キーマンズネットでは、2012年7月18日(水)~7月25日(木)にかけて「企業におけるWebサイト閲覧の規制状況」に関するアンケートを実施した(有効回答数:595)。回答者の顔ぶれは、従業員のインターネット利用を管理する立場の人が全体の37.0%、主にユーザとして利用する立場の人が63.0%という構成比であった。

 今回、お聞きしたのは「社内のインターネット利用ポリシー」や「ツールによるWebサイト閲覧規制」、「閲覧対象のWebサイト」など、企業におけるWebサイト閲覧の規制状況を把握するための質問。その結果、大企業ほどWebサイト閲覧を規制する傾向にあり、2ちゃんねるやmixi、ニコニコ動画がその規制対象になっていることが分かった。

 なお、グラフ内で使用している合計値と合計欄の値が丸め誤差により一致しない場合があるので、事前にご了承いただきたい。

大企業ほど私用インターネットを“禁止”する傾向に、6割はポリシーを設定

 はじめに、企業内におけるインターネットの利用範囲について確認するために「業務利用」と「私的利用」に分けてインターネットが利用できるか否かを尋ねた。まず「業務利用」においては、「許可している」が92.2%、「許可していない」が1.2%、「とくに決めていない」が6.6%となった(図1-1)。ほとんどの企業が業務上必要であればインターネット利用が認められていることが改めて分かった。  続いて「私的利用」については、「許可している」が12.0%、「許可していない」が58.5%、「とくに決めていない」が29.6%となった(図1-2)。「許可していない」との回答を従業員規模で分けて見ると「100名以下」が29.0%、「101~1000名以下」が60.1%、「1001名以上」が81.6%と、従業員規模が大きいほどインターネットの私的利用を許可しない傾向にあるようだ。大企業ほど社員の統率を図るために、私的利用を許可しないと明言せざるを得ないのかもしれない。

 次に、インターネット上での禁止行為などを定義しているか否かを確かめるため、「インターネットの利用ポリシー」を設定しているか尋ねた。その結果、「ポリシーを設定している」との回答が61.5%だったのに対し、「ポリシーを設定していない」との回答が38.5%となった(図2)。「ポリシーを設定している」との回答を従業員規模で分けて見ると「100名以下」が28.6%、「101~1000名以下」が68.1%、「1001名以上」が82.3%と、従業員規模が大きいほどインターネットの利用ポリシーを設定していることが分かった。

図1 情報セキュリティ対策の運用方針

図2 インターネット利用のポリシー設定

全体の6割が従業員のインターネット利用をフィルタリング

 次に、UTMやURLフィルタリングなどのツールによってWebサイトの閲覧を制限しているかどうかを尋ねた。その結果、全体の63.2%が「閲覧・利用を制限しているWebサイトがある」と答え、残り36.8%が「閲覧・利用を制限しているWebサイトはない」となった(図3-1)。「閲覧・利用を制限しているWebサイトがある」とした企業の方が多いが、これを従業員規模で分けると「100名以下」が28.0%、「101~1000名以下」が66.8%、「1001名以上」が89.6%と、従業員規模が大きいほどツールによってWebサイトの閲覧を制限していることが分かった。

 実際どのようにしてWebサイトの閲覧を制限しているのかを確認するため、Webサイトの閲覧制限を「実施している」と答えた方を対象にWebサイト閲覧の制限方法を尋ねた。その結果、1位が「キーワード単位で制限している」で61.1%、2位が「ドメイン単位で制限している」で51.6%、3位が「SSL暗号化通信を制限している」で4.3%となった(図3-2)。ツールによってWebサイトの閲覧を制限している企業の半数以上が、「キーワード」や「ドメイン」を指定することによって不要Webサイトを規制しているようだ。  また、「その他」として「プロバイダのフィルタリングプロキシを利用」、「Webフィルタリングソフトの評価機能で制限」、「ベンダの指定で制限」など、第三者機関に任せているといったコメントが寄せられた。

図3 情報セキュリティ対策の運用方針

主な規制対象は“掲示板”や“SNS”、65%以上が“2ちゃんねる”を制限

 続いて、どのようなWebサイトが規制対象となるのかを確認するため、Webサイトの閲覧制限を「実施している」と答えた方を対象に、社内において閲覧できないWebサイトのジャンルを尋ねた。その結果、1位が「掲示板(2ちゃんねるなど)」で66.2%、2位が「SNS(mixiやFacebookなど)」で53.8%、3位が「Webメール」で45.9%となり、4位以降は「動画共有サイト(YouTubeなど)」、「ファイル共有サイト(宅ふぁいる便など)」、「ブログ」、「ショッピングモール(楽天市場やYahoo!ショッピングなど)」、「ソフトウェアダウンロードサイト(Vectorなど)」と続いた(図4-1)。

 これを従業員規模で見ると1位から5位までは規模が大きいほどポイントが高い状況が見受けられた。ここで取り上げているサイトは必ずしも業務に不要となるものではなく、場合によっては業務を助けたり会社の売上げを伸ばしてくれたりする可能性があり、企業規模が大きいほどエンドユーザは不便な思いをしているかもしれない。

 また、具体的にどんなWebサイトを制限しているのかを確認するために、閲覧できないWebサイトを尋ねた。その結果、1位が「2ちゃんねる」で65.0%、2位が「mixi」で53.2%、3位が「ニコニコ動画」で49.4%となり、4位以降は「YouTube」、「Facebook」、「Twitter」、「宅ふぁいる便」、「Gmail」、「Yahoo!オークション」と続いた(図4-2)。なお、「その他」としては「ギャンブル」や「犯罪」、「アダルト」といった公序良俗に反するものが取り上げられていた。

図4 社内において「閲覧できない」Webサイト

4割強が従業員のインターネット利用を“監視”、狙いは業務効率低下の予防か

 続いて、従業員のWebサイトの閲覧状況をモニタリング(監視)しているかどうか尋ねた。その結果、44.7%が「モニタリングしている」と回答し、「モニタリングしていない」が31.8%という結果となった(図5-1)。「モニタリングしている」との回答を従業員規模別で見ると、「100名以下」が20.8%だったのに対して「1001名以上」が60.4%と40ポイント近く差が開く結果であった。

 モニタリングしている企業が実際どんなものをモニタリングするのかを確認すべく、従業員のWebサイトの閲覧状況を「モニタリングしている」と答えた方を対象に、Webサイトの閲覧状況をモニタリングしている項目を尋ねた。その結果、1位は「閲覧先」で90.2%、2位は「閲覧回数」で50.8%、3位は「閲覧時間」で48.5%となった(図5-2)。

 そして実際にこのモニタリングログをどのように活用しているのかコメントを求めたところ「従業員が業務に関係のないサイトを閲覧していないか定期的に確認している」「社員への結果通知などを実施し、注意勧告を行う」といった業務効率低下を懸念した“予防対策”と、「なにかあった場合の追跡調査用」「問題があった際の調査用として保管」といったウイルス感染や情報漏洩を意識した“事後対策”の2種類のコメントが目立った。しかし中には、「業務利用/私的利用に関わらずインターネット利用が多い社員をリストアップし、社内の掲示板に掲載。その上で、私的利用と思われる社員には確認を実施の上、必要に応じて注意する」「従業員が悪質なサイトを閲覧していないか確認、悪質なサイトの場合はドメインをブロックする。本人には通知しないが、退職問題にまで発展しかねない」など勤務態度を評価する活用法も見受けられた。

図5 従業員のWebサイト閲覧状況のモニタリング

Webサイトの閲覧制限に従業員の4割近くが不満、「営業活動に支障が出る」との声も

 ここまでに企業においてWebサイト閲覧がどのような規制状況にあるのかを述べた。最後はこれらの規制に対して管理者、利用者それぞれがどのように感じているのかを確かめるべく、Webサイトの閲覧制限を「実施している」と答えた方を対象に、現在の閲覧制限について満足しているかどうかを尋ねた。  ここでは「従業員のインターネット利用を管理する立場」と「主にユーザとして利用する立場」で分けてその状況をお伝えする。

 管理者の場合は、「とても満足している」が5.7%、「まあ満足している」が54.9%、「やや不満がある」が32.8%、「とても不満がある」が6.6%となった。まとめると「満足」と回答した割合は60.7%、「不満」は39.3%となり、約6割が現状に満足していることが分かった。「満足」とした人からは、「業務上の利用で不都合がなく、一定レベルのセキュリティを確保できている」といったコメントが寄せられ、トラブルがない状態を評価している傾向にある。一方、「不満」とした人から「大きなくくりでしか制限できない」、「ジャンルやキーワードで縛ってしまうと、業務上必要なサイトの閲覧ができない」、「一定のラインで閲覧範囲を定めてしまうと、必要な情報までブロックされることがある」といったフィルタリングツールの機能に対する不満のコメントが多かった。

 続いてユーザの場合は、「とても満足している」が6.0%、「まあ満足している」が59.3%、「やや不満がある」が29.4%、「とても不満がある」が5.2%となった。まとめると「満足」と回答した割合は65.3%、「不満」は34.7%となり、管理者側とほぼ同じ結果となった。  「満足」とした人からは、「業務遂行上の支障がない」、「必要なサイトは閲覧できるし、必要ならサイト参照も申請にてOKになる」といった業務に支障がないことを評価するコメントが寄せられた。一方、「不満」とした人からは「営業活動に、支障が出る」「参考にしたいQAやブログが見られない」「レアな技術情報や実験結果などは個人ブログなどに掲載されていることが多く、それを閲覧禁止サイトとしてフィルタリングされるとネットで調べる醍醐味が半減する」といったコメントが寄せられ、業務に支障がでている状況も見受けられた。

図6 閲覧制限に関する満足度

【関連リンク】

ADC・ロードバランサの導入状況

HAクラスタリングソフトの導入状況

Web脆弱性診断サービスの導入状況(2013年)

グループウェアの導入状況

ネットワーク仮想化の導入状況

この記事はキーマンズネットで連載された過去記事を転載しています。