<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">

SFTPではGDPRコンプライアンス対応は困難

Jeff Edwards| July 26 2018

| security, GDPR, MOVEit, Compliance, データ保護

sftp-not-gdpr-compliant

GDPRが施行されて2カ月が経過しましたが、まだ、どこも手探り状態のようです。一般データ保護規則は、拠点がEUかどうかにかかわらず、EU在籍者の個人データを処理するすべての組織に適用され、コンプライアンス違反に対する罰則は、最高で年間売上高の4%に達します。データ収集の方法によっては明らかにGDPR違反のこともありますし、業務プロセスがコンプライアンスのグレー領域にあるようで頭を掻きむしっている人もいるかもしれません。

SFTPとGDPRコンプライアンスのグレー領域

Secure FTP (SFTP) は、このややこしいGDPRコンプライアンスのグレー領域にあると言えます。このプロトコルがGDPR要件を満たしていると誤解している企業も多いと思われます。SFTPは間違いなく実用的ですが、GDPRコンプライアンス対応ができるとは言い切れません。GDPRの重い罰金を科されないためには、この点を理解しておくことが大切です。SFTPではGDPRコンプライアンス対応が困難なのはなぜかを考察する前に、このプロトコルの特性を確認しましょう。

セキュアファイル転送プロトコル(Secure File Transfer Protocol)は、1990年代半ばに開発された比較的新しい技術で、セキュアシェル(Secure Shell)プロトコルを使用して保護された接続を介してファイルやその他のデータを転送することができます。FTPとの違いは、FTPがテキストベースなのに対して、SFTPはパケットベースであるという点です。SFTPではデータ送信量が少ないため、長期的にはFTPより高速になります。さらに、SFTPのファイル転送はメインコントロール接続でインラインで実行されるので、ファイル転送用に別のデータ接続を開く必要がなくなります。

SFTPでGDPRコンプライアンス徹底可能か

以上を踏まえたうえで、SFTP GDPRコンプライアンスに十分かどうかを考察します。言葉の響きとは違って、セキュアなファイル転送プロセスであっても、セキュリティ違反GDPR違反に結びつくかもしれない制約を持ち得ます。というのは、データの暗号化、FTP自動化、FTPの可視性、組織の拡大と複雑さにマッチする適切な拡張性など、規定されているいくつかの重要な要件を満たさない場合があるからです。

GDPR時代は、個人データの外部へのファイル転送プロセスを注意深くチェックする必要があります。データ転送アクティビティは、便利で迅速ですが、個人データ漏洩のリスクを増大させます。たとえば、FTPサーバーにアップロードされた個人データは暗号化されず、削除されることもほとんどありません。セキュリティパッチは最新情報で更新しないと、サイバー犯罪者に容易なアクセスを許してしまいます。アクセス許可を集中管理できない場合、ユーザーの資格情報が漏洩する危険もあります。

FTPデータ転送には、PERLBASHVBPowerShell などの文書化されていない言語で記述されたスクリプトを使うことがよくあります。これらのスクリプトで記述されたワークフローを複数のFTPサーバーにインストールすると、混乱が生じ、個人データの処理が承認された方法と違う形で行われる可能性があります。さらに、GDPRは、GDPRコンプライアンスの証拠を提出することも規則化しています。複数のFTPサーバーから監査ログを収集してまとめ、提出できる形にするには、手間も時間もかかります。監査者は、単一ソースからの一貫した形式のログデータが、改ざん防止データベースに保存されることを好み、寄せ集めのログデータには疑いの目を向けます。

 

既存のSFTP環境をGDPRコンプライアンスにアップグレード可能か

では、既存のSFTP環境をGDPRコンプライアンスにアップグレードするのはどうでしょうか?残念ながら、この戦略は根本的な欠陥を含んでいます。これを行うには、すべての外部転送プロセスが安全なプロトコルと暗号化を使用していることを保証する必要があります。さらに、アップグレードのプロセスには、保管中のすべてのデータを保護するためにAES-256暗号化を追加する必要があります。GDPRコンプライアンスのために安全性と説明責任を保証する大変な作業ですが、それでも十分ではなく、最終的には実りのない努力になってしまいます。Secure FTP は、置き換えられた FTP サーバーの持つ脆弱性とリスクを継承してしまうからです。

前述のように、組織がEU在籍者の個人情報を収集、保管、処理、または送信する場合は、GDPRが適用されます。コンプライアンス違反を避けるためには、個人データの収集と送信に関連するシステムで、ユーザー認証や暗号化技術が整備されていることを確認することが重要です。GDPR時代には Secure FTP は十分ではありませんが、マネージド・ファイル・トランスファー・ソリューションなら対応可能です。これらのソリューションを使うと、GDPRが規定する制約、転送中と保管中の個人データの暗号化、送信者と受信者間でのみデータが確実に転送されることを保証する否認防止機能、DLPとアンチウイルスの統合、境界セキュリティ、集中アクセスコントロール、などを満たすことができます。

GDPR違反のペナルティは極めて厳しいので、どんな組織でも軽視すべきではありません。たとえ組織がEUの顧客データを扱っていないとしても、早晩同様レベルの厳しい規制が世界の他の地域でも適用されるようになるでしょう。GDPRコンプライアンスを考えておくのは、将来への備えにもなります。

GDPRとコンプライアンスに関連する以下のホワイトペーパーをご参照ください。

Topics: security, GDPR, MOVEit, Compliance, データ保護

Default HTML block

コメントをどうぞ

メールアドレスは公開されません。アスタリスクマーク*のついたフィールドは必須項目です。

THIS POST WAS WRITTEN BY Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.

無料試用版

無料試用版をお気軽にお試しください。

無料試用版を試す

コンタクト

ご質問、ご意見をお寄せください。

連絡先

ブログの定期メール便

ブログを定期的にメール配信いたします。