P2Pのデータセキュリティリスクを理解する：ファイアウォールではなくポート80（1/2 ページ）

従業員がピアツーピアネットワークを利用することで、企業には予期せぬデータ流出リスクに直面する恐れがある。

[Brian Prince，eWEEK]

　ピアツーピア（P2P）型ファイル転送がデータ漏えいの原因になるケースが増えているが、IT部門はそのリスクを認識していないようだ。

　Ponemon Instituteが750人のITプロフェッショナルを対象として実施した調査によると、回答者の63％が自社ではP2Pアプリケーションの利用が禁じられていると答えた。だが、データ漏えいを防止するためにP2Pを監視していると答えたのは5％にすぎなかった。P2Pアプリケーションに関するポリシーを知らないという回答も26％に上った。この調査結果は4月14日の週に公表されたもの。

　この問題は、2007年にCitigroupのABN AMRO住宅ローングループの元従業員が、P2Pメッセージングネットワークを通じて5000人分の個人情報を流出させたことで注目を集めた。大手製薬会社のPfizerでも、P2Pアプリケーションの利用が原因で1万7000人分の個人データが流出するという事件があった。

　この調査のスポンサーで、P2Pネットワークの監視を行っているTiversaは4月初旬、ある企業の2498人の従業員のW-2フォーム（収入証明書）がその会社のネットワークから流出しているのを発見したという。問題のユーザーは、LimeWireを使ってGnutellaネットワークに接続していた。Tiversaのロバート・ボバックCEOによると、その会社にはP2Pの利用を禁じるポリシーがあったのだが、従業員がそれを無視したという。「P2Pネットワークの多くがファイアウォールを回避し、監視されたポートではなくポート80を利用するようになっていることも問題を厄介にしている」と同氏は指摘する。

　「調査の結果、P2Pの利用が集中するのは米国の業務時間帯であり、若者たちがファイルをダウンロードする夜間ではないことが分かった。P2Pユーザーの多くは、仕事中に職場の高速通信環境を利用する従業員だ」とボバック氏は指摘する。

　「セキュリティ対策を実施している多くの企業のIPレンジからファイルが流出している。これは、P2PがIT対策をすり抜けるのが非常に上手だからだ」

　また、P2Pを通じて入手するファイルは、正規のMP3ファイルのように装いながらも、実際にはトロイの木馬であったりする可能性もある。セキュアなファイル転送製品のベンダーであるAccellionのマーケティング担当副社長、ポーラ・スココウスキー氏によると、P2Pファイル共有を通じて送信されるスパイウェアやウイルスは、非常に急速かつ広範にユーザーの間に拡散するという。