従業員が職場のWebフィルタを回避する方法(およびそれらを停止する方法)

webフィルタは、ネットワークを保護し、従業員や学生が不適切なコンテンツにアクセスするのを防ぐためのユビキタスなツールです。 驚くべきことに、Dtexの2019Insider Threat Intelligenceレポートによると、企業の95％が、企業のセキュリティプロトコルを回避する方法を積極的に模索している従業員を捕まえたことがわかりました。

この記事では、従業員がwebコンテンツフィルターポリシーをバイパスするために使用する方法を概説し、それらが発生しないようにするためのヒントを提供します。

ビジネス向けウェブフィルタリングソフト

特定のwebサイトへのアクセスからあなたの従業員をブロックする必要がありますか？ BrowseControl、CurrentWareのwebフィルタリングソフトウェアの無料トライアルで今日始める。

ウェブフィルタ

なぜWebフィルタをバイパスするのが問題なのですか？

• セキュリティ: ユーザーがwebフィルタリングポリシーをバイパスすると、悪意のあるwebサイトにつまずく機会を提供することによって、ネットワークの攻撃
• 生産性:管理者は、組織の生産性を向上させるために、ソーシャルメディア、ゲームサイト、およびその他の気が散るウェブサイトをブロックします。 積極的に離脱したユーザーは、時間を無駄にするためにこれらのプラットフォームにアクセスしようとする可能性があります。
• 良識:ウェブフィルタは、アダルト指向のコンテンツや不適切と判断される他のウェブサイトへのアクセスをブロックするために使用されます。 これには、ポルノ、憎しみ、またはその他の粗野なコンテンツをホストするドメインが含まれます。
• CIPAコンプライアンス:学校や図書館にとって、webフィルタはCIPAコンプライアンスを満たすための重要な要素です。 これらの組織は、電気通信、インターネットアクセス、およびブロードバンドサービスのためのEレートの資金を受け取るためにCIPA準拠を維持する必要があ

ユーザーに管理者権限を与えることは避けてください

管理者アカウントの量を減らすことは、強く推奨されるセキュリティ慣行です。 不要な管理者権限の拡散により、脅威のアクターが侵害された高権限アカウントを介してネットワークにアクセスできる可能性が高くなります。

webフィルタリングの観点から、ユーザーに制限された権限を与えると、不要なバイパスアプリケーション(プロキシなど)のダウンロードや、ネットワークのセキ

許容される使用ポリシーを確立する

会社のポリシーでは、セキュリティ対策を回避する試みを明示的に禁止する必要があります。 Acceptable use policy(AUP)は、職場で技術を使用するための明確なガイドラインを従業員に提供することにより、webフィルタリングソフトウェアを補完します。

AUPは、ユーザーが組織のセキュリティ制御を迂回しようとした場合の是正措置の先例を設定します。 そのような試みの証拠を発見したら、将来の回避の試みを説得するために、責任を負うユーザーに適時に対処する必要があります。

制限の少ないフィルタリングを使用する

より重要なのは、生産性やセキュリティですか？

気が散ると非生産的なウェブサイトは、多くの場合、職場でブロックされています。 ここに事があります：あなたの従業員が本当に仕事でFacebookを使用したい場合、彼らは方法を見つけるでしょう。

気が散るのを防ぐためにウェブフィルタを使用している場合、不満を抱いているユーザーは、セキュリティと良識の理由だけで使用された場合よりも、ウェブフィルタをバイパスする方がインセンティブを与えられます。

ネットワークとエンドポイントのセキュリティの観点から、ユーザーがソーシャルメディアにアクセスできるようにすることは、企業のwebフィルタリン

または、従業員や学生が指定された期間に気が散るコンテンツにアクセスできるように、休憩中に制限の少ないwebフィルタリングポリシーをスケジュー

それだけではありませんが、

あなたの従業員や学生があなたのwebフィルタを回避したい別の理由があります。 アクセスすべきではないコンテンツにアクセスしたいということだけがある場合もありますが、必ずしもそうではありません。 あなたの網フィルターは実際に正当な研究へのアクセスを妨げているかもしれない。

あなたのwebフィルタリングソリューションは、管理が容易である必要があります。 それはあなたが簡単に不当にブラックリストに登録されているwebサイトのブロックを解除することができますする必要があります。 ブロックされたwebサイトへのアクセスを簡単に提供できることは、ユーザーが危険なフィルタ回避技術を模索する誘惑を軽減します。

従業員がWebフィルタをバイパスする方法

1)DNS-Over-HTTPS

それは何ですか？

DNS-Over-HTTPS(DoH)は、DNSクエリを暗号化するプロトコルであり、訪問したURLをネットワークレベルのフィルタに対して検出できません。 DoHの意図は、Ispや他のプロバイダが利用できるデータを減らすことによってユーザーのプライバシーを高めることですが、DNSベースのwebフィルタを使用する企業

webフィルタをバイパスするための使用方法

IspからのDNSトラフィックを隠すのと同じ暗号化は、ネットワークレベルのwebフィルタがwebサイトを効果的にブロックするために必要な詳細も隠しています。

従業員と学生は、DoHをサポートするwebブラウザを使用して、ネットワークレベルのwebフィルタリングポリシーをバイパスできます。 Firefoxなどの一部のwebブラウザではデフォルトでDoHが有効になっているため、webフィルタを使用してフィッシング攻撃からネットワークを保護する組織

ソリューション

• エージェントベースのフィルタ: ネットワークレベルのDNSフィルタを使用するのではなく、ブラウザレベルでwebサイトをブロックするBrowseControlなどのエージェントベースのwebフィルタを使用し
• Canary Domain:FirefoxでDNSベースのwebフィルタを使用している企業は、canaryドメインを追加できますuse-application-dns.net デフォルトでDoHが使用されないようにするために、DNSフィルタに。 ユーザーが手動でDoHを有効にすると、DNS webフィルタをバイパスする機能が保持される可能性があります。
• ウェブブラウザをブロックする: アプリケーションブロッカーを使用して、ユーザーがDoHをサポートするブラウザーを起動しないようにします。 DoHをサポートするブラウザのリストは着実に成長しているため、これは長期的には実現できない可能性があります。
• Active Directory:Active Directoryのグループポリシーオブジェクトを使用してDoHを無効にする

2) Webおよびアプリケーションプロキシ

それは何ですか？

プロキシとは、ユーザーとインターネットの間のゲートウェイとして機能するwebサイトおよびアプリケー 企業は多くの場合、ファイアウォールやwebフィルタとして機能する独自の専用プロキシサーバーを使用しますが、従業員はサードパーティのプロキシを使用して内部コンテンツフィルタリング対策をバイパスすることもできます。

webフィルタをバイパスするために使用される方法

プロキシを使用して企業のwebフィルタを突破するには、三つの重要な方法があります:

1. ユーザーは、サードパーティプロキシを使用して、webフィルタからトラフィックを非表示にし、インターネットを自由に閲覧できます。 これらのプロキシは、多くの専用プロキシサイトのいずれかを介してアクセスできます。
2. ユーザーは、webブラウザの設定を変更して、会社で管理されていないプロキシサーバーにトラフィックを転送できます。
3. 彼らは自宅のUSBドライブに専用のプロキシプログラムをダウンロードし、これらのデバイスを学校や職場に持ち込むことができました。

解決策

プロキシの使用を効果的に防止するには、多面的なアプローチが必要です。 可能なすべての方法に対処するには、webフィルタリング、ユーザー許可の制限、USBアクセス制御、およびアプリケーションブロックを組み合わせる必要があ

• ウェブフィルタリング: プロキシカテゴリをカテゴリフィルタリングリストに追加して、既知のすべてのプロキシサイトをプロアクティブにブロックします。 新しいサイトが定期的に作成されているため、既知のプロキシウェブサイトやアプリケーションをコンテンツフィルタに手動で追加することは負
• 従業員の監視:ブロックされていないプロキシサイトを検索しようとしていることを示すクエリの従業員の検索エンジンの活動を監視します。 また、使用されているアプリケーションやネットワーク内で訪問したUrlを追跡し、従業員がブロックされていないプロキシサイトやアプリケー
• : Active Directory Preventのグループポリシーオブジェクトを使用して、ユーザーがブラウザー設定を変更できないようにします。 また、従業員がUSBデバイスを使用するのをブロックする必要があります–これが組織にとって制限が大きすぎる場合は、会社が提供するデバイスをホ

3) 仮想プライベートネットワーク

それは何ですか？

仮想プライベートネットワーク(VPN)は、二つのネットワーク間にプライベート暗号化されたネットワー これらのツールは、多くの場合、リモートワーカーに雇用主のネットワーク上でホストされているソフトウェ

WEBフィルタをバイパスするための使用方法

VPNは、ユーザーのネットワークトラフィックをマスキングすることによって、webフィルタをバイパスし、ファ これにより、訪問しているwebサイトを検出または解読することが困難になり、システム管理者は、フィルタリングポリシーを回避するのを防ぐために、VPN接続を完全にブロックするように強制されます。

解決策

• VPNポートをブロックする: 組織にVpnが必要ない場合は、Vpnを完全にブロックするだけです。 これを行うには、VPN接続をサポートするネットワークポートをブロックします。 使用される正確なポートはVPNによって異なり、最も一般的なポートは443（TCP）、500（UDP）、1194（TCP/UDP）、1701（TCP）、1723（TCP）、4500（UDP）、および10000（TCP/UDP）です。
• Vpn拡張機能をブロック:ユーザーがVPNブラウザプラグインをインストールできないようにします。
• アプリをブロックする:アプリブロッカーを使用して、ユーザーがアプリベースのVpnを使用できないようにブロックします。 また、従業員/学生アカウントの権限を制限して、管理者パスワードなしでソフトウェアをインストールできないようにすることもできます。

4) 携帯電話のデータをラップトップのWi-Fiホットスポットとして使用する

それは何ですか？

スマートフォンには”テザリング”と呼ばれる機能があり、携帯電話のモバイルデータを使用してプライベートWi-Fiホットスポットを作成できます。 このホットスポットは、別の携帯電話、タブレット、またはコンピュータをインターネットに接続するために使用できます。

webフィルタをバイパスするための使用方法

DNSフィルタまたはファイアウォールを使用してネットワークレベルでwebフィルタリングしている場合、従業員は自分の仕事用ラップトップをフィルタリングされたネットワークから切断し、携帯電話のプライベートWi-Fiホットスポットに接続することで、webフィルタをバイパスすることができます。

ソリューション

デバイスレベルでwebサイトをブロックするエージェントベースのwebフィルタは、この方法を使用してバイパスすることはできません。 ソフトウェアエージェントはwebフィルタリングポリシーをローカルにキャッシュし、従業員が外部ネットワークに接続している場合でも、最後の既知のブラッ

5) USBからのWebブラウザの起動

それは何ですか？

ユーザーは次のようなサービスを使用できますPortableApps.com usbフラッシュドライブにポータブルwebブラウザをインストールするには。 この方法は、ブラウザがウェブサイトを訪問したり、自分のコンピュータにプログラムをインストールすることなく、リムーバブルメディアデバイスから直接起動することができるように、他の方法よりも検出することがより困難です。

webフィルタをバイパスするための使用方法

これらのUSBベースのwebブラウザは、ネットワークのインターネットフィルタポリシーをバイパスするプロキ

• : BrowseControlのwebフィルタリング機能は、ポータブルwebブラウザ
• Usbをブロックする：USBデバイスをブロックするか、読み取り専用の権限をユーザーに提供します。 USBデバイスが重要な場合、管理者は承認されたデバイスの管理可能な選択をホワイトリストに登録できます。
• アプリのブロック:BrowseControl

などのアプリケーションブロックソフトウェアを使用して、従業員が自分のコンピュータ上でポータブルアプリを起動する Accesspatrol、CurrentWareのUSBデバイス制御ソフトウェアの無料トライアルで今日始めてください。

結論

Webフィルタは、従業員や学生がリスクの高い不適切なwebサイトにアクセスするのを防ぐための優れたツールです。 時間の経過とともに、技術に精通したユーザーは、ローカルのセキュリティポリシーをバイパスするための複雑で創造的な方法を発見しました。

この傾向から保護するためには、制限ベースのポリシーとコンピュータの監視および管理上の保護措置を組み合わせる必要があります。 ネットワーク管理者は、ユーザーがメインネットワークから離れているときにwebサイトのブラックリストを強制するエージェントベースのwebフィルタの使