ファイルを安全に送信する方法を決めるのは難しくありません。効率的かつ安全にファイル転送を行うプロトコルはたくさんあります(考慮すべきものもいくつかあります)。

ファイル転送プロトコルとそのセキュリティ上の考慮事項

FTP(ファイル転送プロトコル)

• セキュリティ上の考慮事項: ファイルの送信は暗号化されておらず、データは平文(コマンドや認証情報を含む)で送信されます。FTPはインターネットより先に登場し、今日の組織が高度なサイバー犯罪者や、機密データを扱う際の単純な人為的ミスに対するセキュリティニーズに追いついていません(ただし、FTPの安全なバージョンはFTPSが対応可能です)。今でも非感度の内部転送に時折使われることがあります。
• 推奨:ブルートフォース、中間者攻撃、パケットスニッフィングなどの攻撃に対する脆弱性のため推奨されません。 古いFTPスクリプトは、認証情報が漏洩するため、悪意のあるソフトウェアやハッカーが組織の機密情報を悪用するための明確な経路を提供してしまうことがあります。さらに、組み込みのデータ整合性チェックがないため、ファイルが検出されずに転送中に改ざんされる可能性があります。

さらに、FTPは安全なログ記録や監査機能を欠いており、ファイル転送活動の追跡や監視が困難であり、HIPAA、PCI DSS、GDPRなどのデータ処理やプライバシーに関する業界要件の不遵守リスクがあります。代わりに、FTPSやSFTPのようなより安全なプロトコルを使用してください。

FTPS(FTP Secure)

• セキュリティ上の考慮事項:このより安全なFTPバージョンは、TLS(SSLの代替)をデータ転送のセキュリティメカニズムとして使用しています。制御接続は転送前から、転送前から暗号化されており、転送間も同様です。
• おすすめ:推奨します。FTPSは複数の強力な暗号化アルゴリズムを使用しますが、制御チャネルやデータチャネルのために複数のポートが必要であり、ファイアウォールの設定が複雑になることがあります。脆弱性を避けるためには、適切なSSL/TLS証明書管理が不可欠です。
• 遅延は各プロトコルに影響を与えることがあります。FTPSはSFTPよりも長距離や高速の大きなファイルに対してはるかに効率的です。FileCatalystのような高速化ソリューションほど高速ではありませんが、SFTPよりは性能が優れています。

HTTPS(ハイパーテキスト転送プロトコル Secure)

• セキュリティ上の考慮事項: 転送されるデータはSSL/TLSで安全な送信が行われます。ほとんどのサイトは、単純なHTTP接続をHTTPS対応の接続にリダイレクトします。ファイル転送前にアドレスバーのロックアイコンを確認し、安全かどうかを確認してください。
• おすすめ:ただし、ただし注意点を付けて推奨します。 このプロトコルは安全ではありますが、証明書の管理ミスやSSLの脆弱性に対して依然として脆弱である可能性があります。
• HTTPSは長距離ネットワークではうまく機能しますが、切断や転送再開時にはあまり耐久性がないかもしれません。

さらなる参考文献:SFTPとHTTPSの比較

SFTP(SSHファイル転送プロトコル)

• セキュリティ上の考慮事項: データと認証情報の暗号化はSSH(Secure Shell)を介して行われ、これは暗号化ネットワークプロトコルであり、セキュリティのないネットワーク上でネットワークサービスを安全に運用します。このプロトコルはFTPSよりもファイアウォールに優しく、一般的により安全とされています。鍵管理はSSHキーまたはパスワード認証によって行われます。
• おすすめ:推奨します。SFTPはマネージドファイル転送(MFT)で最も安全で広く使われているプロトコルです。さらに、ファイアウォールにも優しく、通常はポート22を開けるだけで済みます。
• 注:SFTPは性能が低いため、長距離高速リンクには推奨されません。

AS2(適用性声明2)

• セキュリティ上の考慮事項: このプロトコルは、メッセージレベルの暗号化と署名を通じて、データの整合性を保証します。また、領収書の否認禁止やデジタル署名は、流通や小売におけるファイル交換のコンプライアンス要件に必要な監査記録を提供します。AS2からAS4への移行もあり、AS4はAS2の信頼性、強力なセキュリティ、柔軟性の向上をさらに強化しています。AS2はS/MIME(Secure/Multipurpose Internet Mail Extensions)を通じてセキュリティを適用します。これは公開鍵暗号化およびMIMEデータの署名のための標準です。AS2を使ったファイルが暗号化され、署名されていることを確実にするのに役立ちます。
• おすすめ:ただし、ただし注意点を付けて推奨します。取引パートナー契約や証明書の設定は、企業間ファイル交換に使う際に複雑さを増すことがあります。
• AS2は、ファイル転送署名の計算に時間がかかるため、100MBの巨大ファイルには推奨されません

AS4(適用性声明4)

• セキュリティ上の考慮事項: AS2と同様に、AS4は非常に安全で、多くの文書形式をサポートし、交換されたファイルを圧縮し、否認防止機能(nonrevodiation)を使用するため署名と暗号化が必要です。AS4はWS-Security標準に基づいており、メッセージの整合性、SOAPベースのウェブサービスの認証、認証などのセキュリティ機能を追加しています。
• 推奨:外部統合のために取引相手とより現代的かつ互換性のあるプロトコルとして利用できることを推奨します。AS4は、SOAPやXMLなどの技術を内部統合に使用する組織により適合しています。AS4はこれらの技術を外部統合に拡張し、シームレスな運用を可能にします。要するに、AS4はAS2を基盤としていますが、すでにWebサービス、B2B統合、SOAPを活用している組織により適している可能性があります。
• 100MB+の大きなファイルにはおすすめしません。

MFTベースの移転

• セキュリティ上の考慮事項: GoAnywhere MFTのような堅牢で包括的なMFTソリューションは、エンドツーエンドの暗号化、集中型ポリシーの執行、詳細なアクセス制御を提供し、ユーザーのミスリスクを低減します。さらに、すべてのファイルの移動は監査・報告され、ファイルのチェックサムやログに関する厳格なコンプライアンス要件を満たすことができます。
• おすすめ:おすすめ。 安全なファイル転送は自動実行可能で、高度なワークフローでさらに処理を進め、世界中どこからでもオンプレミス、クラウド、またはサービスとして展開可能です。

さらに、GoAnywhereは転送失敗や不正なユーザーによるアクセス試みがあった場合にアラートを提供します。また、静止中や移動中のデータも保護します。また、GoAnywhereはPCI DSS、HIPAA、GDPR、SOXなどの厳格なコンプライアンス要件を満たすために、完全な監査記録とデータ暗号化を提供できる。

さらなる参考文献:MFTとSFTPの違い