社内のPCを各種メッセンジャーに接続出来なくする方法

会社でネットワーク管理の仕事をしています。

上司より、業務に支障を来たしているのでメッセンジャー（MSN、yahoo）の使用禁止を再三社員に通達しているにもかかわらず改まらないので、メッセンジャーを使用できなくなるよう設定を依頼されています。

ルータで特定のポートをファイアウォールで規制することは可能なのですが、具体的な設定の仕方をお教え願いますでしょうか。

※ ただし、実は会社でVPN接続を導入しているのですが、導入時にトラブルが多かったため、ルータの設定はできれば変えたくありません。小さい会社なので、社員一人一人のクライアントPCに設定をして回ることは可能です。

よろしくお願いします。

No.3 ベストアンサー 回答者： noname#14035 回答日時： 2003/09/07 18:04

choco_monakaさん、こんにちは。

http://biglobe.okweb.ne.jp/kotaeru.php3?q=644901
↓
上記のURLでも似たような問題に回答しましたが、「技術的に禁止しよう。」という方法は、あまり効果的なものではないと思います。

物理的にネットに繋がっている限り、少し知恵がある人なら遅かれ早かれ悪さをする方法を見つけ出すからです。（しかも、隠れて。）

もちろん、他の識者の方々が回答されている制限方法も該当するトラフィックを減らす効果が期待できます。

しかし、中学校じゃないんですから、「注意ですまなければ禁止する。」という上司の安易な命令も何だと思いますよ。（働かない社員を呼び出して、一喝するような対応をして欲しいものです。）

仕事しなければ置いていかれる（食えない）という緊張感と競争意識を持てる”社風”（タダ厳しいという意味ではありません。）にすることのほうが先決だと思うのですが、現実はそうも言っていられないでしょう。

私の知る限り、効果がある方法は、社内掲示板などで社員に以下のような通達を行う方法です。

>>従業員各位

昨今、従業員による勤務中のメッセンジャーサービス等の利用や、私的な目的でのインターネット接続が増加し、ネットワーク運営に支障をきたしています。

つきましては、今後、従業員による対外通信内容の記録と定期的なトラフィック調査を行うことととなりました。

通信内容そのものにつきましては、感知いたしませんが、不適切と認められる接続先・サービス等への通信が検出された場合、該当従業員への調査協力を依頼することがあることをご承知おきください。＞＞

これで、少なくともネットに詳しくない従業員はビビって、トラフィックは確実に減ります。（実際に監視する必要はありません。）

しかし、実際に状況を把握し、証拠保全などを行いたい場合は、やはりログがとれるゲートウェイ等の設置を行い、ログ保全と定期的調査を行う必要がるでしょう。

以上、参考まで。

それでは。

この回答へのお礼

Jzamraiさんこんにちは。
ご回答ありがとうございました。
「技術的に禁止」の姿勢は私もかなり納得いっていないです。
結局ちゃんとやらない人たちのために私の仕事が増えるので…。
愚痴を申し上げまして失礼しました。
社内通達は確かによい方法に思えます。
実際にログをとるとなると、膨大なログになってしまうので
あまり考えたくありませんが、こちらで文面を作成して上司に
通達してもらうのは本当に良い方法のような気がしてきました。
ありがとうございました。
ポート、プロキシの案と一緒に上司に相談してみます。

お礼日時：2003/09/08 11:19

No.2 回答者： Aruku-20030515 回答日時： 2003/09/07 16:01

ポート塞ぎでもかなり　有効ですが

通信の間にＰｒｏｘｙサービス立ち上げれば
かなり有効です、、ある意味、メッセンジャーだけでなく
ファイル共有ソフトも防げます。

Ｐｒｏｘｙの構築内容によっては　クライアント側の
ブラウザーの設定なしで運用できるので便利です。
ただし、ガチガチに組むと　いろいろ　あれができへん！
これができへん　と　言われるかも、、、。

この回答へのお礼

ご回答ありがとうございました。
proxyにつきましては以前社内にメール・webサーバーを
置いていた際に使用していましたが、そのときは全ての
クライアントに設定する必要があったのですが、ブラウザーの
設定なしで運用できる方法があるのですね。
調べてみます。
良いヒントをありがとうございました。

お礼日時：2003/09/08 11:11

No.1 回答者： umota 回答日時： 2003/09/07 10:20

> ※ ただし、実は会社でVPN接続を導入しているのですが、

> 導入時にトラブルが多かったため、ルータの設定はできれば
> 変えたくありません。小さい会社なので、社員一人一人の
> クライアントPCに設定をして回ることは可能です。

社員が PC の設定を戻して隠れて使う可能性があります。
やはりルータでポートを塞ぐのが正道と思います。

MSM メッセンジャー
　tcp *1863, 6891-6901, 7601-7825
　udp 2001-2120, 6801, 6901
Yahoo メッセンジャー
　tcp *5100

資料を読んだだけなので自信はないですが * のポートを
禁止してみます。

# 各社員に趣旨を理解してもらうことも大切ですネ。

(参考)
http://k-net.pinky.ne.jp/windowsmessenger.htm
http://k-net.pinky.ne.jp/yahoomessenger.htm

この回答へのお礼

早々のご回答ありがとうございました。
ポートの記載を検索したのですが、検索の仕方が悪く
見つからないでいましたので、大変ありがたく存じます。
上司とも色々と相談してよい方法を検討したいと思います。
取り急ぎお礼まで。

お礼日時：2003/09/08 11:09