否認防止とは何か?どう実装すべきか?

8月 31, 2020 セキュリティとコンプライアンス, MOVEit

顧客とオンラインでやり取りし、契約書を表示する画面を共有して、支払いスケジュールの最終確認をしているとします。顧客が表示している契約書の細部までチェックしたところ、自分が送信した契約書とは一部に違いがあることがわかりました。何が起きたのでしょうか?

顧客やパートナーとの間でファイルを送受信する場合、送信されたファイルと受信されたファイルが同一であることは当然なはずですが、それを証明する手段が必要です。誰がファイルのコンテンツを変更したのかという論争に発展した場合、その機能が極めて重要になってきます。意見の相違があり相手側の言い分に納得できない場合は信頼関係が失われ、最悪の場合は法的問題につながる可能性さえ出てきます。そこまで深刻な事態にはならないとしても、顧客やパートナーに不信感を持たれないようにすることはビジネス継続のためには不可欠です。

ファイルの正当性の証明

そのために利用するべき機能が、否認防止です。Webopedia によると、否認防止は、転送されたデジタルメッセージがメッセージを送受信したと主張する当事者によって確実に送受信されたことを保証するものです。否認防止は、次の3つの方法で取得できます。

  • 自筆署名と同じように、個人の一意の識別子として機能するデジタル署名
  • メッセージ転送エージェントによって作成される、メッセージが送受信されたことを確認するデジタル受領書
  • ドキュメントが作成され、その時点にその内容で存在したことを証明する日付と時刻のスタンプ

当事者間で電子的に転送されるファイルに否認防止が適用される場合、送信者はメッセージの送信を否定できず、受信者はメッセージの受信を否定できないため、両方の当事者への転送の有効性が証明されます。否認防止は、ファイルの発信元や、ファイル内のデータが改ざんされていないことを証明するために法的手続きで使用することもできます。

否認防止機能があれば、本質的に、誰がメッセージを送信したか、どこから送信されたか、誰が受信したか、どこで受信されたか、という情報は、ファイルの整合性保証と共に、常に獲得できます。転送されたファイル内のコンテンツの有効性について論争が発生した場合は、何が起こったかを確認するための貴重なフォレンジック情報を提供します。

冒頭の契約書の内容のくい違いについては、どちらかが不注意のせいで変更を加えてしまった可能性や、社内の誰かが変更した可能性があります。ひょっとしたら、どこかに誤解があったのかもしれません。いずれにしても、送受信されたファイルの内容は中立的に確認できるので、論争に発展することはなく、顧客との間の信頼関係を維持することができます。

エンドツーエンドの否認防止でファイル転送の安全とコンプライアンスを確保

エンドツーエンドの否認防止は、顧客やパートナーとの間の安全なファイル転送プロセスの実装に不可欠な役割を果たすのみならず、個人データを含む機密情報を保護するための主要なコンプライアンス規制が要求する機能でもあります。そのようなコンプライアンス規制としては、GDPR、SOX、HIPAA、GDPR、FISMA などがあります。

否認防止を正しく実装するには、以下の機能がある安全なサーバーで実行されるマネージド・ファイル・トランスファー(Managed File Transfer、MFT)ソリューションを利用するのが最適です。

  • ファイルをアップロードまたはダウンロードする各ユーザーを認証する
  • アップロードおよびダウンロード時に各ファイルの整合性をチェックする
  • サーバー側で生成された整合性チェックとクライアント側で生成された整合性チェックの結果を比較する
  • 認証を関連付けてログに記録し、結果を確認する

主要な MFT ソリューションは、暗号的に有効なセキュアハッシュアルゴリズム(Secure Hash Algorithm、SHA)またはメッセージダイジェスト(Message Digest、MD)アルゴリズムを利用してファイルの整合性をチェックします。SHA は入力を受け取り、通常40桁の長さのハッシュ値を生成します。SHA は、MD アルゴリズムより強力で、米国連邦情報処理規格(Federal Information Processing Standard)FIPS 140-2 検証済みソリューションの要件として承認されています。

否認防止機能を備えた安全なファイル転送ソリューション

否認防止機能を備えた安全なマネージド・ファイル・トランスファー・ソリューションとして、世界中の多くの企業がプログレスの MOVEit を利用しています。MOVEit は、FIPS 140-2 で承認された AES と SHA-1 を使用しており、FIPS 140-2 検証済みの暗号化方式で転送中と保存中のファイルを保護します。エンドユーザーのファイル転送アクティビティを可視化してコントロールでき、内部ユーザー間だけでなく、顧客、パートナー、ベンダーとの間での機密データの安全でコンプライアンスを満たすファイル転送を実現でき、顧客やパートナーからの信頼を確保できます。

MOVEit は、オンプレミスでもクラウドでも展開可能です。どちらの環境でも、PCI、HIPAA、GDPR などを含め多くの個人データ保護に関する規制を遵守できます。すべてのファイル転送アクティビティを一元化システムに統合でき、ユーザー権限/認証、配信確認、否認防止、強化されたプラットフォーム設定で、ガバナンスを確保できます。

MOVEit の否認防止機能は、ファイル処理に関して疑義が生じた場合に備えて、ドキュメントの整合性を立証できるため、顧客やパートナーとの長期的な信頼関係を育むのに役立ちます。

MOVEit は無料で試用可能です。ご自分の目で確認してみることをお勧めします。

Greg Mooney

Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.

Read next 金融機関に必要な安全なファイル転送