記事登録
2008年07月11日(金) 18時25分

投資会社のデータ流出で浮き彫りになった、P2Pソフトの“危険度”と企業の“鈍感力”Computerworld.jp

 ピア・ツー・ピア(P2P)ファイル共有ソフトウェアの危険性は、数年前から指摘されている。実際、同ソフトウェアによる企業の情報流出事件は、過去何回も発生している。しかし、多くの企業は同ソフトウェアの脅威に対して鈍感だ。本稿では最近発生したP2Pソフトによる情報流出事件を基に、今後企業が行うべき対策を、専門家の指摘を中心に紹介する。

【関連画像を含む詳細記事】

■約2,000人の顧客情報がネットワークに流出

 米国の投資会社Wagner Resourceは最近、P2Pファイル共有ソフトウェアを企業コンピュータにインストールするのは、まちがいの元であることを痛感しただろう。

 7月9日付のワシントン・ポスト紙によると、Wagnerは先週、同社の約2,000人の顧客に対し、彼らの氏名、社会保障番号、生年月日がP2Pネットワークに流出した可能性があると報告したという。この中には、米国最高裁判事のスティーブン・ブレイヤー(Stephen Breyer)氏の情報も含まれていたとされる。

 この事件は、Wagnerのある従業員が昨年、会社から支給されたPCに、P2Pファイル共有ソフトウェアの「LimeWire」をインストールしたことに端を発している。同紙によると、その従業員は、LimeWireユーザーと音楽などのメディア・ファイルを共有していたが、同時にその従業員のコンピュータのすべての内容を、LimeWireネットワークのほかのユーザーにさらしてしまっていたという。

 P2Pネットワーク監視会社の米国TiversaでCOOを務めるクリストファー・ゴームリー(Christopher Gormley)氏は、「Wagnerで発生したようなデータ流出は、従業員が仕事用コンピュータにP2Pソフトウェアをインストールすることで、企業が直面する危険を浮き彫りにしている」と語った。なお、Wagnerは今回のデータ流出を受け、Tiversaにネットワーク監視を依頼したという。

 LimeWireや「Kazaa」などのP2Pソフトウェアは、ユーザー同士がメディア・ファイルを簡単に共有したり、お互いのコンピュータ上にあるファイルを検索したりできるように設計されている。だが、ユーザーの注意が足りないと、ユーザーがほかのユーザーと共有したいメディア・ファイルだけでなく、コンピュータ上のほとんどの内容を公開してしまうおそれがある。

■企業はP2Pソフトウェアの脅威に鈍感

 P2Pソフトウェアによる企業のデータ流出事件は、過去何回も発生している。

 例えば、昨年には米国の製薬会社Pfizerが、自社の従業員約1万7,000人分の個人情報を流出させてしまった。原因は同社のある従業員が、許可されていないP2Pソフトウェアを会社から支給されたノートPCにインストールしたためだ。

 しかし、そうした事例が次々と報じられたり、数年前からP2Pネットワークの危険性が指摘されていたりしているにもかかわらず、ファイル共有ソフトウェアが自社のデータにもたらす脅威を認識している企業は、驚くほど少ない。

 Gormley氏は、「多くの企業は、P2Pネットワークについての認識が足りない。P2Pによるデータ流出を防止する必要性もその手段も知らないのが現状だ。ほとんどの企業は社内のノートPCをはじめ、契約業者、サービス・プロバイダー、ビジネス・パートナーなどのシステムを通じて、どれだけの機密データが(セキュリティが保証されている)ネットワークの境界を越えて持ち出されているかを把握していない」と指摘する。

 さらにGormley氏は、問題を一段と深刻化させている要因として、サイバー犯罪者がフィッシング詐欺などを行うために、P2Pネットワークを活用して情報収集を行っていることを挙げた。

 なおTiversaでは、P2Pネットワークで情報を集めて不正に利用したり、犯罪者に売却したりしているデータ収集業者の存在を確認しているという。

 データベース・セキュリティ・ソフトウェア・ベンダーの米国Guardiumで副社長を務めるフィル・ニレイ(Phil Neray)氏は、「P2Pによるデータ流出を防ぐうえで重要なのは、適切な管理対策だけでなく、それらをポリシーで強制することだ」と語り、以下のような対策を講じるべきだとアドバイスする。

 「従業員にP2Pソフトウェアの利用を禁止することは、現実的に難しい。このため、企業は自社のネットワーク上でやり取りされるコンテンツの監視とフィルタリングを行い、機密データの流出防止を図ることに重点を置くべきだ」

(Jaikumar Vijayan/Computerworld米国版)

■関連記事
[解説]情報漏洩に備える——ダメージを抑えるための心得7カ条
「FCCはComcastのP2Pトラフィック管理を許可すべし」——市民権連合が声明
小売り大手ハナフォードのカード情報流出事件、原因はサーバにマルウェア
小売大手のTJX、クレジット情報流出問題でカード会社に和解案を提示
ファイザーで今年4回目の情報漏洩——取引企業が従業員の配偶者データを非暗号化通信

http://headlines.yahoo.co.jp/hl?a=20080711-00000003-cwj-secu

最新のニュース記事一覧
お問い合わせ