会社のネットがアクセス制限しきれていない。原因は？

会社のインターネットセキュリティについて質問です。
現状ですごく困っているということはありません。ちょっと不思議なのと、会社の各部署で自衛する必要もありますので、そのための質問です。

会社のパソコンはインターネット接続で一部のサイトをアクセス制限しています。
例えば、Yahoo.jp、Wikipedia、2ちゃんねるがそれに相当します。
これらのサイトのトップページにアクセスすると、会社が設置した「アクセス制限しています」の画面が表示されます。
しかし、Yahooの自分のアカウントのメール画面への直リンクのアドレスの入力、Googleの検索結果としてリストされたWikipedia内の各題目へのリンクのクリック、2ちゃんねるの各板のアドレスの入力では、それらのページが表示され、書き込みもできます。また、それらのページから各サイトのトップページへ移動出来てしまいます。

質問です。
会社のセキュリティ部門の意図がなくこのような状態だとした場合、原因はどのあたりにあると思われますでしょうか。
実際のところセキュリティ部門はこのような状態であることを知りませんし、サイトのトップページをアクセス制限しているのだからその配下(全部が全部配下ではないと思いますけど…)にアクセスできるわけがないという言い分です。
しかし2ch等への書き込みがあるとそのセキュリティ部門から書き込み者が所属する部署の要職に通報されます。
セキュリティ部門の人やスキルの問題もあると思いますが…。

No.4 ベストアンサー 回答者： kakedashidashi 回答日時： 2014/05/12 21:29

そのセキュリティをどういう方法で実現しているかによりますね。

でも、たぶんフィルタリングの設定ミスでしょう。

> 2ch等への書き込みがあるとそのセキュリティ部門から書き込み者が所属する部署の要職に通報されます。

ということなので、あなたの会社にはプロキシサーバが設置してあり、そこになんらかのURLフィルタが仕掛けてあるのでしょう。

プロキシサーバの多くはOS標準のSquidを使用している場合が多いと思いますが、URLフィルタの部分ではWebsenseやi-FILTER、InterSafeなどのURLフィルタ製品を使っていることも多いでしょう。Squid単体でもURLフィルタリングは可能なのですが、設定が面倒だったりログが見にくかったりするので、このSquidに製品を組み合わせて専門的なスキルがなくてもまずいアクセスなんかがわかるようにしている場合が多いです。
また製品だと、ユーザアカウント管理系のシステム（ActiveDirectoryやLDAPなど）と連携して部署やユーザごとにフィルタリングを変えるということもできます。

実際のフィルタの設定については、製品を使用している場合は、各ベンダーが公開情報や独自の調査から業務にふさわしくないサイトや危険なサイトのリストを作成し、それをインターネット経由で配布→自動更新の形をとるのが基本で、これで対応できないものを各ユーザ（システム管理者）で追加設定を行います。

（配布されるリストはカテゴリごとに分類されている場合が多いです。一般的な企業ではアウトでも一部の企業では業務使用サイトであることもあります。たとえば、消費者金融会社で消費者金融サイトを見るとか、インターネットプロバイダでいわゆるエロサイトを見る＝エロサイト運用業者がお客様・・・など）

SquidだけでURLフィルタを実現している場合は設計によって公開情報を参照することはできますが、基本的にはシステム管理者による独自のフィルタリングルールとなるでしょう。

URLフィルタリングのルールって独自で作成/設定する場合は結構難しくて、以下のようなコツがあります。

たとえば、Yahoo!の場合、トップページはhttp://www.yahoo.co.jp/ ですが、ヤフオクはhttp://auction.yahoo.co.jpです。すでにここで対象外です。この場合、ドメインで指定する必要があります。以下のようなルールです。（製品ならドメインを制限するみたいな設定入力項目があると思います）

*.yahoo.co.jp

※YahooをNGにすると、業務効率が下がるような弊害のほうがおおいため、多くの場合、auction.yahoo.co.jpやmail.yahoo.co.jp、login.yahoo.co.jpなどを個別にNGサイトにします。逆に2ちゃんねるはドメインごとNGにしていいでしょう。

Wikipediaの場合は、参照はできないとやはり業務効率が下がるため、以下のようなルールを組みます。

http://*.wikipedia.org/*&action=edit

※編集画面のみURLの最後に「&action=edit」という文字列がでてくるため、これで書き込みだけをNGにします。

※ルールの書き方はURLフィルタリングソフトによってことなりますので、上記はルールの一例を概念的に示したものです。「*」はワイルドカードであり、トランプのジョーカーみたいなものです。ただ、これの多様もまずいことになることがあります。「sex」関連は全面的に禁止だとして「*sex*」という大胆なルールを作っていたら、たとえば以下のような一般企業サイトもNGになります。

http://www.essex-japan.com/contact/

というように、この辺のルールの設定方法はホワイトリストとブラックリストの上手な組み合わせとかも含めて難しいので、結構トライ＆エラーなのです。

No.3 回答者： Lchan0211b 回答日時： 2014/05/12 20:30

> 質問です。

> 会社のセキュリティ部門の意図がなくこのような状態だとした場合、原因はどのあたりにあると思われますでしょうか。

アクセス制限の仕方にもいろいろあるのに、こんなところに質問して
部外者の推測を聞いても無意味です。あきらかにアクセス制限に穴があります。
部署内に注意喚起する前に、セキュリティ部門に連絡して早急に穴をふさいでもらうべきです。

部署内に注意喚起するかどうかは、セキュリティ部門の指示を仰ぐべきです。
セキュリティの穴を勝手に部署内に注意喚起の形で公開して、もし部署内の社員が
興味半分でそれを悪用して会社に損害を与えたら、あなたも責任の一端を問われますよ。

No.2 回答者： kkkkkm 回答日時： 2014/05/12 19:01

> サイトのトップページをアクセス制限しているのだからその配下(全部が全部配下ではないと思いますけど…)にアクセスできるわけがないという言い分です。

ドメインで拒否していなければトップページだけを拒否しても意味がないでしょう。
Yahooのトップページは
http://www.yahoo.co.jp/
ですが、Yahooメールのトップページは
https://jp.mg5.mail.yahoo.co.jp/以下略
になりますのでトップページはまったく違うマシン(物理的には同じかもしれませんが)にアクセスすることになります。

普通はドメイン拒否すると思いますが…。

セキュリティ部門に実際にアクセスできることを見せて理解させるしかないと思いますよ。

No.1 回答者： taffet 回答日時： 2014/05/12 17:51

トップページのみをブラウザの機能（たとえばIEのコンテンツアドバイザー）などでアクセス禁止にしただけで、hostsファイルでドメインを拒否する設定にまではしていないのでは…とも思いましたが、組織が設定するアクセス制限ならそんなことはマズしないでしょうからちょっと想像できません。

どうやってアクセス制限を設けているのかを補足しないと明確な解は得られないと思います。

この回答へのお礼

ご回答ありがとうございます。

例えばYahooはトップページのURLの上のほう(ドメイン？)とユーザーページのURLの上のほうの表記は異なります。
Wikipediaは途中まで同じですね。
お答えからしますと、そのような違いはあれど、アクセスで制限で来てあたりまえ、ということでしょうね。

私は他社のイントラをお借りしてお仕事したりするのですが、他社でお借りしたパソコンも、他社の正従業員が使用しているパソコンも、アクセス制限しているサイトには、当社のような「横から入れる」ようなことはありません。

>明確な解は得られない

可能性として私どもが誤ってアクセスしてしまう可能性もある訳で、部署内で注意喚起が必要かと考えています。
そうなりますと「なぜ横からアクセスできるのか」と疑問を抱くと思いますので、専門的な事は元からわかりませんが、ある程度の原因・要因が分かれば、事態の納得もしやすいと考えています。
お気遣いありがとうございます。

お礼日時：2014/05/12 18:06