ファイル転送セキュリティ: 機密データ保護

機密データはいたるところにあり、気付かないうちにどんどん蓄積されていきます。ファイル転送セキュリティ、データ暗号化、ゼロトラストなど、様々な手法でデータの安全性を確保する必要があります。ファイル、特に移動中のファイルを狙って仕掛けられるサイバー攻撃は多く、そうしたサイバー攻撃への防御は大きな課題です。

機密データはファイルに存在

Word ドキュメントや Excel スプレッドシートなど、データは通常ファイルに保存されます。そして、ファイルに保存されるデータには、多くの場合、機密データが含まれます。機密データの入ったファイルは、保護されたデータベースなど、安全な場所に保存されますが、保存されたままで終わることはほぼありません。ファイルに保存するのは使用するためであり、どこか別の場所に転送されることもよく起こります。

「機密データは、多くの場合、アクセスコントロールと使用制限を備えた、厳重に保護されたシステムに保存されます。ただし、データがそのシステムからエクスポートされてしまえばコントロールは困難になります。機密データを電子メールメッセージや添付ファイルとして送信すると、機密データに対する攻撃対象領域が拡大し、電子メールアカウントまたはクラウドストレージアカウントが侵害された場合の脅威が増大します。」と、Osterman Research の「What Decision-Makers Can Do About Data Protection」は、述べています。

機密データを含むファイルの転送

ファイルを電子メールに添付して送信することは、誰にもできる簡単なファイル転送手段であり、ファイルに含まれているのが機密性の低いデータだけなら問題ありません。ですが、コンプライアンス規制が及ぶような、機密性が高いデータが含まれたファイルの転送手段としては、最悪の手段と言わざるを得ません。

ファイルの傍受などのセキュリティリスクが高いのに加え、添付ファイルのサイズにも制限があります。超音波ビデオファイル、オーディオファイル、画像などの構造化されていないマルチメディアフォーマットのファイルには対応しきれません。たとえ送信できたとしても、信頼性とファイル配信に影響を与えるパフォーマンス低下の問題が発生します。さらにストレージ管理の問題も出てくるかもしれません。

そして最大の問題は、IT 部門でファイル転送のアクティビティを把握できない点です。コンプライアンスの監査が入った場合、ファイル転送アクティビティを把握できておらず、監査証跡を提供できなければ大きな問題となります。

では、ファイル転送プロトコル、FTP、はどうでしょうか？インディアナ大学は、機密データを FTP 経由で送信しないよう警告しています。インディアナ大学のデータ転送に関する記事、"Techniques for transferring data securely" は、「ファイル転送プロトコル (FTP) は、ファイル転送には効率的ですが、重要なセキュリティ機能が欠けています。ユーザー名、パスワード、データは、ネットワーク経由で送信されます。また、FTP 接続の反対側のコンピューターが主張どおりのものであることを保証するための組み込みの保護機能はありません。これらのセーフガードは、SSH や stunnel などのツールを使用して追加できますが、それらがない場合、FTP の使用はパブリックまたは大学内部として分類されたデータに限定する必要があります。」と述べています。

機密データを含むファイルの転送には、セキュリティを確保し、転送アクティビティを可視化してコントロールできることが必要ですが、そのためには、電子メールや FTP ではなく、統合された安全なマネージド・ファイル・トランスファー・ソリューションが最適です。マネージド・ファイル・トランスファーでは、ファイル暗号化、セキュリティ、改ざん防止ログ、アクティビティ追跡、ユーザー権限/認証、配信確認、集中型アクセスコントロールなどの機能が提供され、コンプライアンス要件を満たすことができます。

Scottish Pacific Business Finance (SPBF) の導入事例

運転資本に関するソリューションを提供しているオーストラリアとニュージーランドの大手専門プロバイダーの１つである Scottish Pacific Business Finance（SPBF）は、世界に8つのオフィスを構え、1,700社以上の顧客にサービスを提供しています。毎年、140億ドル以上の請求書を処理し、顧客に提供する資金は10億ドルを超えます。

吸収合併により、異なるファイル転送システム間でファイルをやりとりするという非常に煩雑な作業に頭を悩ませていた SPBF は、異なるファイル転送方法をすべて1つのシームレスで安全なプロセスに統合する方法を模索しており、8つのオフィスすべてでマネージド・ファイル・トランスファー・ソリューション、MOVEit を使用する決定を下しました。「それまで様々なシステムが混在しており、手作業による人的ミスが発生する確率がかなりありました。MOVEit を全社的に使用することにより、最終的に、異種のシステムをすべて処理できる単一のツールを入手できました。転送プロセスがはるかに簡単になり、データが常にセキュアであるという保証があります。」と、SPBF のアプリケーション・サポート部長である Bruce Hort 氏は述べています。

SPBF では、定期的に銀行と共有しなければならないクレジットスコアリングなど、多くの機密性の高い情報を扱っていますが、１つのシステムから別のシステムへのファイル転送には、独自のリスクが伴います。「我が社のシステムには、アクセスするために認証が必要な内部システムに、ファイアウォールで保護された大量の機密データが含まれています。ファイルはシステム内では十分に保護されていますが、転送中には同じ保護機能がなく、脆弱性がありました。」と、Hort 氏は話します。

導入事例の詳細は、こちらをご覧ください。

マネージド・ファイル・トランスファー (MFT) は、PPAP 問題の解決にも最適

上記の事例でもわかるように、プログレスの MOVEit は、機密データを含むファイルの転送に最適なマネージド・ファイル・トランスファー・ソリューションです。

MOVEit Transfer はいろいろな場面でデータを送信・転送・共有することができます。Outlook メール、Web インタフェース、モバイル端末から、安全にデータを送信、共有することができ、さらにオンプレミス、パブリッククラウド (AWS、Azure)、プライベートクラウド、仮想環境などで動作可能です。

パスワード付き ZIP ファイル送信 (PPAP) を置き換えることができ、さらに安全性、運用性を高めることができます。 厳しい各コンプライアンス、PCI DSS、HIPAA、GDPR、ISO 27001、FIPS-1402、FISMA、BASEL などに準拠しており、操作性を犠牲にすることなく多くのセキュリティ対策がされています。

詳しくは、プログレスのホワイトペーパー、「脱 PPAP ソリューションガイド」をご参照ください。