ここでは、インターネット利用環境を運用する上での脅威に対する技術的なセキュリティ対策を説明する（図表6）。ここに登場するセキュリティ対策は、リスクに応じて導入することが望ましい。

プロキシサーバーのログ収集機能を活用すれば、従業員によるインターネットの業務外利用を抑止することができる。
先に述べたとおり、社内ネットワークとインターネットとの間の通信はすべてプロキシサーバーを通過するため、プロキシサーバーのログを収集すれば、すべての利用者のインターネット利用状況を把握することができる。ログには、接続元のIPアドレスや接続先のURL、時刻などが記録される。接続先のURLをチェックすれば業務外利用によるアクセスかどうかを判断することができる。
ログ収集を行っていることを周知するだけでも、インターネットの業務外利用を牽制することができる。

Webサイトを閲覧することによるウイルス感染を防ぐため、クライアントPCにウイルス対策ソフトを導入することが望ましい。しかし、業務上の制約等によりウイルス対策ソフトを導入できないクライアントPCがあったり、一部の従業員がウイルス対策ソフトの機能を勝手に無効にしたりすることがありうる。そのような場合に備え、システム側で利用者がアクセスしたコンテンツをウイルススキャンするアンチウイルスゲートウェイを導入することが有効である。アンチウイルスゲートウェイを導入することにより、利用者がアクセスするコンテンツを監視し、ゲートウェイ上でウイルスやスパイウェアを遮断することができる。

アンチウイルスゲートウェイを導入するには、プロキシサーバーとして単独で動作するもの、あるいは既存のプロキシサーバーにアドオンして動作するアンチウイルスゲートウェイソフトを導入すればよい。図表7にアンチウイルスゲートウェイを導入する場合の設置例を示す。コンテンツにウイルスあるいはスパイウェアが含まれていることが検出された場合、ウイルスの破棄や隔離、利用者への警告画面を表示するなどの動作を設定することができる。主要なアンチウイルスゲートウェイサーバーと特徴を図表8に示す。

インターネット利用における不正プログラムのダウンロードを防止するには、不正プログラムがダウンロードされる可能性が高い、信頼できないWebサイトへアクセスさせないことが重要である。また、掲示板やWebメールの利用を防止することも重要である。このためにはコンテンツフィルタ（またはWebフィルタと呼ぶ）を導入する。
   コンテンツフィルタは、WebページのURLやWebページに含まれる単語などでフィルタリングして閲覧を制限する。たとえば、コンテンツフィルタに有害サイトのURLや有害なキーワードなどを登録しておけば、登録に該当するWebサイトへのアクセスを禁止することができる。
   コンテンツフィルタを導入するには、プロキシサーバーとして単独で動作するもの、あるいは既存のプロキシサーバーにアドオンして動作するコンテンツフィルタソフトを導入すればよい。図表9にコンテンツフィルタを導入する場合の設置例を示す。

コンテンツフィルタソフトを導入する際には、フィルタリングルールの設定に注意する必要がある。フィルタリングルールはURL別にいくつかのカテゴリに分けられている。カテゴリとしては、違法行為、薬物、反社会的、アダルト、ハッカー、出会い、金融、ギャンブル、ゲーム、ショッピング、Webメールなど数十種類ある。コンテンツフィルタのベンダと製品保守契約を結ぶと、最新のカテゴリ情報が、ベンダから定期的に送られてくる。個々のURLに対してフィルタリングルールを設定する場合もあるが、主にこれらのカテゴリに対してアクセスの許可あるいは拒否の権限を与える。すべてのカテゴリに対してアクセスを拒否するようにしてからアクセスを許可するカテゴリを設定する方法が一般的であり、設定ミスを少なくすることができる。
   ただし、フィルタリングルールを厳しくすると従業員の業務に必要なサイトへのアクセスまで制限してしまう可能性がある。業種によって制限するWebサイトが異なってくるため、十分に調査した上で設定する必要がある。

クライアントのIPアドレスが固定の場合はIPアドレスからアクセスした者が分かる場合もある。しかし、他の利用者がそのIPアドレスを使用する可能性がある場合や、IPアドレスをDHCPで割り当てている場合には、IPアドレスからアクセスした者を特定することはほぼ不可能である。
プロキシサーバーで収集したログから利用者を特定できるようにするためにプロキシ認証を導入する。プロキシサーバーで利用者認証を行うことにより、アクセスした利用者を特定することができるようになる。
プロキシサーバーには利用者認証の機能を備えたものがある。プロキシ認証では、プロキシサーバーに利用者のアカウントを開設し、利用者ごとにユーザーIDとパスワードを登録する。利用者は、認証を通らないとインターネット上のWebサイトにアクセスすることができない。利用者認証を行うことにより、プロキシサーバーのログには、アクセスした利用者のユーザーIDに対応してアクセス先のWebサイトのURL、アクセス時刻やダウンロードしたデータ量を記録することができる。
このようなログを収集できるため、不適切なWebサイトにアクセスするなどインターネットの業務外利用を行った利用者を特定することができる。
また、掲示板やブログのコメントなどでの不適切な書き込み、発言などによる他者からのクレームに対応するためにも、ログを収集して、アクセスした者を調査できるようにしておく必要がある。

インターネットの利用によりクライアントPCへのウイルス感染を防ぐため、ウイルス対策ソフトを導入することが有効である。以下、ウイルス対策ソフトの基本的な動作に関する考慮事項について述べる。

ウイルス対策ソフトがウイルスをチェックするタイミングには、主に次の2つがある。

ウイルスに感染しているファイルが見つかった場合は、ウイルスを駆除あるいは隔離することで、クライアントPCやサーバーのセキュリティを保つことができる。ウイルス対策ソフトは、日々新しく生まれる様々なウイルスに対応するために、最新のパターンファイルをネットワーク経由で定期的に取得し更新することで、新種のウイルスにも対応することができる。

ウイルス対策ソフトでウイルスを検出する方法は主に次の2つがある。

図表11に、パターンマッチングとヒューリスティック・スキャンの比較を示す。

ゲートウェイやプロキシサーバーでの、インターネットへのアクセスの制限や不正なファイルのダウンロードの防止を行うだけでなく、各クライアントPCにおいて不正プログラムの実行を防止することが望まれる。

一般的なブラウザでは、モバイルコードのダウンロードや実行を禁止したり、警告を表示して利用者が了解してからダウンロードや実行する設定や、そもそもファイルのダウンロードを禁止する設定が行えるようになっている。利用者に促して、各自のクライアントPCのブラウザを安全な設定にさせることが必要である。
一般的に、ActiveXコントロール、Javaアプレット、スクリプトのそれぞれについて、次のような設定を選択できる。。

• 受信しようとする時に警告メッセージを表示し、利用者が同意した場合に実行する（ダイアログを表示する）
• 実行を完全に禁止する（無効にする）
• 利用者の確認なしに実行する（有効にする）

なお、ActiveXコントロールには、安全性を担保するために、プログラム作成者の署名（AUTHENTICODE署名）を埋め込むようになっている。署名が付いているものがそのまま信頼できるわけではなく、信頼できるサイトにより署名されていることが重要である。ブラウザで、ActiveXコントロールの実行について警告メッセージの表示の設定（ダイアログを表示する）にしておけば、警告メッセージとともに署名の有無を通知してくれる。