ウィニーの対策ってどうする? 〜企業編
2008年になっても、P2PソフトのWinnyによる情報漏洩の事件は絶えないですね。
企業にとって、機密情報が社員がインストールしてしまったウィニーによって流出してしまうことは非常に大きな痛手なので、Winny対策を考え、導入している企業は多くなってきています。
大企業に取っては企業イメージ、ブランドイメージが大幅にダウンしますし、中小企業では信用を失って倒産してしまう可能性だってあります。
今まで何回かWinnyについては取り上げていますが、今回は企業において、Winny対策をどうやるか?について徹底的に考えて見たいと思います。
対策(1)「ネットワークの入り口でブロックする」
Winnyが開発された当初は通信が暗号化されているため、Winny通信をブロックすることは難しいと言われてきましたが、今ではセキュリティ対策製品側の技術も進化して、Winny通信を見つけて、止めることは難しいことではなくなっています。
いくつかのファイアウォール製品では、Winny特有の通信パターンを特定し、Winnyの通信かどうかを見極めた上でブロックすることができます。
こういった製品を企業のゲートウェイ(ネットワークの入り口)に置くことで、対策を行うことができますね。
また、URLフィルタの機能を利用して、Winnyの配布サイトへのWebアクセス自体を防ぐという方法も有効です。
対策(2)「クライアント側で対策する」
クライアント(PC)側での対策には、アンチウイルス、スパイウェア対策のソフトを利用する方法が効果的です。
アンチウイルスソフトによって、Winny経由で侵入してきたウイルスによる感染を防ぐ、というのが主な目的ですが、ソフトの中にはWinnyのファイル自体をウイルスとして発見してくれるソフトもあります。
Winny自体はウイルスではないので、それを削除するのはどうかという意見もありますが、結局Winnyを企業で使うっていうのがおかしな話だと思います(^^;
企業では不要なソフトであるのは明白ですので、Winnyを問答無用で駆除するというのも効果的な方法でしょう。
対策(3)「セキュリティポリシーによる規制」
セキュリティ製品で対策したとしても、社員がパソコンを外に持ち出してWinnyを利用したり、中にはアンチウイルスソフトを無効化する輩もいるかもしれませんよね。
こういうのを防ぐのは正直相当難しいんですが、ここは企業でのセキュリティポリシーを明文化して、社員を教育する他はないと思います。
例えば、ノートPCの持ち出しや、重要ファイルを社外に持ち出すことを禁止したり、会社のパソコン上で、WinnyなどのP2Pソフトをインストールすることを禁止するポリシーを徹底します。
そして、これらを破った社員は懲戒処分を与えるということを、社内でアナウンスするだけでも、社員の意識はかなり変わります。
企業のウィニー対策は、最終的には人に対する教育をどうするか、という部分が一番重要かもしれませんね。
