対応は済みましたか? 2024年1月ISDNサービス終了~IBM i でSFTP実装!~

対応は済みましたか? 2024年1月ISDNサービス終了~IBM i でSFTP実装!~

運用2022.06.24

1. 2024年1月にISDNサービス終了

NTT東西は、2024年1月に「ISDN(INSネット ディジタル通信モード)」のサービス提供を終了することを発表しています。
ISDNでEDI(Electronic Data Interchange:電子データ交換)連携を行っている方々は、EDI移行が課題となっているのではないでしょうか。

世界的に利用されている「インターネットEDI」への移行を検討する方もいらっしゃるかと思います。
「インターネットEDI」を実現する6大通信プロトコルは、
・EDIINT AS2:販売・流通業界などで利用されている
・OFTP2:自動車業界で利用されている
・ebXML MS:アジアを中心に利用されている
・JX手順:日本独自の規格で中小企業を中心に利用されている
・SFTP:国や業界に限らず広く利用されている
・全銀協標準通信プロトコル(TCP/IP手順・広域IP網):企業・銀行間で利用されている
と言われています。

この中でも、SFTPは国や企業に限らず広く利用されており、SSHによって安全なファイル転送が可能です。
本記事では、SFTPについて、また弊社製品「GoAnywhere MFT」を利用したSFTP実装についてご紹介させていただきます。

2. SFTPとは

SSH File Transfer Protocolの略であるSFTPは、Secure Shell(SSH)を介してファイル転送を保護及び実行することができる安全なファイル転送プロトコルです。SFTPは、ネットワークプロトコルとして、AES、Triple DES、および同様のアルゴリズムを実装して、システム間で転送される通信を暗号化します。

SFTPはSecure Shell(SSH)データストリームを介して機能し、安全な接続を確立し、高レベルなファイル転送保護を提供します。これは、SFTPが暗号化アルゴリズムを使用してデータをサーバに安全に移動し、プロセス中にファイルを読み取れないようにするためです。認証により操作中の不正なファイルアクセスが防止されます。

3. IBM iの標準機能でSFTP実装・管理するのは難しい

IBM iの標準機能でSFTPサーバを立ち上げたり、他システムやサーバのSFTPサーバに接続しに行くこと自体は可能です。
しかし、実際に実装・管理することは簡単なことではありません。
IBM i 上のSFTPサーバの場合、SSH開始自体は難しくありませんが、各ユーザーの管理やアクセス制御、そしてログの閲覧・管理が難しいです。
IBM i 上のSFTPクライアントの場合、実際に設定やファイル転送をする際にQSHELLやOpen SSHコマンドを使用するため、それらの知識が必要です。また、転送の自動化にはスクリプトを作成しなくてはなりません。複雑な条件分岐やエラー処理等を含めたスクリプトを作成するのは容易ではありません。

【IBM i 上のSFTPサーバ】
<実装方法>
①クライアント用のユーザープロファイル用意
②クライアント用のホームディレクトリ作成
③②のホームディレクトリに公開鍵を配置
④SSH開始

<管理>
①各ユーザーの公開鍵
②各ユーザーのアクセス制限
③アクセスログの管理

<課題>
各ユーザーや各フォルダのアクセス制限が細かく設定できない、手間がかかる
②アクセスログが見づらい、ユーザー毎に確認することもできない
⇒細かい設定や運用後の管理が簡単にできない

【IBM i 上のSFTPクライアント】
<実装方法>
①QSHELL等でSSHを起動
②公開鍵、秘密鍵を生成
③公開鍵をSFTPサーバに送信
④Open SSHコマンドやシェルスクリプトでファイル転送

<管理>
①各ユーザーの秘密鍵

<課題>
①QSHELLやOpen SSHコマンドを覚える必要がある
②自動化するにはシェルスクリプトを作成する必要がある
⇒知識が必要

4. GoAnywhereでIBM iにSFTP実装・管理

標準機能では難しかったIBM iへのSFTP実装・管理も、「GoAnywhere MFT」を利用すれば簡単です。

GoAnywhere MFT」は、企業間、個人間の多種多様なファイル転送を可能とするファイル転送管理ソリューションです。

IBM iも含め様々なプラットフォームに導入可能です。

主要なプロトコルに関して、クライアント側(他システム、サーバのSFTPサーバに接続しに行く側)としての機能はもちろんサーバ機能(SFTPサーバを立ち上げる側)も備えております。

【GoAnywhereが接続可能なサーバ】

・FTP/Sサーバ

SFTPサーバ

・HTTP/Sサーバ

・AS2サーバ

・AS4サーバ

・データベースサーバ(SQL Server、Oracle、MySQL、IBM i、DB2、PostgreSQL、Derby、Informix)

・IBM iサーバ

・メールサーバ

・MQサーバ

・SMTPサーバ

・RESTサーバ

・SOAPサーバ


【GoAnywhereで構築可能なサービス】

・FTP/S

SFTP

・HTTP/S

・AS2

・AS4

・GoFast(GoAnywhere独自の高速ファイル転送サービス)

そのため、GoAnywhereだけでSFTPを利用して企業間で相互にファイルのやり取りを実現することが可能です。EDI連携にももちろん利用可能です。


また、ブラウザベースの操作容易な管理画面が提供されており、この管理画面から以下の操作が全て可能です。

 


                                                                                                (GoAnywhere管理画面)

・サーバ機能の管理(起動/停止)

⇒起動/停止ボタンをマウスでクリックするだけ

・ユーザーの作成・権限・管理

⇒細かいアクセス制限や、IBM iのユーザープロファイルやADとの連携で認証

・転送定義の作成・管理

⇒難しいコマンドや知識は不要、ノンプログラミング

・転送定義の自動化

⇒スケジュール実行、モニター(フォルダ監視)機能

・アクセス・転送ログの閲覧

⇒いつ、誰が、何のファイルを、転送したか確認

・鍵の管理

⇒秘密鍵、公開鍵共に同じ管理画面から管理可能、有効期限もひと目で分かる

・IBM iと連携

⇒RPGやCLを呼び出すことも、逆にRPGやCLから転送定義を呼び出すことも

・EDI取引先の登録、管理

⇒一覧で管理、転送定義に登録情報を利用可能

・EDIドキュメントの取り扱い

⇒転送定義の中でEDIドキュメントを読み込み、書き込み可能


GoAnywhere一つでSFTPによるファイル転送を全て実現、一括管理することができます。

また、IBM i標準機能では課題となっていた、各ユーザーの管理やアクセス制御、ログの閲覧や管理が可能となり、そしてスクリプトを作成する必要がないためプログラミングの知識も必要有りません。


5. OpenSSH vs GoAnywhere

SFTP実装でよく利用されるOpen SSHとGoAnywhereを、それぞれSFTPクライアント・SFTPサーバの場合で比較した表がこちらです。

【IBM i 上のSFTPクライアント】

IBM i 上のSFTPクライアント

Open SSH

GoAnywhere

プログラミング不要なバッチファイル転送設定

-

直観的なウィザードを使用した取引先パートナーとの接続設定

-

中央データベースによるSSHキーの作成と管理

-

統合的なスケジューラ機能でファイル転送を自動化

-

ファイルの新規作成、変更、削除のフォルダ監視

-

パスワードとキーを使用してバッチ転送を認証

-

豊富なワイルドカードパターン指定によるファイルのフィルタリング

-

タイムスタンプ、サイズ指定を使用したファイルのフィルタリング

-

ワイルドカード、タイムスタンプ、サイズ指定によるファイルの除外

-

SFTPサーバへの自動再接続

-

中断されたSFTP送信の自動再開

-

FIPS 140-2検証済のAES-256暗号化

-

Open PGPによるファイルの暗号化、復号化

-

エラー時の電子メールアラート、テキストメッセージ送信

-

ファイル転送の詳細な監査証跡を生成

-

 

【IBM i 上のSFTPサーバ】

IBM i 上のSFTPサーバ

Open SSH

GoAnywhere

中央データベースによる取引先パートナー(ユーザー)を管理

-

IBM i ユーザープロファイルを不要としたパートナー認証

-

詳細なアクセス許可とディスククォータをフォルダ毎に設定

-

各IFSフォルダへフレンドリ名(エイリアス)の割り当て

-

ファイルを自動的に処理するためのトリガー機能の構成

-

特定のIPブラックリストとホワイトリストを事前定義

-

DoSおよびブルートフォース攻撃からIPを自動ブラックリスト化

-

ファイル転送の帯域幅制限の使用

-

ユーザーセッションのアクティビティをリアルタイム表示

-

FIPS 140-2検証済のAES-256暗号化

-

アクティブ-アクティブ高可用性のための複数システムのクラスター化

-

ログインの失敗またはその他のエラーに関する電子メールアラートの送信

-

すべてのファイル転送およびイベントの監査証跡を生成

-

IBM iの受信ポートを開放不要*

-

*DMZでGoAnywhere Gateway™リバースプロキシを使用する場合、外部ネットワークのパートナーがプライベートネットワークのIBM iサーバへのインバウンドポートを必要とせずにGoAnywhere SFTPサーバに接続できる構成が可能となります。

【関連記事】
(GoAnywhere Gatewayについてはこちら)

6. まとめ

安全にファイルを転送したい方、ISDNサービス終了に伴い代替の通信手段を探している方、GoAnywhereを利用したIBM iへのSFTP実装をぜひ検討してみてください。

EDI連携をしている方、SFTPに限らず、同じく6大プロトコルであるAS2に関しても同様に提供しております。お気軽にお問い合わせください。