重要なビジネスデータや個人データをしっかり保護するためには、ファイル転送システムとデータ共有システムを見直す必要があります。見過ごされがちですが、古い FTP サーバーや管理が行き届いていない FTP サーバーは、サイバー攻撃に対して脆弱である可能性があります。
ファイルを外部に転送したり、外部との間でファイル共有したりする必要性は、インターネットの初期の時代からありました。その必要性に対処するために、しばしば FTP(File Transfer Protocol、ファイル転送プロトコル)サーバーが導入されました。組織内の複数の部門がそれぞれ異なるハードウェア・プラットフォーム上に独自の FTP サーバーを導入するというのがよくあるケースでした。また、自動化する必要があれば、やはり独自にさまざまなスクリプトを使用しました。
ここ数年、セキュリティへの関心が高まってきて、複数の FTP サーバーの混在がリスクを引き起こす可能性があるという認識が広がっています。パスワード保護が最小限である「匿名」モードを使っても大丈夫だろうとの安易な考えから、セキュリティレベルの低い FTP サーバーが散在しています。あるいは、当初の管理者やスクリプト作成者がいなくなって、FTP サーバーを適切に管理するためにはどうすればいいのかのノウハウがわからなくなることもあります。導入したネットワーク監視システムの検出プロセスによって、その存在すら知らなかった FTP サーバーが発見されたという会社さえあります。
今日のサイバー脅威環境は、以前とは大きく異なります。サイバー犯罪者によるセキュリティ脅威がより洗練されたものになり、企業もより高度化されたITセキュリティ対策に取り組む、といういたちごっこが際限なく続いています。サイバー犯罪者は、ネットワーク・インフラストラクチャやエンドユーザーのマシンにまんまと侵入して、知的財産と膨大な量のデータを盗み続けています。サイバー犯罪の標的は、中小企業や地方政府機関からグローバル企業までさまざまです。サイバー攻撃のニュースは日常茶飯事ですが、毎週のように有名な会社が被害にあっています。
同時に、現在の情報社会においては、ほとんどの組織が、外部組織との間でデータを共有する必要があります。共有されるデータは、多くの場合、所有権のあるものであり、業務上重要であり、HIPAA、GDPR、PCI などの業界や行政機関の規制で保護を義務付けられています。データ・セキュリティはすべてのIT部門にとって最重要事項ですが、特に注目すべきはファイル転送・共有ソリューションです。
初期の FTP – よく使われるプロトコルではあるものの、懸念含み
FTP サーバーは、ファイルを転送するために、長年にわたって一般的に使用されてきました。かつて FTP プロトコルは業務データを移動するための最も簡単な方法だと考えられていました。全企業の約80%で使用されてきたと推定する調査もあります。しかし、保護する義務のあるデータを共有しなければならない組織は、複数の異なる FTP サーバーを使用している場合、どの程度IT環境を保護し管理できるのかに不安を感じ始めています。コンプライアンス監査会社は、こうした環境に対して合格を与えない場合が多く、アメリカの FBI は、FTP サーバーが抱えるリスクを周知するための PIN(Private Industry Notification)警告を出しました。
HIPAA、PCI、FINRA、FDA、SOX、など、厳しい業界規制によって保護を義務付けられているデータを日常的に取り扱う組織が、管理されていない、または安全でない FTP サーバーを使っている場合、重大な罰金が科される可能性もあります。すべてのデータ侵害の約65%がユーザーから発生しています。これらのケースの大部分は、機密データの取り扱いが適正でなかったり、機密データが FTP サーバーのファイル・ディレクトリやコンシューマー・グレードのファイル共有サービスのような認可されていない場所に格納されたり、といった、不慮のエラーや不適切な判断によるものです。
今日、ほとんどの FTP サーバーは SFTP プロトコルを実装していますが、インターネット上には保護されていない FTP サーバーがまだ多数存在します。サイバー犯罪者にとって、保護されていない FTP サーバーは、しばしばネットワーク内の他のサーバーからアクセス可能であり、「コマンドとコントロール」のプラットフォームとして理想的です。有名なターゲット社のデータ漏洩事件で盗まれたデータは、セキュリティオペレーションセンター(SOC)に察知されないよう、管理されていない FTP サーバーを使って一度に少量ずつデータを送信することによって引き出されました。
FTP から SFTP への移行
SFTP(Secure File Transfer Protocol)は、安全な FTP 実装を提供する必要性から生まれました。SSH(Secure Shell)を使用して、認証とメッセージの両方のトラフィックを含む FTP サーバーとクライアント間の通信の暗号化を提供します。SSL(Secure Sockets Layer)を実装したファイル転送セキュリティに対応する FTPS も登場しましたが、SFTP ほどには普及していません。SSH の方は、Microsoft Windows を最も顕著な例外として、ほとんどのオペレーティングシステムのデフォルトとして採用されるようになりました。したがって、IT標準化は FTPS(SSL)を使用するよりも SFTP(SSH)を使用する方が達成が容易です。
SSH は、SCP(Secure Copy Protocol、以前の RCP(Remote Copy Protocol)に基づく)を使って、ネットワーク上のホスト間のファイル転送をサポートします。典型的な操作としては、SFTP クライアントが、SSH 接続を開いて、転送を可能にするため SCP セッションを開くようにサーバーにリクエストします。SSH には強力な認証機能があり、サイバー犯罪者による傍受のリスクを軽減するために暗号化通信を提供します。
SFTP はファイル転送とそれに関連する管理ネットワークトラフィックを暗号化するため、オープンネットワークを介した送信中にデータの傍受や改ざんから保護することが可能で、外部との間の転送のセキュリティを強化します。
SFTP では不十分で MFT が必要な場合も
一日あるいは一週間に発生する転送量がそれほど多くなく、価値の高いデータや規制に準拠すべきデータが含まれていない場合は、SFTP サーバーは安全な方法です。一方、大量のファイル転送が必要だったり、業務上重要なファイルを転送する必要があったり、HIPAA、GDPR、PCI などのデータ保護関連法で規制されているデータを転送する場合は、MFT(マネージド・ファイル・トランスファー)への移行を検討する必要があります。
MFT ソリューションは、SFTP や HTTPS などのさまざまなセキュアな転送方法を可能にし、異種の SFTP サーバーよりも強力なセキュリティと管理アーキテクチャを提供します。次の3つの基準、1) 毎日あるいは毎週、大容量の転送が必要、2) 必要になときに転送できなければビジネスに悪影響が出る、3) 転送するデータは、誰かの所有物であり、個人データであるか遵守する必要がある規制を受ける、のうち、2つが当てはまれば MFT への移行を考えるべきでしょう。MFT は、重要なデータの信頼性の高い安全な転送を保証する機能を提供します。MFT の重要な機能やメリットを列挙します。
- ファイル転送アクティビティをリアルタイムでチェックし、ユーザーアクセスとアクセス許可をコントロール:インターネット接続されたサーバーをリモートで管理できます。ファイルのアップロード、ダウンロード、削除、名称変更、ディレクトリ作成に関して、ユーザーまたはグループにアクセス権を割り当てることができます。
- データ・セキュリティのための転送中・保存中の暗号化:高度なセキュリティ機能には、256ビット AES 暗号化、セキュア・コピー(SCP2)、ファイル整合性チェック、SSH リスナー・オプション、多要素認証、デジタル証明書管理、サーバーとクライアント・デバイスの相互認証が含まれます。
- 外部認証を備えたファイル転送アクティビティのコントロール:LDAP クエリや、その他の様々な管理ツールを使って、ファイル転送のカスタマイズが可能です。また、仮想サーバー、エンドユーザーへの電子メール通知、エンドユーザーのフォルダコントロール、エンドユーザー認証用の IP ホワイトリストのサポートも利用できます。
- 集中管理:広範にわたるデータ保護規則へのコンプライアンスの鍵は、すべてのファイル転送アクティビティの監査証跡が確実に文書化されていることです。ファイル転送システムが個別に管理されていると文書化が困難ですが、MFT で集中管理ができ、監査対応ログが取得できます。
- アドホック電子メール転送:人対人のファイル転送に関して一貫したポリシーを適用し、ポリシーに従った適切なプロセスを実施できます。
- 即座のフェイルオーバー:業務上非常に重要なファイルを交換するため、ダウンタイムを回避する必要がある場合は、フェイルオーバー機能を使って転送アクティビティを中断なく継続させ、高い信頼性が得られます。
- 合理化された Web 転送:シンプルで安全で柔軟なブラウザ・ベースのファイル転送により、ユーザーはファイルを簡単にアップロードおよびダウンロードできます。
マネージド・ファイル・トランスファーは、セキュアなファイル転送をより高次のレベルに引き上げ、データ保護規制へのコンプライアンスを徹底するのに大きく貢献します。これには、より堅牢なシステム、データ暗号化、高度な認証コントロール、既存のセキュリティ・インフラストラクチャとの統合、改ざん防止監査証跡などが含まれます。
Kevin Conklin
Kevin joined Ipswitch in 2015 and leads the company’s product and content marketing practices. He is widely recognized for his product marketing accomplishments in information technologies. He is a serial startup executive having played instrumental roles in the success of such companies as for Prelert, VKernel, Mazu Networks and Smarts, Inc. and has been instrumental to the success of these IT management technology companies. Kevin is also the co-host of the PICNIC Podcast live show (https://picnic-podcast.com/), sharing experiences and best practices, providing a voice of expertise, and educating IT professionals with the latest technology challenges.