P2P の誤解：分散性とセキュリティレベル（3）

（前回からの続き）

■セキュリティの考え方の違い

ビジネスマンの方には、 システムの世界でのセキュリティの確保の仕方を、 オフィスのセキュリティ確保の仕方に例えると分かりやすいでしょう。

サーバー型のシステムでは、 とにかく怪しい人にはつながせないことに重点を置きます。 入口に鍵をかけ、ガードマンを置き、 社外の人を全く入らせないようにするように、 サーバー型のシステムでは、 ファイヤーウォールや利用時の認証でセキュリティを保っています。

その代わり入口を突破されると、 中は自由自在に行き来できるというのもよくある話です。 また、外から会社のデータを利用したいときには、 結局リモートアクセスのための裏口を設けることになり、 その裏口のセキュリティも考えなければならなくなります。

P2P 型のシステムでは、 逆にそれぞれの PC やユーザーが相手を確認するという点に重点が置かれます。 写真つきの ID カードを胸につけてオフィスの中を歩いているイメージです。 情報を交換する際にはお互いにこの ID カードを確認することで、 相手が情報を交換してもいい相手かどうかを判断することになります。

当然、ID カードが正しいかどうかが非常に重要なポイントになりますが、 この仕組みでは周りに不正な人間がいることを前提にしていますので、 ビルの中か外かという環境にはあまり影響されません。

そのため、異なるビルの人との情報交換、 システムでいうところのファイヤーウォールや企業の壁を超えた情報共有を実現しやすい仕組みになるのです。

■証明書の確実性と現状

そういう意味では、 ID カードにあたる、 個々の PC やユーザを確実に本人であると証明する仕組みが、 P2P 型システムでセキュリティを維持する際の生命線になります。

ID カードが簡単に偽造できたり改変できたりするものだと、 システム自体の信頼性が疑われてしまうわけです。 運転免許証やパスポートが簡単に偽造できる世の中を想像してください。

実際には、現在 P2P の代名詞ともなっている不正ファイル交換ソフトでは、 この仕組みは重きをおかれていません。 過去の匿名性のコラムでご紹介したように、 不正ファイル交換ソフトの違法行為を促進しているのが、 利用者の匿名性が守られるという点だからです。

匿名性を重視する仕組みにおいては、 当然個人が誰であるかを証明する必要はほとんどありません。 不正ファイルを取得してくる相手や渡す相手が誰であろうと気にしていないわけですから、個人を証明する仕組みは必要ないわけです。

不正ファイル交換ソフトによる著作権違反の取締りが厳しくなればなるほど、 不正ファイル交換ソフトは、 より匿名性を重視する方向に流れているのが現状です。

そういう意味で P2P では、 サーバー型よりセキュリティイメージが低いと捉えられるのも、 ある意味当然と言えます。　

そのため、現状では P2P におけるセキュリティを議論しようとすると、 どうしても不正ファイル交換ソフトの著作権違反の話が中心になってしまい、 正確なセキュリティの議論ができないことが多いようです。

ただ、一部のビジネスアプリケーションでの取り組みで行われているように、 P2P 型のシステムでセキュリティを確保することによって、 これまでサーバー型のシステムでは難しかった便利な使い方を実現できることが証明されてきています。

おそらくはインターネットや電子メールがそうであったように、 セキュリティ技術の進歩によって、 P2P 型のシステムも単純に選択肢の一つと捉えられる時代が来るのも、 そう先のことではないと思われます。

（執筆：徳力 基彦）