ホワイトペーパーやデータシート (製品情報)、導入事例、ウェビナーなど、
プログレスの各種リソースを検索できます。
重要なビジネスデータや個人データをしっかり保護するためには、ファイル転送システムとデータ共有システムを見直す必要があります。見過ごされがちですが、古い FTP サーバーや管理が行き届いていない FTP サーバーは、サイバー攻撃に対して脆弱である可能性があります。
ファイルを外部に転送したり、外部との間でファイル共有したりする必要性は、インターネットの初期の時代からありました。その必要性に対処するために、しばしば FTP(File Transfer Protocol、ファイル転送プロトコル)サーバーが導入されました。組織内の複数の部門がそれぞれ異なるハードウェア・プラットフォーム上に独自の FTP サーバーを導入するというのがよくあるケースでした。また、自動化する必要があれば、やはり独自にさまざまなスクリプトを使用しました。
ここ数年、セキュリティへの関心が高まってきて、複数の FTP サーバーの混在がリスクを引き起こす可能性があるという認識が広がっています。パスワード保護が最小限である「匿名」モードを使っても大丈夫だろうとの安易な考えから、セキュリティレベルの低い FTP サーバーが散在しています。あるいは、当初の管理者やスクリプト作成者がいなくなって、FTP サーバーを適切に管理するためにはどうすればいいのかのノウハウがわからなくなることもあります。導入したネットワーク監視システムの検出プロセスによって、その存在すら知らなかった FTP サーバーが発見されたという会社さえあります。
今日のサイバー脅威環境は、以前とは大きく異なります。サイバー犯罪者によるセキュリティ脅威がより洗練されたものになり、企業もより高度化されたITセキュリティ対策に取り組む、といういたちごっこが際限なく続いています。サイバー犯罪者は、ネットワーク・インフラストラクチャやエンドユーザーのマシンにまんまと侵入して、知的財産と膨大な量のデータを盗み続けています。サイバー犯罪の標的は、中小企業や地方政府機関からグローバル企業までさまざまです。サイバー攻撃のニュースは日常茶飯事ですが、毎週のように有名な会社が被害にあっています。
同時に、現在の情報社会においては、ほとんどの組織が、外部組織との間でデータを共有する必要があります。共有されるデータは、多くの場合、所有権のあるものであり、業務上重要であり、HIPAA、GDPR、PCI などの業界や行政機関の規制で保護を義務付けられています。データ・セキュリティはすべてのIT部門にとって最重要事項ですが、特に注目すべきはファイル転送・共有ソリューションです。
FTP サーバーは、ファイルを転送するために、長年にわたって一般的に使用されてきました。かつて FTP プロトコルは業務データを移動するための最も簡単な方法だと考えられていました。全企業の約80%で使用されてきたと推定する調査もあります。しかし、保護する義務のあるデータを共有しなければならない組織は、複数の異なる FTP サーバーを使用している場合、どの程度IT環境を保護し管理できるのかに不安を感じ始めています。コンプライアンス監査会社は、こうした環境に対して合格を与えない場合が多く、アメリカの FBI は、FTP サーバーが抱えるリスクを周知するための PIN(Private Industry Notification)警告を出しました。
HIPAA、PCI、FINRA、FDA、SOX、など、厳しい業界規制によって保護を義務付けられているデータを日常的に取り扱う組織が、管理されていない、または安全でない FTP サーバーを使っている場合、重大な罰金が科される可能性もあります。すべてのデータ侵害の約65%がユーザーから発生しています。これらのケースの大部分は、機密データの取り扱いが適正でなかったり、機密データが FTP サーバーのファイル・ディレクトリやコンシューマー・グレードのファイル共有サービスのような認可されていない場所に格納されたり、といった、不慮のエラーや不適切な判断によるものです。
今日、ほとんどの FTP サーバーは SFTP プロトコルを実装していますが、インターネット上には保護されていない FTP サーバーがまだ多数存在します。サイバー犯罪者にとって、保護されていない FTP サーバーは、しばしばネットワーク内の他のサーバーからアクセス可能であり、「コマンドとコントロール」のプラットフォームとして理想的です。有名なターゲット社のデータ漏洩事件で盗まれたデータは、セキュリティオペレーションセンター(SOC)に察知されないよう、管理されていない FTP サーバーを使って一度に少量ずつデータを送信することによって引き出されました。
SFTP(Secure File Transfer Protocol)は、安全な FTP 実装を提供する必要性から生まれました。SSH(Secure Shell)を使用して、認証とメッセージの両方のトラフィックを含む FTP サーバーとクライアント間の通信の暗号化を提供します。SSL(Secure Sockets Layer)を実装したファイル転送セキュリティに対応する FTPS も登場しましたが、SFTP ほどには普及していません。SSH の方は、Microsoft Windows を最も顕著な例外として、ほとんどのオペレーティングシステムのデフォルトとして採用されるようになりました。したがって、IT標準化は FTPS(SSL)を使用するよりも SFTP(SSH)を使用する方が達成が容易です。
SSH は、SCP(Secure Copy Protocol、以前の RCP(Remote Copy Protocol)に基づく)を使って、ネットワーク上のホスト間のファイル転送をサポートします。典型的な操作としては、SFTP クライアントが、SSH 接続を開いて、転送を可能にするため SCP セッションを開くようにサーバーにリクエストします。SSH には強力な認証機能があり、サイバー犯罪者による傍受のリスクを軽減するために暗号化通信を提供します。
SFTP はファイル転送とそれに関連する管理ネットワークトラフィックを暗号化するため、オープンネットワークを介した送信中にデータの傍受や改ざんから保護することが可能で、外部との間の転送のセキュリティを強化します。
一日あるいは一週間に発生する転送量がそれほど多くなく、価値の高いデータや規制に準拠すべきデータが含まれていない場合は、SFTP サーバーは安全な方法です。一方、大量のファイル転送が必要だったり、業務上重要なファイルを転送する必要があったり、HIPAA、GDPR、PCI などのデータ保護関連法で規制されているデータを転送する場合は、MFT(マネージド・ファイル・トランスファー)への移行を検討する必要があります。
MFT ソリューションは、SFTP や HTTPS などのさまざまなセキュアな転送方法を可能にし、異種の SFTP サーバーよりも強力なセキュリティと管理アーキテクチャを提供します。次の3つの基準、1) 毎日あるいは毎週、大容量の転送が必要、2) 必要になときに転送できなければビジネスに悪影響が出る、3) 転送するデータは、誰かの所有物であり、個人データであるか遵守する必要がある規制を受ける、のうち、2つが当てはまれば MFT への移行を考えるべきでしょう。MFT は、重要なデータの信頼性の高い安全な転送を保証する機能を提供します。MFT の重要な機能やメリットを列挙します。
マネージド・ファイル・トランスファーは、セキュアなファイル転送をより高次のレベルに引き上げ、データ保護規制へのコンプライアンスを徹底するのに大きく貢献します。これには、より堅牢なシステム、データ暗号化、高度な認証コントロール、既存のセキュリティ・インフラストラクチャとの統合、改ざん防止監査証跡などが含まれます。