ファイル転送における暗号化の基本

企業にとって、インターネットは、情報を積極的に発信したい場合には必須ですが、インターネットに接続すれば機密情報が意に反して漏れてしまうという危険は常に潜んでいます。 そのため、ファイル転送プロセスをセキュアに保護するための最善策が求められ、注目されています。最善策の１つが暗号化です。基本的に、ファイル転送データを暗号化するには、FTPS、SFTP、HTTPS の3つのオプションがあります。3つとも、外部への転送、またはビジネスからビジネスへの転送によく使用されます。

エンドツーエンド暗号化オプション

3つのうち最も速く、最も広く実装されているオプションは、FTPS (FTP over SSL) です。FTPS には暗黙的および明示的な注記がありますが、どちらも SSL 暗号化を利用しています。FTPS Implicit SSL を使用すると、クライアントとサーバーは、データを転送する前に１つの SSLセッションを開始します。FTPS Explicit SSL では、クライアントとサーバーが、データの転送に必要な暗号化標準のレベルを一緒に決定します。これは、暗号化されていない FTP セッションと暗号化された FTPS セッションの両方を単一のポートで行えるので便利です。ただし、常にそうだとは限らず、広範なデータポートを使用できるようにする必要があります。

1つのポートしか必要としない SFTP 暗号化はより簡単な暗号化オプションと言えます。SFTPクライアントとサーバー間で交換されるすべてのデータは、暗号化によって保護され、公開鍵および秘密鍵の使用によって公開鍵認証と呼ばれる別の形式の認証を通じてさらに保護されます。

FTPS と SFTP がサーバー内での使用に適している一方、HTTPS はインタラクティブな人間ベースの転送に適しています。Web サイトでも HTTPS が機能していることがわかります。HTTPS は、Web ブラウザとアクセスする Web サイト間で送信されるデータを保護します。Chrome や Firefox などの Web ブラウザは、アドレスバーのロックアイコンでこのセキュリティを視覚的に表示します。HTTPS は SSL または TSL プロトコルを使用します。SFTP と同様、HTTPS も公開鍵インフラストラクチャを使用します。このシステムでは、公開鍵と秘密鍵は相互に依存しており、公開鍵で暗号化された Web サイトまたはデータは、秘密鍵でのみ復号化できます。その逆も同様です。

これらの3つのオプション（FTPS、SFTP、HTTPS）はすべて、企業のデータを自動的かつ透過的に暗号化し、インターネット上を通過するときに漏洩しないよう保護します。どれが望ましいかはそれぞれの組織に特有の事情によって異なります。

保管中のデータを暗号化することはどうして必要か

あるサーバーから別のところに転送するときにデータを暗号化する必要があるのに加えて、ホームサーバー上に保管されているデータを暗号化して保護することも重要です。なぜでしょうか？２つの理由があります。１つは、データ交換ファイルは非常に簡単に使用できる形式のファイルなので、特に脆弱なためです。保管中のファイルを暗号化することで、潜在的なハッカーの攻撃から保護することができます。2つ目の理由は、インターネット上のファイル転送サーバーに攻撃にさらされやすい性質があるからです。

保管中のデータを暗号化しておけば、ハッカーはサーバーに侵入した後でさらにデータを解読するためのキーを捜さなければなりません。データ侵害の作業がより困難でより時間がかかるものになり、攻撃された側はハッカーが手こずっている間に追跡したり当局に通報したりできます。

ファイアウォール、DMZ、リバース・プロキシなどを利用していたとしても、それらは外部の世界に接続していますから、露出の危険は免れません。サイバー盗難が頻発する昨今、データが移動中であるか保管中であるかにかかわらず、組織のデータを保護する戦略的かつ防衛的なアプローチを取ることが重要です。

第三者によるアクセスまたは第三者との共有が可能なデータ

別の会社とファイルを共有するとき、自動暗号化を使うストレージ・ベンダーを利用する場合がよくあります。その場合、使用する前にすべてのユーザーをドメインに認証することが必要になります。認証されていない会社にファイルを転送する必要が生じた場合はどうすればいいでしょうか？どのような選択肢がありますか？認証された会社とだけしかやり取りできないのでしょうか？それはあまりにも不便です。第三者とのファイルのやり取りをするとき、確実に暗号化する別の方法があります。

多くの組織は、ファイルを転送する前に、PGP などを使用して、暗号化しなければならないというポリシーを策定しています。PGP は、誰かがファイルをアップロードした場合、第三者が技術に精通していなくても、またそれを実装していなくても、暗号化できます。便利な反面、何か問題が起きた場合、ファイルが PGP 暗号化されない可能性があります。

ファイル・セキュリティを管理するにはPGPだけで十分か？

PGPが失敗したらどうなるでしょうか？PGP は企業の最も重要でプライベートなファイルを保護するほど強力ですか？多くの組織が PGP を活用し、その有効性を賞賛します。そして、PGP は、セキュリティに精通した専門家が使うには極めて効果的です。セキュリティの暗号とキーを理解しており、問題があったときにどう修正すればいいかを心得ているからです。

ですが、一般的なそれほどセキュリティに精通していない人は、問題が起きたときどうすればいいでしょうか？問題が起き、ファイル転送を解読するためのログインが与えられました。そこでどうすればいいかわからなければ、誰かほかの人に助けを求めるしかありません。そうすると、助けを求められた人はアクセスが可能になり、コードはもうプライベートではなくなります。

つまり、ファイアウォールを実装してネットワーク全体が安全であると宣言することはできないということです。そこで終わってしまうわけにはいかず、システムが安全であることを保証するために予防措置を講じる必要があります。これが、PGP の限界です。PGP を設置しておく必要がありますが、ネットワークが保護されていることを確認するためには、さらにセキュリティ対策を講じる必要があります。

次のステップ

暗号化とファイル転送のセキュリティについて詳しく知りたい場合は、こちらをクリックしてオンデマンド・ウェビナーをご覧ください。