高リスクの外部へのファイル転送処理を安全に保護するには

デジタル資産を外部にファイル転送することは、医療機関、金融機関、教育機関、保険業、小売業、製造業、など、どのような産業においてもリスクを伴うものです。エンドユーザーがファイルを送信するたびに、サイバー犯罪者によって情報が傍受される可能性があるからです。

ファイルを受け取った後に適切な処理が行われないと、機密データや知的財産が他者の手に渡る可能性があります。悪意の有無にかかわらず、機密データがファイルを見るべきではない人に渡ることは何としてでも避けなければなりません。そういうことが起こってしまったら、コンプライアンス規制への違反を問われたり、ニュースになって評判を大きく落としたりなど、直接的、間接的なデメリットは計り知れません。

ファイル転送のリスク

外部へのファイル転送がセキュリティ上のリスクを伴うのは事実ですが、機密データを外部のエンドユーザーに転送することはほとんどのビジネスの中核となる運用プロセスであり、回避する選択肢はありません。

データを送信するアクティビティは傍受の機会を提供することになるので、転送中のデータは常に危険にさらされていると言えます。ファイル転送サーバーにダウンロードするために保存されているデータにも許可されていないアクセスが発生する可能性があります。また、意図しない受信者にファイルが配信されたり、ファイルを受信したエンドユーザーが処理を間違えたりする可能性も想定しておくべきです。社内の誰かが Google Drive や Dropbox などのツールを使用していたら、IT 部門ではデータの移動を完全にコントロールすることはできません。ファイル共有・転送プロセス全体に、懸念材料がたくさんあります。

• ファイル転送プロトコル (File Transfer Protocol, FTP) を使用してアップロードされたファイルに保存された個人データは、暗号化されないままであったり、削除されなかったりということになりがちです。パスワードで保護された FTP サーバーでさえ、ブルートフォース攻撃があれば被害を受けることになります。
• 匿名モードの FTP を使っていたり、セキュリティパッチが古いままだったりすれば、サイバー犯罪者が簡単にアクセスできます。
• メールやクラウドベースのファイル共有ソフトウェア サービスなど、IT 部門のコントロールを外れた、セキュリティで保護されていない接続を介して個人データを送信するユーザーがいると、コントロールが効かないという大きなリスクを抱えていることになります。
• 保護されたデータのコントロールを得るためにユーザーの認証情報を獲得しようとするハッカーを阻止する、アクセス許可の一元的なコントロールができないかもしれません。
• 不正開封防止監査ログなどがない場合、不正な転送が行われたり、失敗した転送が見過ごされたりするリスクがあります。

機密データを外部にファイル転送する際には、GDPR、HIPAA、PCI DSS などの規制コンプライアンスを満たす必要があり、厳重な注意が必要です。機密データに最大のリスクをもたらす可能性のある外部ファイル転送アクティビティに対する保護を提供するテクノロジーに十分な投資を行う必要があります。

安全なファイル転送の要件

FTP サーバーを使ったファイル転送を行っている場合、十分なセキュリティを提供してコンプライアンス規制に準拠するように FTP 環境をアップグレードしようとしても、置き換えようとする FTP サーバーが脆弱性を継承するなどの困難があり、うまく機能しない場合があります。

すべての外部転送プロセスが安全なプロトコル（SFTP、FTPS、HTTPS）と暗号化（SSH、TLS、SSL）を使用していることを確認する必要があります。さらに、保存中のデータを保護するための AES-256 暗号化も必要になります。

FTP データ転送は、PERL、BASH、VB、PowerShell などの様々なスクリプト言語で記述されることが多く、スクリプトが文書化されていないこともよくあります。プラットフォーム、ソフトウェアリビジョン、OS リビジョン、セキュリティパッチごとに異なるソフトウェアを持つ FTP サーバーが混在していて、FTP のスプロール現象が発生すると、サイバー犯罪者が個人データにアクセスするために悪用できる脆弱性が生じます。

次のビデオは、FTP スプロールの問題と解決のために FTP サーバーの統合が必要なことを説明しています。

また、規制コンプライアンスを満たすためには、コンプライアンスの証明を提出する必要があります。複数の FTP サーバーから監査ログを収集してレポート作成するのは時間がかかる上、形式も統一されていないので監査人への心証の悪い読みづらいレポートになります。監査人は、一貫した形式で、改ざんがないことを証明できるデータベースに保存された単一のログデータソースを好みます。本当に安全なファイル転送のためには、こういった様々な要件に対処する必要があります。

安全なファイル転送への最適ソリューション：マネージド・ファイル・トランスファー

このような厳しい要件を満たして外部への安全なファイル転送を実現したい企業にとって最適なソリューションは、マネージド・ファイル・トランスファー (Managed File Transfer, MFT) ソリューションです。プログレスの MOVEit のような MFT は、内部の社員と外部の顧客やビジネスパートナーとの間で機密データを安全に転送することを保証します。また、ファイル転送が、 GDPR、HIPAA、PCI DSS などの規制コンプライアンスを満たすことも確認できます。

MFT は、安全なプロトコルを利用し、エンドツーエンドの暗号化を適用します。ポリシーを適用して確実にセキュリティとコンプライアンスの要件を満たすことができます。不正開封防止の監査証跡によって、内部および外部のコンプライアンス監査に際して十分なセキュリティ体制が確立されていることを証明できます。スクリプトなしで簡単にタスクとワークフローを設定できる直感的なインタフェースを備え、 すべての転送アクティビティを可視化して統合的に管理できる、優れた MFT ソリューションは、IT 部門の負荷を大きく削減します。

MOVEit は、PCI DSS および HIPAA に準拠していることが監査人によって認定されており、外部へのファイル転送アクティビティ中に GDPR その他の規制を遵守できる高度なセキュリティコントロールを提供します。中核となる業務プロセスの信頼性を保ち、機密性の高いデータを、パートナー、顧客、ユーザー、システム間で、安全に転送することができます。

自社のファイル転送プロセスのリスク評価を行ってみてください。ファイルが盗まれたり誤って処理されたりする可能性を減らすためにリスク調整を行う必要があることが示された場合は、プログレスのマネージドファイル転送ソリューションである MOVEit の無料試用版をお試しください。