社内ネットワークでのp2pソフトの利用を制限したい

すでにいくつか同様の質問があったので可能な限り
そちらを参考にしました。

それらを踏まえての質問をさせてください。

質問は2つあります。
1)p2pソフトを利用されるリスクは、以下の3つ以外に存在するか？

1.1ルータの設定（port natによるポート解放)
1.2ルータの機能(UPnP)
1.3VPNを利用した上でP2Pソフトを使う

2) 上記3ケースのそれぞれについての対策

現状での私の認識が正しいかどうか

ということです。

現時点で以下のように考えております。
認識が間違っている場合、

1.1ルータの設定（port natによるポート解放)が必要なP2Pソフト

Winnyやshare(仮)はルータ、企業で言うところのFWでport natの設定が
必要なため、管理者がその設定をしない限り、Lan内のプライベートアドレス
端末から利用することは出来ない。→なので心配ない。

1.2ルータの機能(UPnP)

LimewireのP2PソフトはUPnP可能なルータの場合、Lan内のプライベートアドレス
端末からでも利用できてしまう。

→ルータでUPnPを禁止したりするなどの対策が必要。
メッセンジャー等多くのアプリケーションがUPnPを使っているので
それによるトレードオフを考慮する必要がある。


1.3VPNを利用した上でP2Pソフトを使う

これには
・インターネット側→社内の方向のvpn
・社内→インターネット側の方向のvpn

前者に関しては通常FW(もしくはルータ)の設定が必要となり
管理者以外は設定できないので割愛します。ここでは
後者を扱いたいと思っています。

対策としては社内から出て行く(outgoingの)vpnのポート
(ipsecやpptp)を制限する,または監視する、などがあると思います。

ただ、vpnのポートを自由に変えられるsoftetherの利用に関してはsoftether社が提供している監視ソフトが必要かもしれません。


以上です。企業でのp2p対策を考慮されている企業も多いと思います。
もちろん、高価なアプライアンスを導入するなどしてポートを監視すれば
対策できるかと思います。ただ、私自身はそのように予算をかけられる
立場ではないので、出来るだけ安価に対策を取りたいと考えております。

よろしくお願いします。

No.2 ベストアンサー 回答者： Toshi0230 回答日時： 2007/03/15 02:30

> 1)p2pソフトを利用されるリスクは、以下の3つ以外に存在するか？

「リスク」というより、防止する上でのキーポイントですね？
ご承知かもしれませんが、対策方法に行く前に「p2pソフトは使用禁止」というルールを作って周知しておいてください。

で、対策ですが、Windows 2003 以上のOSでActive Directory (AD)を組んでいる場合、ADを利用することもできるようです。（試したこと無いので伝聞形）
そのほかにPC内にインベントリツールなどが入っている場合、これらのツールを使ってP2Pソフトの検出や機動禁止を実施できるかもしれません。

> 1.1ルータの設定（port natによるポート解放)が必要なP2Pソフト
（中略）
> 端末から利用することは出来ない。→なので心配ない。

ダウト。Winnyは、ポートフォワードがされていない場合、ダウンロード専用モードで動作することが出来たはずです。
また、skypeの様にNATがあっても相互にデータを送受信できるp2pソフトもあります（skypeはファイル交換ソフトではありませんが）。

> 1.2ルータの機能(UPnP)
（中略）
> →ルータでUPnPを禁止したりするなどの対策が必要。

正解。
ただ、会社のネットワークでUPnPを利用する必要があるかどうか、個人的には疑問です。全面禁止でもあまり困らないと思います。

> 1.3VPNを利用した上でP2Pソフトを使う
（中略）
> (ipsecやpptp)を制限する,または監視する、などがあると思います。

正解ですが、最初の回答に書いたように、監視の目をネットワークだけでなくPCの方に向けても良いかと思います。

この回答へのお礼

ありがとうございます

各項目ごとに回答いただけたのでとても参考になりました。
1.1Winnyは、ポートフォワードがされていない場合、ダウンロード専用モードで動作することが出来たはずです
というのはポート0設定のことでしょうか。

確かに可能ですね。ポート0は時間がかかる、という情報で
自分の頭の中で”実用に耐えない→使えない”と勝手に判断して
しまっていました。リスクとしては依然残るので、考慮すべき
ですね。ありがとうございます。

インベントリツールというものも調べて、導入検討を
してみたいと思います。

お礼日時：2007/03/22 05:04

No.3 回答者： 123admin 回答日時： 2007/03/15 12:36

Ｐ２Ｐと言ってもSkypeやメッセンジャーなどを積極的に活用しているところもあるようですので・・・

多分WinnyやShareなどの事を指していると思いますのでこんなツールも配布されています。

ウィニーシールド
http://japan.ahnlab.com/download/index.asp

Ｖ３ウイルスブロックのベンダが配布している奴ですが、Antinnyなどが問題になった頃に、いち早く配布された始めました。
その後各社が同様のものを配布している筈です。

Winny対策サービス・製品
http://internet.watch.impress.co.jp/static/index …

但し、Winny禁止などは事前に文書などで連絡するなどしておかないと後からお偉いさんが使っていて恨まれるなんて笑えない話がある様です。
偉い人には何が安全で何が危険かなんて分からんのです。

この回答へのお礼

ありがとうございます。

p2pソフトと大雑把な書き方ですみません。
ご指摘のとおり、p2pファイル交換ソフトの意味で書きました。


技術的な対策以外に、No.2,No.3さま方のご指摘のとおり、
利用規定等で利用制限の明文化は必要ですね。
こちらも平行して実行していきたいと考えております。

お礼日時：2007/03/22 05:10

No.1 回答者： super-dog 回答日時： 2007/03/15 00:13

リンク先の様な物もあるらしいですね

参考URL：http://www.atmarkit.co.jp/fnetwork/rensai/netool …

この回答へのお礼

ありがとうございます

実行ファイル名、およびハッシュで実行自体を
ポリシーで制限するのをやってみようと思います。

お礼日時：2007/03/22 04:57