Web Security ServiceでのURL(Web)コンテンツフィルタリングについて
Web Security Service(WSS)とは
Web Security Service(WSS)はクラウド型ネットワークセキュリティサービスであり、従来のオンプレ環境だけでなく、リモート環境のユーザにもカスタマイズ可能でセキュアな環境を提供している。
アメリカ、ヨーロッパを始め40を超えるデータセンターを利用できる為、海外拠点や海外出張のあるグローバル企業のセキュリティ対策にもなる。日本では東京(GJPTK)と大阪(GJPOS1)の2拠点を利用できる。離れた場所であっても同一のポリシーを適応することが出来る他、レポート機能を利用することでアクセス記録などログの取得も可能である。社が提供するデータセンターの一覧とサービスの稼働状況はステータスページにて確認が出来る。WSSはSymantec製品だが、SyamntecはBroadcomに買収された為、現在はBroadcom社より提供されている。尚、WSSはCloud Secure Web GatewayとBroadcom社になってからWSS機能を有するサービスに名を変えて、社のSASE事情の一翼を担っている。
Symantec Web Security Service では、Secure Web Gateway(SWG)、ソフトウェアデファインドペリメーター、ウイルス対策スキャン、サンドボックス、Web Isolation、Data Loss Prevention(DLP)、電子メールセキュリティなど、高度な機能が幅広く提供されます。ユーザーが Web に直接アクセスするときも一貫したポリシーが適用され、機密データがどこに送信されても追跡できます。
Broadcom社の製品ページ
URL(Web)コンテンツフィルタリングとは
URL(Web)コンテンツフィルタリングとは、ユーザーが業務上で不適切なサイトにアクセスした際に閲覧を防ぐフィルター機能である。
例えばアダルトサイトや麻薬など、ユーザーに業務と関係のないサイトへの閲覧を禁じて業務効率を上げる他、フィッシングサイトへのアクセスを防止することで誤ってスパムメール内のリンクをクリックしてしまった時など、危険性のあるサイトへのアクセスを防止することが出来る。サイトへのアクセスが拒否された際にはエラー画面がポップアップされる他、エラー画面からアクセスが拒否された理由を知ることもできる。
URLコンテンツフィルタリングでは主に、下記の3種類でフィルタリングしている。
1.カテゴリ形式
Broadcom社が独自に各サイトをカテゴライズしており、ユーザーが許可されていないカテゴリのサイトへアクセスした際にそのサイトへのアクセスを拒否している。
Broadcom社の定義するカテゴリは80を超えており、カテゴリが増減する際はBroadcom社より通知がある。
カテゴリごとに閲覧の許可、拒否の設定をすることが出来る上、拠点ごとに適応するポリシーの変更をすることが可能だ。サブスクリプション内の全拠点に対してポリシー設定をすることも出来る為、フィッシングサイトへの閲覧を禁ずるポリシーを上位ポリシーに設定すれば、仮に各拠点ごとのポリシー設定時に誤って閲覧許可の設定をしたとしてもユーザーはフィッシングサイトへのアクセスは禁じられる。
単一カテゴリに該当するサイトもあるが、技術/インターネット (Technology/Internet)+ビジネス/経済 (Business/Economy)など複数のカテゴリを持つサイトも存在する。もしBroadcom社のサイトカテゴライズに誤りがある際には、社に対してカテゴリ変更の依頼をすることが出来る。カテゴリの変更依頼はWebPulse サイト評価リクエストから行うほか、サイトの現在のカテゴリを確認することも出来る。ただGoogleなど利用者が多い有名なサイトの場合はカテゴリの変更は出来ない。数年前はカテゴリ変更に数時間~1日以上かかることもあったが、2023年1月時点では申請直後にカテゴリが変更されることが多い様に見受けられる。尚、WebPulse サイト評価リクエストのURLにbluecoatとあるが、これはWSSの元がBlueacoat社製品であり、Syamantec社がBlueCoat社を買収した為である
2.ホワイトリスト
ユーザーに閲覧を許可する安全なサイトのリストである。WSSではカテゴリ形式と組み合わせて、ホワイトリスト形式でもフィルタリングされる。サイトのURL,ドメインまたはIPアドレスをホワイトリストに追加することで、ユーザーが閲覧できないカテゴリに分類されるサイトであっても閲覧出来るように設定することが出来る。カテゴリポリシーの変更はしたくないが、そのサイトは業務を行う上で必要である為、ホワイトリストに追加するという流れが考えられる。WSSの場合だとWebPulse サイト評価リクエストでサイトのカテゴリ変更依頼をして失敗した場合に追加する方が良いと考える。ホワイトリストへの追加はポータル上で簡単に行えるが、追加後に有効化をしないと設定が変更されない為、注意が必要だ。また、ユーザーがサイトの一部ではなく全体を閲覧したい場合はURL登録ではなく、ドメインで追加する方が良い。
3.ブラックリスト
ユーザーに閲覧を拒否する危険なサイトのリストである。このリストに追加することで登録したURL,ドメインまたはIPアドレスのアクセスを禁ずることが出来る。WSSとは関係ないがSPAMHAUSがブラックリストでは有名だ。SPAMHAUSに誤ってドメインやグローバルIPが登録されてしまい困ったというのはよく聞く話だが、WSSでも誤った登録には注意したい。
ホワイトリスト、ブラックリスト登録時の注意点
1.*(ワイルドカード)は使えない
WSSでは*をリストに登録した際にはただの文字列として認識されてしまう為、ワイルドカードとして使用することはできない。登録したURL、ドメインの前後はWSSでは気にされない為、ワイルドカードとしたいのであれば必要な部分だけをリストに登録する必要がある
例:*test.comを追加する場合
アクセスしたいサイト1:http://www.qawsedrftgytest.com
アクセスしたいサイト2:http://www.lokijuhygtfrdetest.com
上記の場合は、[*test.com]ではなく[test.com]をリストに追加することで両サイトの閲覧許可/拒否をすることが出来る。ただ、下記の様なサイトも同様の設定が反映される。
http://www.gtreswaaqtest.com
短いリストの追加は意図しないサイトの閲覧許可/拒否をすることにもなる為、追加する場合はユーザーにヒアリングして検証することが好ましい。リストへの追加は複数サイトであっても一括で行えるため、ユーザー側のドメイン特定に時間がかかるかもしれないが、ドメインで登録をした方が意図しないサイトへの反映を防ぐことに繋がる。
2.サイトの一部か全体の登録か
サイトの一部へのアクセスをユーザーが希望しているのか、全体へのアクセスをユーザーが希望しているのかでリストの追加も変わってくる。URLのディレクトリ部分が変わるだけで、WSSはアクセスを拒否することもある。また、サイトへのログインページのみをホワイトリスト追加した場合、TOPページすら閲覧できないということもありうる。サイト全体の閲覧をしたい場合はドメインを追加する方が良い。
例:ユーザーが下記にアクセスしたい
アクセスしたいURL1:http://www.test.co.jp/test1
アクセスしたいURL2:http://www.test.co.jp/test2
仮に[test.co.jp/test1]をホワイトリストに追加した場合、test2に関しては設定されておらず別のURLと判定されてしまい閲覧が出来ない場合がある。
業務で必要なのがtest1のみであるならばtest2の登録は不要だが、その他のディレクトリ部分も閲覧したい場合はドメイン部分の[test.co.jp]を追加をした方が良い。
3.http://wwwについて
リスト登録時には[http://www]は不要である。[https]の場合も同様である。
WSSでアクセスできないサイト
1.サイト側、政府でブロックされている
WSSは使用時に最寄りのデータセンターにアクセスしてセキュリティ保護された上でサイトにアクセスしているが、サイト側でWSSのデーターセンター出口IPアドレスからの通信をブロックしている場合はサイトにアクセスすることは出来ない。そのような場合はサイト側のブラックリストを変更するようにサイトの運営者に依頼するか、WSS非経由でアクセスをするバイパス設定をする必要がある。バイパス設定は拠点ごとに設定をすることが出来ず、サブスクリプション内で共有される。バイパス設定されたサイトはWSSのセキュリティサービスを受けることなくアクセスするため、追加するときは安全なサイトであるか確認が必要だ。また、Googleが中国国内で閲覧できないのは有名だが、WSSを使用しない場合でも閲覧が出来ないサイトにはWSSを使用した時も同様にアクセスが出来ない。
2.イントラネット
WSSはDNSで名前解決できないサイトへのアクセスは出来ない。WSSに限った話ではないが、社外からイントラネットにあるサイトへアクセスする場合は、別途社内ネットワークへのアクセス手段が必要である。
3.その他
カテゴリでアクセスを拒否しているわけでもなく、ホワイトリストに追加しているが閲覧できないサイトも存在する。そのような場合はHarファイルやアクセスログなどを提供して、ベンダー側と調査をする必要がある。ちなみに、Broadcomのサポートは日本語対応している。
Broadcomも参加しているOCSF
SASEに注目された近年だが、2023年はOCSF(Open Cybersecurity Schema Framework)に力が入る年になるかもしれない。OCSFはセキュリティ製品のログ、データを標準化させる企みである。規格統一により複数ベンダのセキュリティ製品間の運用性とデータ関連付け作業を向上させ、エンジニアがセキュリティイベントの検出と対応に今まで以上に集中できるようになる。AWSから発表されたOCSFのプロジェクトチームには今回紹介したWSSを提供するBroadcomの名前もある。OCSFの発展、Broadcomの今後に期待したい。
BlackHat 2022において、複数の先進テクノロジー企業が合同で、サイバーセキュリティ情報共有のための新しいオープンデータ標準、Open Cybersecurity Schema Framework(OCSF)を発表しました。基本的にOCSFは、異なるセキュリティツールのデータを共有する共通の方法を提供します。これは大きな進歩です。OCSFプロジェクトはSplunkとAWSの提携から始まりましたが、この提携は、Broadcom Softwareの一部門であるシマンテックが開発したICDスキーマを基盤としています。
OCSF(Open Cybersecurity Schema Framework)の発表