FTPの構築目的はセキュリティではない
「FTPが理想的でないことは認識していても、それがどれほど危険なものかを理解していない専門家もいます」と、Fortraのリード・ソリューション・エンジニアであるヒース・キャス氏は、「FTPは死んだのか? -原題:"Is FTP Dead?"」という記事の中で述べています。
その例として、2010年にGoogleが検索範囲を拡大した際、イェール大学の関係者43,000人の名前と社会保障番号がどのように共有されたか覚えていますか。別の例では、FTPサーバの設定ミスで205,000件の患者記録が流出し、2019年には、数百万人が使用するオープンソースのFTPサーバが重大な脆弱性の影響を受けました。
ファイル転送プロトコルは、平文のユーザー名とパスワードで認証を行い、暗号化には依存しません。そのため、スニッフィング、スプーフィング、ブルートフォースといった単純なWebアプリケーション攻撃に対する脆弱性が残ります。
FTPは安全になるように構築されていないため、多くのセキュリティ担当者は、より保護性の高いテクノロジーへの移行を検討しています。その中でも、いくつかのSFT手法が上位に挙げられています。