではありませんので、有害サイトへアクセスを許してしまう場合もありえます。

そのため、利用者が勘違いして安心しきっている状態では、却ってセキュリティリスクが高まることが懸念されます。

そんな状況になることを防ぐため、利用者にフィルタリングソフトの限界を周知し、危険なサイトへアクセスしてしまう可能性もあることを理解した上で使用するようにしておく必要があります。このとき、無用なサイトへアクセスしてしまった場合に、容易に報告できる手段を提供しておくことは、効果の高い施策になります。

セキュリティリスクと利便性を考慮する

フィルタリングソフトを運用開始するに当たって重要なことは、いかに利用者の利便性を損なわずに目的を達成するか、ということです。 そのためには、現状を把握し、その結果に即したアクセス制限を行う必要があります。

現在、インターネット上では、フィッシングやウイルス、悪質なコンテンツなど、様々な脅威が留まることなく増殖し続けています。 そんな身近にある脅威から企業活動を守るために、今回紹介した5つのステップを参考にして、利便性とセキュリティ対策のバランスがとれた対応をしていただければと思います。