案件名                                           2008/03/05 配信
    −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
    インターネットへの接続を完全に規制したい
    −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
    患者名     匿名希望        担当医   Kazuna  先生
    −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

    ●患者問診より●

    いつも貴重な情報を提供いただきありがとうございます。

    【現在の具体的な状況】
    現在会社で業務効率を上げるために、有害サイトブロックソフトの「i-
    フィルタ」を導入しています。
    OSはVistaです。

    【抱えてる問題/困っている事】
    どうも社員が不正にレジストリ等を操作し、インターネットを業務以外
    で利用しているようで、スタートアップ用のレジストリの、不正に変更
    された回数のカウント数が異常に増えています。

    ※「regedit」や「msconfig」を起動して手動で変更、削除をしているよ
      うです。

    【何を聞きたいのか】
    出来るだけコストをかけずに不正利用を阻止したいのですが、どうすれ
    ば良いのでしょうか。

    あまりPCに詳しくないため、具体的な対策方法をご教授ください。
    どうぞよろしくお願い致します。



    ●担当医所見●     Kazuna  先生

    「i-フィルタ」といっても沢山の種類があるようです。

    企業や公官庁向け
    http://www.daj.jp/bs/

    教育機関向け
    http://www.daj.jp/es/ifac/

    個人向け
    http://www.daj.jp/cs/

    更には、

    企業向けライセンス販売（大規模オフィス向け）
    アライアンス製品（ISP等が一括で導入する製品）
    http://www.daj.jp/es/ifac/lineup/index.htm


    一応下記の4点をサポートに問い合わせてみましたが「正確な製品名を聞
    き出してください」と追い返されてしまいました。

    --------------------

    1.レジストリを変更する等で、フィルタを迂回されてしまうことはある
      のか。

    2.同ソフト導入時、ユーザの権限は何を推奨するのか。

    3.同様、権限つながりでサービス（デーモン）として動作しているのか。

    4.ズバリ、対処法等があれば教えて欲しい。

    --------------------

    さて、導入したフィルタリングソフトの詳細は不明ですが、図書館やネ
    ットカフェへの導入も進んでいるソフトです。

    もし「Home Basic」「Home Premium」等、Vistaの個人向けエディション
    をご使用であれば、完全に役不足だと思います。（例えば「有害コンテ
    ンツとしてhttp://www.gekiura.com/は接続禁止」程度にしか機能しませ
    ん）

    フィルタリングソフトにもよりますが、IPアドレス入力により迂回可能
    な製品も存在します。


    【対策】

    OSがVistaであれば、一般の利用者はユーザ権限で使用することが前提と
    されます。

    管理者権限である「Administrator」や「Adminsrators」に属するアカウ
    ントを渡してはいけません。

    Admin権限はコンピュータの管理者で最上位の特権ユーザです。
    つまり、何でも出来ます。

    安全上これを一般ユーザに引き下げるか、それでも制限が弱いなら、制
    限ユーザへと降格するべきです。

    Vistaに関しては触れる機会が少なく、あまり詳しくありませんが、歴代
    のWindowsやLinuxの世界でも、管理者権限をユーザに渡すことは通常行
    いません。


    各PCは個別に設置されたスタンドアローンとして動作・使用されている
    のでしょうか。

    ドメインに属していれば一括管理も可能ですが「Windows Server」製品
    が必要となります。
    これはコストが掛かってしまいますね。


    次に、Vistaのエディションが「Business」「Enterprise」「Ultimate」
    であれば、グループポリシーエディタを使ってポリシーを設定すること
    は出来ます。

    スタートメニューから「ファイル名を指定して実行」を選択し「gpedit.msc」
    と入力すれば開きます。

    ポリシーエディタが使えるなら、最低限下記の5つだけでも、一般ユーザ
    レベルから実行出来ないように設定しておきます。

    「regedit.exe」「regedt32.exe」「reg.exe」「msconfig.exe」
    「sysedit.exe」


    【検証】

    今後のためにも、どんな手法でフィルタを迂回されているのかを知って
    おきましょう。

    記録に残るとしたら「コンピュータの管理」から「イベントログ」を開
    き、動作履歴を読むことで手法が掴めるかも知れません。

    また、業務と無関係なサイトに接続しているのなら、通常使用されてい
    るブラウザを起動し、IE7の場合は左上部の星マークから「お気に入りセ
    ンタ」を開きます。（VistaならIE7が標準だと思います）

    この時点で膨大なお気に入りが存在すれば既に怪しいですが「お気に入
    りセンタ」上部のタブから「履歴」を開いてみます。

    日毎に分割されているので順に開きます。
    すると、明らかに業務とは無関係と思われるサイトが見つかるかもしれ
    ません。

    また、ここで履歴を右クリックし「プロパティ」を開くと、最終アクセ
    ス日時と過去に何度訪れか回数まで知ることが可能です。


    【まとめ】

    まずは、コンピュータを使用する者のユーザアカウントを管理者権限で
    はなく、一般ユーザか制限ユーザに降格します。

    また、可能ならポリシーエディタでユーザが出来ることを細かく制限し
    ます。

    ただ相手が管理者より上手なら、更なる別の穴を見つけ出し再発するか
    も知れません。
    「i-フィルタ」のサポートに的確な対策を教わるのも1つの方法です。

    また単に締めつけるのではなく、理解と協力を得るのが最も望ましい解
    決方法とも思います。


    ＜参考＞
    Vistaで進化するデスクトップの集中管理――WindowsのTCO削減方法
    http://www.itmedia.co.jp/enterprise/articles/0607/10/news007.html
    （IT-media エンタープライズ）