はじめに

P2Pという言葉を耳にしたことはありますでしょうか。実は私たちが普段使うLINEなどもP2Pという仕組みが使われており、大変身近な仕組みです。しかしP2Pという仕組みは、セキュリティの観点からすると危ないという意見も多くあります。
今回はP2Pの仕組みについて、そしてISMSのルールを作る際にどういったルールを作成したらいいのかという話をしていきたいと思います。

P2Pとはなにか

P2Pとは、Peer to Peerの略称で、ファイル(データ)を共有することができる通信技術のことを指します。つまり、「AさんからBさんのパソコンにファイルを送ることができる技術」ということです。
ただ、このP2Pはファイル共有の仕方としては少し特別な通信方法になります。通常のファイル共有、「サーバー」というものを介しているのですが、サーバーを介さずに媒体同士(パソコンやスマートフォンなど)そのままでやり取りしているのがP2Pになります。
そのため、共有するスピードが早いということはメリットです。サーバーを介さないため、その時間分短縮してデータの共有ができるということは、イメージしやすいかと思います。
その一方デメリットもあって、共有が早い代わりにデータがそのまま共有されてしまうので、危険なファイルをそのまま受け取ってしまう可能性があります。

セキュリティ面からみると

セキュリティの観点からすると、「安全だとわかってから受け取れない」ということはリスクです。また、通常はやり取りしたファイルの情報がログとしてサーバー内に保存されますが、P2Pではそれがありません。
なにか確認したいことがあったとき、何のやりとりをいつしたのかなどが確認できないと、ウイルスが入ったときに原因を確認することができません。
ちなみに、Skypeは以前P2Pの形式をとっていましたが、Microsoftが買収して現在はクラウドベースのシステムに移行しているのが現状です。

ISMSのルール作りでは

ISMSでは、「A12.6.2ソフトウエアのインストールの制限」という管理策(リスクを解決するためのベストプラクティス集)があり、ソフトウエアのインストールには何かしらルールを設けましょうということが求められています。
このルールに関しては方法は自由で、使うことを禁止するソフトウエアを列挙する(ブラックリスト形式)方法もあれば、逆に使って良いソフトウエアを列挙する(ホワイトリスト形式)方法もあります。
ISMSで大切なのは、「自社内で決めたルールに則っているのか」という観点ですので、どのようなルールを決めるかは、主に情報システム部の判断によるケースが多いです。何かしら特別な理由があればP2Pを利用するルールを設けてもよさそうですが、「基本はP2Pを利用したサービスは使わない」と掲げておいて、例外があった場合は、管理者が対応するという仕組みを適用している場合が多いように思います。
「A.9.1.2ネットワーク及びネットワークサービスへのアクセス」も関係しますが、今回は「A12.6.2ソフトウエアのインストールの制限」について詳しく説明させて頂きました。)

おわりに

データ交換には様々な方法があります。
・データにアクセスできるURLを送付する
・ファイル便で送る
・メールに添付して送る
・P2Pで送る
それぞれの方法によって、メリットがありデメリットがあります。
メリットとデメリットをわかった上で、それぞれのサービスを使い分けることができたらいいですね。
今一度社内ルールを確かめてみてはいかがでしょうか。

P2Pって知ってる?メリット/デメリットやISMSでの考え方を解説!

カテゴリー: ISMS/ISO27001, ISMS文書

はじめに

P2Pという言葉を耳にしたことはありますでしょうか。実は私たちが普段使うLINEなどもP2Pという仕組みが使われており、大変身近な仕組みです。しかしP2Pという仕組みは、セキュリティの観点からすると危ないという意見も多くあります。
今回はP2Pの仕組みについて、そしてISMSのルールを作る際にどういったルールを作成したらいいのかという話をしていきたいと思います。

P2Pとはなにか

P2Pとは、Peer to Peerの略称で、ファイル(データ)を共有することができる通信技術のことを指します。つまり、「AさんからBさんのパソコンにファイルを送ることができる技術」ということです。
ただ、このP2Pはファイル共有の仕方としては少し特別な通信方法になります。通常のファイル共有、「サーバー」というものを介しているのですが、サーバーを介さずに媒体同士(パソコンやスマートフォンなど)そのままでやり取りしているのがP2Pになります。
そのため、共有するスピードが早いということはメリットです。サーバーを介さないため、その時間分短縮してデータの共有ができるということは、イメージしやすいかと思います。
その一方デメリットもあって、共有が早い代わりにデータがそのまま共有されてしまうので、危険なファイルをそのまま受け取ってしまう可能性があります。

セキュリティ面からみると

セキュリティの観点からすると、「安全だとわかってから受け取れない」ということはリスクです。また、通常はやり取りしたファイルの情報がログとしてサーバー内に保存されますが、P2Pではそれがありません。
なにか確認したいことがあったとき、何のやりとりをいつしたのかなどが確認できないと、ウイルスが入ったときに原因を確認することができません。
ちなみに、Skypeは以前P2Pの形式をとっていましたが、Microsoftが買収して現在はクラウドベースのシステムに移行しているのが現状です。

ISMSのルール作りでは

ISMSでは、「A12.6.2ソフトウエアのインストールの制限」という管理策(リスクを解決するためのベストプラクティス集)があり、ソフトウエアのインストールには何かしらルールを設けましょうということが求められています。
このルールに関しては方法は自由で、使うことを禁止するソフトウエアを列挙する(ブラックリスト形式)方法もあれば、逆に使って良いソフトウエアを列挙する(ホワイトリスト形式)方法もあります。
ISMSで大切なのは、「自社内で決めたルールに則っているのか」という観点ですので、どのようなルールを決めるかは、主に情報システム部の判断によるケースが多いです。何かしら特別な理由があればP2Pを利用するルールを設けてもよさそうですが、「基本はP2Pを利用したサービスは使わない」と掲げておいて、例外があった場合は、管理者が対応するという仕組みを適用している場合が多いように思います。
「A.9.1.2ネットワーク及びネットワークサービスへのアクセス」も関係しますが、今回は「A12.6.2ソフトウエアのインストールの制限」について詳しく説明させて頂きました。)

おわりに

データ交換には様々な方法があります。
・データにアクセスできるURLを送付する
・ファイル便で送る
・メールに添付して送る
・P2Pで送る
それぞれの方法によって、メリットがありデメリットがあります。
メリットとデメリットをわかった上で、それぞれのサービスを使い分けることができたらいいですね。
今一度社内ルールを確かめてみてはいかがでしょうか。
Author: 山岸 七海
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする