セキュアなファイル転送: ファイルに関する考慮事項

9月 28, 2021 セキュリティとコンプライアンス, MOVEit

ファイルのライフサイクルを考えたことはありますか?ファイルが誕生してから消去されるまでに、どのようなことが起こり得ますか?ストレージやセキュリティなど、ファイル処理のプロセスでいろいろな面を考慮する必要があります。

ファイルには、たくさんのことが起こります。ファイルは、重要な情報を保存するときに作成されます。作成されたファイルは保護する必要があり、多層のセキュリティが適用されます。ファイルは侵害される対象となり、ファイルに施されたセキュリティ保護がテストされます。様々なファイルが、システムや人を含め、あらゆる種類の異なるエンドポイント間で移動します。ファイルが消去されれば、ファイルのライフサイクルの最終フェーズが終わります。

ファイルの価値

それぞれのファイルには、価値という側面があり、ファイルごとに、コンテキスト、関与者、品質などに関連して価値が決まってきます。医療データの入ったファイルや、投資行動を決定するのに参考にする取引情報のファイルなどが他の多くのファイルより重要な価値を持っていることは明らかでしょう。会社のデータが入ったファイルは、その会社にとっては従業員が重要なのと同じくらい重要です。ファイルの価値を左右する要因について考えてみましょう。

コンテキスト

まず、コンテキストについて考察します。機密性の高いカテゴリに含められるのは、医療データ、財務データ、取引データ、社会保障番号などの個人データ、その他の個人識別情報 (Personally Identifiable Information、PII) などです。ファイルにこれらのデータが存在するかどうかをチェックする必要があります。ファイルに含まれているのが、公開されていいデータか、プライベートなデータかを吟味する必要があります。ファイルのソース、自分で作成したものか、どこか別のところで作成されたものを保持しているのか、についても注意が必要です。

また、そのデータに関する法的保護のコンテキストも考慮すべきポイントです。HIPAA、PCI DSS、GDPR、その他多くのコンプライアンス規制が適切に遵守されていない場合は、厳しい罰則が課される可能性があり、コンテキストは非常に重要です。

関与者

次に、関与者の観点があります。関与者はデータの生成者、データの消費者、またはデータの管理者などが考えられます。特定のファイルまたはファイルセットにおいて、関与者の立場によって価値が変わってくるかもしれません。

品質

そして、品質を抜きにしてファイルの価値は語れません。品質には、セキュリティ、ライフサイクル全体を通じた管理体制、ファイル内のデータ整合性を維持できるかなどといったことが含まれます。

ファイルの価値とリスクには強い相関関係があります。ファイルの価値が高いほど侵害されるリスクが高くなり、それらのファイルを適切に保存、保護、転送、監視する必要があります。ファイルの価値を維持するには、高度なリスク管理が必須です。

ファイルの保護

ファイル保護のためには、ロケーションを把握し、アクセス権付与や暗号化などを行います。実装できるかどうか、しっかり確認する必要があります。

ロケーション

ファイルがどこから来て、今どこに保存されているのか、使用し終わったときにどこに存在すべきか(または存在すべきでないか)、また、それが唯一のコピーなのか、といったことを知る必要があります。機密性の高いファイルの場合は、誰かがインターネットにそのファイルを投稿してしまうことがないよう注意が必要です。

アクセス権

誰がリードオンリーで、誰が更新可能かといった、詳細なアクセス権設定ができることは、ファイルの保護のために重要です。認証されていない誰かがファイルにアクセスまたは使用しようとしたとき、それを検出できる必要があり、そのとき適切に対応するためのルールを記述したポリシーを設定する必要があります。システムとエンドポイント間のファイルの流れをコントロールすることも考慮してください。

暗号化

ファイル保護の最重要策は、暗号化です。ファイル転送中の暗号化はもちろん、ファイル保存中も暗号化しておく必要があります。すべての貴重なファイルに対し、見落としなく高レベルの暗号化を適用できるような設定が必要です。

ファイルに対する脅威

ファイルは、常に侵害される脅威にさらされていると考えるべきです。外部からの脅威だけではなく、内部からの脅威もあります。脅威に対する脆弱性がないかどうかを常にチェックすることは重要です。

内部的には、悪意を持ってファイルへのアクセス権を不正に獲得したユーザーがいるかもしれません。不正に、または悪意なく偶然、意図していないアクセス権を獲得したユーザーは、請負業者などの第三者かもしれません。誰かが誤ってファイルを開示する可能性もあります。パートナーや提携会社のファイルセキュリティが厳格でない場合、送信したファイルに適用したセキュリティを維持することができません。

外部的な脅威としては、フィッシング、スピアフィッシング、ホエーリング攻撃が発生する可能性、マルウェアやランサムウェアが入り込む可能性があります。ファイルへのアクセスができなくなる分散型サービス拒否攻撃、ボットネット攻撃、その他の高度な永続的な脅威が発生する可能性もあります。

これらすべての脅威に対して、ビジネスへの影響、コンプライアンス違反に対する制裁金、データ侵害によるダメージなど、リスクを定量化することが重要です。

ファイルのライフサイクル

ファイルのライフサイクルは、新しいファイルの誕生から始まります。ファイルはどこか(複数の場所かもしれません)に保存されます。ファイルの性質によっては、その処理方法が規制コンプライアンスを満たす必要がある場合があります。ファイルは他の関係者と共有されます。別の場所にバックアップできます。複数のモバイル・エンドポイントに到達する可能性もあります。データセキュリティとコンプライアンスのための監査の対象になる場合があります。ファイルのセキュリティ状態は、関係者にチェックされることがあります。ファイルに対する脅威は、ファイル消去までの全プロセスにおいて存在し得るので、リスクを理解し、可能な限り軽減することが求められます。

ファイルのライフサイクルにおいて、留意すべき管理上のポイントを挙げておきます。

ワークフローと自動化

まず、安全なファイル共有のための集中管理ワークフローを確立することが大切です。いろいろな部門や個人が、インターネットでダウンロードした無料 FTP のようなツールを含めて、ファイル転送のために様々なツールを使っているかもしれません。一元管理されたワークフローが確立していないと、セキュリティ面で問題があるツールが使われる可能性があり、ファイル侵害へのリスクが高まります。さらに、できる限り自動化することで、手作業によるエラーを防止できます。

保存ファイルの暗号化

転送中は侵害の危険が高まるので、転送時の暗号化は比較的よくカバーされていますが、ファイル保存中の暗号化も必要です。転送中、保存中にかかわらず、業界標準の強力な暗号化プロトコルでファイルをセキュリティで保護することを忘れないでください。

監査証跡

常に監査証跡をしっかり保存しておくことも重要です。監査に合格するには、どこにあったファイルがどこに移動したか、誰がアクセスしようとしたか、アクセスしたのは承認されたユーザーかどうか、といった詳細を明らかにできる必要があります。

コンプライアンス

HIPAA、GDPR、PCI DSS など、厳しい規制コンプライアンス基準を満たすことが重要なのは、違反が重い制裁金に結びつくことを持ち出すまでもなく、疑問の余地がありません。統一されたアプローチで、安全なファイル転送処理を実施する必要があります。

マネージド・ファイル・トランスファー・ソリューション

上記の「ファイルのライフサイクルにおいて留意すべき管理上のポイント」をすべてカバーできるのは、マネージド・ファイル・トランスファー (MFT) ソリューションです。コンプライアンスを満たす、安全なファイル転送・共有には、プログレスの MOVEit が最適で、世界中の多くの組織で利用されています。オンプレミスでも、クラウドでも、またサービスとしてのインフラストラクチャとしてもデプロイ可能で、コンプライアンスを満たし、中核となる業務プロセスの信頼性を保ち、機密性の高いデータを、パートナー、顧客、ユーザー、システム間で、安全に転送することができます。

プログレス MOVEit プラットフォームのうち、MOVEit Transfer は、ビジネスニーズに合わせて転送アクティビティを調整するために必要な管理ツールと可視性を提供します。高度なセキュリティ機能と実証済みの暗号化方式 (FIPS 140-2 検証済み AES-256 暗号化)により、転送中と保存中の重要なデータをセキュリティで保護します。

MOVEit Automation を使用すると、ファイルベースのタスク (ワークフロー) を簡単に作成し、業務プロセスのルールをインプリメントできます。ファイル転送リソースへのアクセスを自動化し、コントロールすることで、データ損失のリスクを軽減しながら、ワークロードとエラーを最小限に抑えます。

MOVEit Transfer をセキュアなネットワーク (ファイアウォールで保護されたネットワーク) 内に展開するための DMZ プロキシ機能を提供する MOVEit Gateway も利用可能です。

ユーザーからの調査結果に基づいた、マネージド・ファイル・トランスファー(MFT)ソフトウェアに関する G2 Grid 2021年夏のレポートでは、MOVEit がトップリーダーに選ばれ、10以上のカテゴリーで上位にランクされました。

David Perez

David Perez has been in the tech industry for over 20 years, working for some of the top semiconductor, data center hardware, and enterprise software companies in Silicon Valley and beyond. David is currently the marketing manager for Progress's Managed File Transfer product, MOVEit. Progress is the leading provider of products to develop, deploy, and manage high-impact business applications.

Read next ファイル転送の非効率性を回避する