【解説】
投資会社のデータ流出で浮き彫りになった、P2Pソフトの“危険度”と企業の“鈍感力”

「サイバー犯罪者にとってP2Pネットワーク上の情報は“ネタ”の宝庫」と専門家は警鐘

（2008年07月11日）

企業はP2Pソフトウェアの脅威に鈍感

　P2Pソフトウェアによる企業のデータ流出事件は、過去何回も発生している。

　例えば、昨年には米国の製薬会社Pfizerが、自社の従業員約1万7,000人分の個人情報を流出させてしまった。原因は同社のある従業員が、許可されていないP2Pソフトウェアを会社から支給されたノートPCにインストールしたためだ。また、昨年開催された米国上院のある公聴会では、政府や軍の機密文書や企業データが、P2Pネットワークで大量に公開されているという証言が行われた。

　しかし、そうした事例が次々と報じられたり、数年前からP2Pネットワークの危険性が指摘されていたりしているにもかかわらず、ファイル共有ソフトウェアが自社のデータにもたらす脅威を認識している企業は、驚くほど少ない。

　Gormley氏は、「多くの企業は、P2Pネットワークについての認識が足りない。P2Pによるデータ流出を防止する必要性もその手段も知らないのが現状だ。ほとんどの企業は社内のノートPCをはじめ、契約業者、サービス・プロバイダー、ビジネス・パートナーなどのシステムを通じて、どれだけの機密データが（セキュリティが保証されている）ネットワークの境界を越えて持ち出されているかを把握していない」と指摘する。

　さらにGormley氏は、問題を一段と深刻化させている要因として、サイバー犯罪者がフィッシング詐欺などを行うために、P2Pネットワークを活用して情報収集を行っていることを挙げた。

　同氏によると、Googleの1日の検索件数は約2億件（米国のみ）だが、P2Pネットワークでは1日に平均約15億件の検索が行われているという。「この数字は、不正な目的で行われる検索が増えていることを意味する」（Gormley氏）。

　なおTiversaでは、P2Pネットワークで情報を集めて不正に利用したり、犯罪者に売却したりしているデータ収集業者の存在を確認しているという。

　データベース・セキュリティ・ソフトウェア・ベンダーの米国Guardiumで副社長を務めるフィル・ニレイ（Phil Neray）氏は、「P2Pによるデータ流出を防ぐうえで重要なのは、適切な管理対策だけでなく、それらをポリシーで強制することだ」と語り、以下のような対策を講じるべきだとアドバイスする。

　「従業員にP2Pソフトウェアの利用を禁止することは、現実的に難しい。このため、企業は自社のネットワーク上でやり取りされるコンテンツの監視とフィルタリングを行い、機密データの流出防止を図ることに重点を置くべきだ」

(Computerworld.jp)

前のページへ < ｜1｜2｜