安全なファイル転送とは、読んで字の如しで、ファイルを安全に転送することですが、安全なファイル転送に言及するときに考慮すべきポイントは、なぜファイルの安全な転送が重要なのか、どうすれば適切な安全なファイル転送を実行することができるかという点です。
このブログでは、安全なファイル転送に関して、これらのポイントを考察していきたいと思います。
- なぜファイルを安全に転送する必要があるのか?
- 安全でないファイル転送にはどのようなものがあるか?
- どうすればファイルを安全に転送できるのか?
なぜファイルを安全に転送する必要があるのか?
知的財産は、先端的な産業においては特に、企業の生命線であり、競合他社の動向は、最も知りたい情報の1つです。それだけでファイルを安全に転送しなければならない十分な理由になりますが、さらに重要な点は、サイバー犯罪者の数と洗練度が高まっていることです。最近では、ランサムウェアなどの多くのサイバー攻撃が「サービス」として提供されており、やろうと思えば誰でもランサムウェア攻撃を成功させたり、データを侵害したりできてしまいます。データ損失はビジネスチャンスの喪失につながり、さらには多額のコンプライアンス違反制裁金が課されたり、悪評が立ったりといった深刻なデメリットがあります。
ファイルが移動中のとき、多くの場合ファイル転送中が、データ侵害のリスクが最も高くなります。セキュリティを重視する企業にとって、安全なファイル転送は必須要件です。
EDI の問題点
安全なファイル転送は新しい概念ではなく、以前から多くの企業が独自のアプローチで取り組んできました。多くのパートナーを持つ大企業が採用してきたアプローチとして、電子データ交換(Electronic Data Interchange、EDI)があります。長く使われているこの技術は、請求書などのアイテムを取引先と共有するための鍵となっています。EDI は、主にトランザクション指向であり、多くのパートナーとの間での大量処理が可能です。ただし、安全なファイル転送ソリューションとは異なり、交換されるものは本当の意味のファイルとは言えません。
ファイルは、トランザクションではなくより大きなコンテンツであり、ワードドキュメント、スプレッドシート、PDF、データベースレコード、画像ファイルを含むあらゆる種類の非構造化データなど、様々な形式のものが存在します。EDI ではうまく扱えず保護も難しいのは、この非構造化データです。構造化データのみの転送に限定された EDI で処理できるのは、企業が共有する必要のあるデータの20%ほどに限定され、残りの80%はセキュアなファイル転送ソリューションやその他のツールを使って処理する必要があると考えられています。
EDI では、データ交換のパートナーがデータ形式について合意することも求められます。パートナーが特定の形式をサポートしていなければ、変換も必要になります。そのような問題を解決するのが、マネージド・ファイル・トランスファー(Managed File Transfer、MFT)ソリューションです。プログレスでは、MFT ソリューションとして、MOVEit を提供しています。MOVEit を利用すれば、データ変換は意識する必要がなくなり、自動化された安全なファイル転送が実現できます。
マネージド・ファイル・トランスファーに関しては後述しますが、その前にそのほかのファイル転送手段の問題点を指摘しておきたいと思います。
そのほかのファイル転送手段の問題点
電子メール: ファイルを転送することを考える場合、最も一般的な手段として電子メールがあります。電子メールにファイルを添付すればいいだけで簡単、便利であり、生まれた赤ちゃんの写真などを送るようなケースでは今でも問題なく使えます。ですが、添付ファイルに未発表の会社の財務情報などの機密データを含めることは、サイバー犯罪者がどこにでも隠れている現在では、リスクが大き過ぎます。
また、電子メールには信頼性の面でも問題があります。メッセージが迷惑メールフォルダに入ってしまったり、送信失敗してしまうこともあります。送信に失敗しても送信者にはわからず、送信できたものと思い込んでいると、想定受信者との間で食い違いが生じて大きな問題に発展する可能性も否定できません。間違ったアドレスにメール送信してしまったり、間違いメールを受け取ったりすることも、多くの人が経験していると思います。さらに、電子メールに添付するファイルのサイズにも制限があり、大きなファイルを送信することはできません。
サムドライブやディスク: いつの時代の話をしているのかと驚く人もいるかもしれませんが、ファイル転送のためにサムドライブやディスクといった物理的な手法を利用する人たちがまだいるのは確かです。安全面を考えると恐ろしいとしか言いようがありません。保護または暗号化されているサムドライブはほとんどなく、誰でもラップトップに落としこんですべてを見ることができます。そして、サムドライブは依然としてランサムウェアなどが仕組まれたウイルスキャリアとしてよく利用されています。一般的な企業では恐らく誰も使用していないと思いますが、もし使用していることが判明したら、すぐにやめさせてください。
ファイル同期および共有: ファイル同期および共有には、エンタープライズクラスとコンシューマーグレードの2種類があります。多くの場合これらは同じソリューションであって、1つはストレージ制限がかかった無料版、もう1つは大きなストレージがあり、ある程度のセキュリティが加わった有料版です。
ファイル同期および共有における第一の問題は、認証が初歩的なものが多くハッキングされやすいという点です。多要素認証はルールにはなっておらず、例外的です。システムがエンドユーザーデバイス間で同期することは、もう1つのセキュリティホールになり得ます。iPhone が Dropbox や Google Drive ドライブと同期しているとき、その電話を持っている人は誰でもファイルを見ることができます。
誤解を避けるために言及しておきますが、これらは一般的なファイル共有としては素晴らしいソリューションであり、機密データを含まなければそれほど心配する必要はありません。機密データを含む重要なファイルや、規制コンプライアンスルールの対象となるデータに関しては、この方法は避けるべきです。
ファイル転送プロトコル (FTP): ファイル転送ソリューションとテクノロジーは、数十年前から存在しています。FTP、ファイル転送プロトコル、は、大きなファイルを移動する方法として長い間使用されてきました。非常に多くのユースケースに適する優れたテクノロジーですが、安全なファイル転送の範疇には属しません。
FTP はセキュリティ上のサポートという点からは十分ではなく、機密データやコンプライアンスを問われるようなファイルの転送には最適とは言えません。また、大量のファイルを転送する必要がある場合、プロセスを自動化するためにスクリプトを利用することがよくありますが、スクリプトには独自の問題があります。スクリプトを作成してテストするのに時間がかかること、管理が複雑で、スクリプトを書いた本人以外には理解が難しいことなどです。
スクリプトである程度の自動化ができるとしても、実際に企業が送信する必要のある大量で多種類のファイルの転送すべてをカバーすることは困難です。まとめると、FTP は保護や自動化が難しく、ファイル転送を正確に追跡して監査することができません。
適切な「安全なファイル転送」
いろいろな問題点を上げましたが、最悪の状況は、種々の不完全なファイル転送手法をごちゃまぜで使ってしまうことです。統括された監視やセキュリティなしでファイルがいたるところに保管されていたら、コンプライアンス違反などの大きな問題がいつ起こっても不思議ではありません。
安全を確保するには、ファイル転送を完全に保護する必要があります。つまり、保存中も転送中も暗号化され、転送アクティビティを追跡して、適切に転送されたことを確認する必要があります。また、ファイル転送システムにアクセスするすべての人を、できれば多要素認証を介して認証するべきです。追跡については、すべてのファイル転送をログに記録して、すべての転送アクティビティの完全な記録を作成する必要があります。
これらの様々な困難な課題をクリアするのに必要なのが、マネージド・ファイル・トランスファー・テクノロジーです。
MFT は、これらの課題をクリアする機能をすべて備えており、ファイル転送のために使用されている不十分な手法は、すべて、あるいはほとんど、MFT に置き換えることができます。すべてのアクティビティを表示する単一の統合システムであり、安全で管理しやすい自動化ソリューションです。ファイル転送が失敗するリスクは大幅に削減され、自動化と統合によって生産性が大きく向上します。上述のような、安全面で問題があるようなファイル転送方法を無秩序に使用する場合と比べると、安全性のみならず、投資収益率(ROI)も向上します。
暗号化の重要性
「安全なファイル転送」と称するツールの中には、ファイルが公開されておらず、アクセスするにはアカウントとパスワードが必要な点を安全性の根拠にしているものもあります。これは、窓が開いていても、ドアに鍵がかかっているので宝石は安全だと言っているようなものです。MFA (多要素認証) がなければ、ほとんどすべてがハッキングされる可能性がありますが、これらの安全と称される製品も同様です。
データは、たとえサイバー犯罪者がファイル転送システムに侵入した場合でも、守らなければなりません。そのための唯一の方法は、暗号化によってデータを保護することです。
エンドユーザーのアクセスが制限されているファイアウォールの背後にあるデータベースなどの保護されているITソリューションであっても、ファイルがエクスポートされるか転送されるかして DBMS を離れると、侵害される可能性が出てきます。侵害は、転送中でも、またはファイルがサーバーなどに移動してそこで保存されているときでも起こり得ます。
MOVEit などの優れた MFT ソリューションは、常にデータを暗号化できます。
MOVEit マネージド・ファイル・トランスファーについての詳細は、こちらをご覧ください。または、無料試用版をダウンロードしてお試しいただくことも可能です。