MFT 完全ガイド
MFT セキュリティの基本
セキュリティは、MFT(マネージドファイル転送)の最も重要な要素の1 つです。このガイドでは、MFT セキュリティの主要なコンポーネントやそれらの使用方法、およびMFT のセットアップにとってそれが重要な理由について説明します。
セキュリティのクイックリンク:
あらためて:MFT とは
MFT(マネージドファイル転送)は、企業のファイル、ドキュメント、データを安全かつ一元的に転送する機能です。業界標準のネットワークおよび暗号化プロトコル、デジタル証明書および署名、否認防止、その他のセキュリティ機能を使用してセキュリティを強化しながら、送受信ファイル転送のすべての側面を網羅しています。MFT システムは、組織においてこれまでになく大きな役割を果たしており、従来のファイル転送システムやアドホックツールを、無駄や重複を排除する統一された合理的なアプローチに置き換えています。
MFT の基本に関する完全な概要については、MFT の基本を参照してください。
データと転送のための暗号化
暗号化とは、承認された当事者またはアプリケーションのみがデータにアクセスできるように、データまたはメッセージをエンコードするプロセスです。暗号化アルゴリズムを使用してデータをエンコードすることで、プレーンテキストではなくランダムな文字列のようにデータを表示します。データまたはメッセージは、アルゴリズムを復号化してデータをプレーンテキストとして読み取り可能にするために使用される、暗号または鍵を所有する当事者やアプリケーションのみが読み取ることができます。
MFT では、さまざまな暗号化方式を使用して、データレイヤー暗号化と呼ばれるメッセージの内容と、トランスポートレイヤー暗号化と呼ばれるそのメッセージを転送する手段の両方を保護します。
データレイヤー暗号化アルゴリズム
データレイヤーのセキュリティには、いくつかの主要な暗号化アルゴリズムが使用されています。
S/MIME - Secure/Multipurpose Internet Mail Extensions
S/MIME は、デジタル署名され暗号化されたメッセージを送信するための長年使われているプロトコルです。 - 人気の高い最新のAS2 は、実際には、S/MIME 上に構築されています。電子メールメッセージでS/MIME を使用すると、受信者は送信されたとおりのメッセージを受信したと確信できます。S/MIME は、受信者が送信者のID を検証するのにも役立ちます。
3DES - Triple Data Encryption Standard
3DES は1970 年代に最初に開発され、さまざまなMFT プロトコルで使用されている業界標準の暗号化アルゴリズムですが、徐々に使用されなくなっています。3DES はDES の最新バージョンです。データを3回暗号化し、少なくとも1つのバージョンで異なるキーを使用することで、セキュリティを強化します。
AES - Advanced Encryption Standard
AES は、米国政府および多数の高セキュリティ組織によって信頼されている暗号化アルゴリズム規格です。128、192、256 ビット形式のキーを使用でき、攻撃に対してほとんど影響を受けないと考えられています。
RSA - Rivest Shamir Adleman
RSA(発明者名にちなむ)は、巨大な整数を因数分解するのは難しい、という考えに基づく非対称暗号化アルゴリズムです。公開鍵は2つの数値で構成され、1つの数値は2つの大きな素数を掛けたものです。秘密鍵も同じ2つの素数から導出します。
Open PGP - Pretty Good Privacy
Open PGP 暗号化では、データ圧縮、ハッシュ、公開鍵暗号化を組み合わせて使用します。対称キーと非対称キーの組み合わせを使用して、ネットワーク経由で転送されるデータを暗号化します。Open PGP 暗号化では、各ステップで異なるアルゴリズムが使用され、各公開鍵がユーザー名とメールアドレスに関連付けられます。
転送レイヤー暗号化アルゴリズム
転送レイヤーセキュリティの場合、MFT は暗号化を直接組み込むAS2 やAS4 などのセキュアなプロトコルを使用できます。転送を保護するための一般的な暗号化メカニズムは3つあります。
TLS/SSL - Transport Layer Security
SSL(Secure Sockets Layer)は、インターネットのような安全でないネットワークへの接続時に、クライアントとサーバー間の接続を保護するために設計されたネットワークプロトコルです。SSL は、消費者と企業の間のオンライントランザクションを可能にする最初のプロトコルでした。しかし、SSL の大部分は転送レイヤーセキュリティ(TLS)プロトコルに置き換えられました。TLS(Transport Layer Security)は、SSL から発展し、SSL に取って代わりました。TLS は、現在最も広く使用されているセキュリティプロトコルです。TLS は、Web ページの送信をサポートするだけでなく、電子メール、ファイル転送、インスタントメッセージング(IM)、およびVoice over IP(VoIP)アプリケーションでもよく使用されます。
SSH - Secure Socket Shell
SSH は、セキュリティで保護されていないネットワークを介してコンピュータにアクセスするためのセキュアな方法をユーザーに提供するネットワークプロトコルです。SSH は、SSH プロトコルを実装する一連のユーティリティも指します。Secure Shell は、オープンネットワーク上で接続している2 台のマシン間に強力な認証と暗号化されたデータ通信を提供します。
認証の基本
認証は、データやメッセージへの不正アクセスを防ぐために、ユーザーのID を確認するプロセスです。基本的なユーザー名とパスワードの検証からデジタル証明書と署名まで、あらゆるものを含むことがあります。
デジタル証明書
ユーザーやパートナーがファイル転送サーバーに接続しようとする場合、偽のサーバーではなく適切なサーバーに接続していることを確認する方法が必要です。このセキュリティレイヤーが利用できない場合、機密データを誤ったホストにアップロードしてしまう可能性があります。デジタル証明書はID カードのようなものです。他のユーザーに自分が誰であるかを知らせ、ユーザーが正しい場所に移動したことを確認します。デジタル証明書には、サイトとユーザーのWeb クライアント間で転送されるデータの暗号化を提供する、サイトの公開鍵のコピーも保持されます。
デジタル署名
デジタル署名は、相手の身元を確認するためのセキュアな方法です。小切手の署名が小切手を書く当事者を識別するのと同じように、デジタルファイルを送信する当事者の一意のデジタル署名が認証に使用されます。最新のセキュアなMFT ソフトウェアでは、認証用にデジタル証明書と署名の両方を生成できます。
DMZ - プロキシサーバー - 企業のファイアウォールを保護する
非武装地帯(DMZ)は、内部ローカルエリアネットワーク(LAN)を他の信頼できないネットワーク(通常はインターネット)から分離する物理的または論理的なサブネットです。
これは、LAN と外部との間のバッファーとして機能し、Web サーバーとメールサーバーを内部ネットワークから保護します。これにより、ファイアウォールやネットワークを危険にさらすことなく、ファイルを転送することができます。ファイアウォールを無効にすると、PC に感染する可能性のあるマルウェアを含め、すべてのデータパケットが無制限にネットワークに出入りできるようになる可能性があります。
否認防止
否認防止は、情報セキュリティで広く使用されている法的な概念です。これは、契約やその他のデジタル通信を通じて提供されたかどうかにかかわらず、すべての当事者が約束を守ることが重要である場合に、メッセージが送受信されたことを証明するサービスを指します。否認防止は、発注書や請求書などの機密性の高いドキュメントが転送される場合に重要です。
否認防止は、トランザクションに関与するいかなる当事者もドキュメントや通信の有効性を否定できないことを保証します。
MFT の信頼性
MFT の信頼性により、送信に失敗した場合でも、複数のコピーを送信せずにドキュメントの送信が再試行されます。
ドキュメントが重複していると、セキュリティとデータの整合性にリスクが生じます。MFT は、自動化されたスケジューリング、チェックポイントの再起動、自動回復または再試行によって配信を保証します。ファイル転送が中断された場合、ソリューションは、人間の介入を必要とせずに、指定された期間または配信が成功するまで、事前に設定された間隔で転送の再開を試みます。マネージドファイル転送ソリューションは通常、次の手順に従います。
1.受信ユーザーを認証します。多要素認証を使用する場合もあります。 2.ユーザーアカウントまたはグループに割り当てられた権限に基づいてファイルのアップロードを許可します。 3.暗号化アルゴリズムを使用して、ファイルをセキュアなフォーマットで保存します。 4.受信ファイルを指定された受信者に通知します。 5.ファイルの受信者に対して手順1 と2 を繰り返します。 6.すべてのアクティビティをログに記録して監査します。
CData Arc が提供する包括的なMFT セキュリティ
CData Arc は、信頼性、安全性、拡張性に優れたMFT ソリューションを提供します。あらゆるファイルとプロトコルに対応しています。迅速、容易、低コストで導入でき、迅速な拡張機能を提供します。堅牢なメッセージングおよび変換機能を備えたCData Arc は、エンドツーエンドの統合のために転送を自動化およびスケジューリングできます。包括的なログ機能と監査機能を使用すると、会社全体のファイル転送をリアルタイムで把握し、GDPR やPCI などのデータプライバシー規制に簡単に準拠できます。