プロキシのログ分析

プロキシサーバを設置したらログが残る。これを分析するソフトがネットにあったので走らせてみた。

個人別のバイト数を調べると、特定の個人が多かった。通信先を調べると勤務時間中にYouTubeに接続しているものや、ゴルフのレッスン動画を見ているものがいた。現場詰所で一人になる職場や、小人数でかつ出払ってしまうことが多い職場、個室を持っている幹部などがそういう誘惑にとらわれるようである。人間は弱いものらしい。

動画を見なくてもバイト数の多い人もある。個人別・時間別にネット使用状況をグラフ化して、朝早く来てネットサーフィングをしていることがわかっている社員と比較すると、勤務時間中にネットサーフィングしているものも見つかる。接続先も分かるのだから、仕事でないことは明らかである。

ネット接続も有効に使えば仕事に役立つが、不心得者がいて会社の損失を招いている。いったん許したネット接続をできなくするのは大変だし、そういうことをすれば職場が暗くなる、という人も出てくる。そんなことを言っている場合だろうか。

beatを使ったウェブアクセス制限

富士ゼロックス社のbeatという装置がある。この装置はさまざまな機能があるが、勤務先が使ったのはコンテンツフィルタリング機能。メールプロキシ機能を使うとメールアドレス数に応じた月額費用が掛かるので、費用節減のためにメール用には別のファイアウォールを作ることにした（メールサーバは外部のレンタルサーバを使っていた）。

LAN のデフォルトゲートウェイはメール専用として別にファイアウォールを作り、beat はウェブアクセス専用とした。メール用のファイアウォールはウェブアクセスを禁止し、ウェブアクセスはまず社内に設けたプロキシ経由したのち beat を経由してネットに接続することにしたわけである。

アクセス制限の設定は随分簡単になった。カテゴリー別に「セックス」「ヌード」「暴力」「出会い」「Webメール」「ストリーミング」「オークション」などを禁止するわけだが、「エンターテイメント」や「スポーツ」などは社内からの抵抗が大きく結局制限できなかった。

有害サイトアクセス制限

これは2004年頃の話であったと思う。

有害サイトに対するアクセスを制限するのに、KDDI が当時無料で提供していた有害サイト接続禁止用のプロキシサーバを利用することにした。このサービスは KDDI をプロバイダとしている場合だけ接続できるようになっていたので、あらたにプロバイダ契約を結んで利用したものである。

そして、このプロキシの使用を強制するために、社内からウェブへの直接接続をファイアウォールで禁止し、社内に設けたプロキシを経由することとし、社内プロキシサーバはKDDIが提供する社外の有害サイト閲覧防止用プロキシサーバを経由してネットに接続することにした。つまり、

IE → Proxomitron → 社内プロキシサーバ → KDDIプロキシサーバ → 目的のウェブサイト

としたわけである。

この KDDI のプロキシの有害サイト判定はカスタマイズできるようにはなっていなかった。防衛庁も有害サイトになっていたので、防衛庁担当の営業部員からクレームがあり、防衛庁については社内プロキシから直接（KDDI プロキシを経由せずに）接続できるようにした。また、ウェブメールへの接続禁止は社内プロキシの設定で行う必要があったなど、結構複雑な設定になってしまった。