目次

01.FTPの危険性への対応
02.ウイルスの脅威への対応

FTPの危険性への対応

1)FTPの問題点

TCP/IPで構成されたコンピュータネットワーク上でファイルの送受信や操作を行う際に、最も基本的と言える通信プロトコルが『FTP』（File Transfer Protocol）です。
FTPはインターネットの初期から存在する歴史あるファイル送受信用の通信プロトコルですので、その用途における使用率は長らく支配的でした。
使用に際して非常に簡便なことも相まって、実装から数十年を経た現代であっても多くのユーザーに利用され続けています。



しかし、FTPは古い規格であるため、制定時の時代的・環境的要因からセキュリティについて全く考慮されていません。
認証時に使用されるユーザーIDやパスワード、さらには転送データまでもが暗号化されずに平文のままで送受信されますので、悪意ある第三者に転送中のデータを盗み見られた場合には、認証情報や転送データは復号を必要とせずにそのまま漏洩することになります。

この規格上のセキュリティ脆弱性がFTPの最大の問題点と言えます。

2)FTPの問題点に対する一般的な対応策

原理的にFTPではセキュアなファイルの送受信は望めません。そのため、使用する通信プロトコルそのものをより安全なものに替えることが、ファイルの送受信の安全性を高めるための一般的な対応策となります。



FTPに替わる安全な通信プロトコルとしては、FTPに伝送路を暗号化するSSL/TLSを組み込んだ『FTPS』（File Transfer Protocol over SSL/TLS）と、SSHで暗号化された伝送路を使うFTPとは全く異なる通信プロトコル『SFTP』（SSH File Transfer Protocol）が挙げられます。

IBM iは『FTPS』と『SFTP』のどちらの通信プロトコルにも対応していますので、適切な設定を施すことさえできれば、FTPよりも安全なファイルの送受信が可能になります。

3)一般的な対応策の問題点



『FTPS』を利用するためには、サーバー側にSSL証明書の配置が必須となります。
利用可能なSSL証明書の取得または準備後に、サーバーへSSL証明書を適切に配置する必要がありますが、これには一定の水準の技術知識と管理の手間が求められます。

『SFTP』を利用する場合も同様です。『SFTP』はパスワード認証でも利用できますが、鍵認証で利用するためには、運用が煩雑になりがちなSSHのペア鍵（公開鍵と秘密鍵）の生成と適切な配置及び配布が必要となります。
それに加えて、『SFTP』をサーバーとして利用するにはSSHサーバーの構築と管理、またクライアントとして利用する場合にはRPGやCLによるコーディングが必要になります。
適切な構築や管理を行うには、決して無視できないコストの増加が見込まれます。

なお、ファイル転送の機能は、一般的にはバッチ・プログラムの形で業務に組み込まれます。
今までFTPで利用するために作られたそれらのバッチ・プログラムの修正や置き換えも悩ましい問題となります。
特に『SFTP』によるファイル転送では、FTPコマンドに類似するSFTPコマンド以外に、SSHコマンドの知識が必要となりますので、新しい技術知識を必要とするコーディングにかかるコストは、ファイル転送業務をFTPからSFTPに変更する際の障壁のひとつです。

4)『GoAnywhere MFT』を利用した対応策



『GoAnywhere MFT』は、企業内外で発生する全てのファイル転送やファイル共有を一極集中で制御するMFT（Managed File Transfer）ソリューションです。
データのセキュアかつ自動的な移動を『中央集中型』で管理するMFTの核として機能します。



『GoAnywhere MFT』は、通常であれば分かりにくく煩雑になりやすいSSL証明書やSSHのペア鍵の設定や管理を、簡単かつ強力にサポートするだけに留まらず、FTP、SFTP、FTPS、HTTPS等の様々な通信プロトコルに対応し、Webブラウザベースのクライアント・ツールでファイル転送をシンプルかつ分かりやすく行える上に、それらユーザーの活動を監視して、誰が、いつ、どのファイルに、どんな操作を行ったかのすべての社内外のファイルのやり取りを監査可能にするレポートの出力までサポートします。

また、単に通信プロトコルに対応していると言うだけではなく、FTPサーバーは勿論のことSFTPサーバーや、それぞれのクライアント機能も内蔵していますので、それらのサーバー機能やクライアント機能をIBM i側で個別に準備・運用する必要がありません。
『GoAnywhere MFT』を導入して設定するだけで、容易に目的のサービスの利用が可能になります。



さらに、通常の場合に必要となるバッチ・プログラムの編集や新規作成には、簡単かつ直感的な操作感のGUIツールで対応が可能です。
このツールを使用することで、SSHコマンド等を意識することなく業務の置き換えができるようになっています。

それ以外にも、ファイルが監視対象領域に生成された時点でファイル転送を実行する『処理の自動化』や、定められた時刻に指定ファイルの転送を実行する『スケジュール機能』、認証情報を暗号化して製品側で管理する『認証情報の管理機能』等がありますので、接続時のIDやパスワードをバッチ・プログラム内に記載するリスクを大いに低減できます。

IBM iでセキュアなファイル転送を実現する際に問題となる面倒な設定や管理を簡単に行えて、かかる手間を大幅に削減できることが本製品導入の魅力となります。

ウイルス脅威への対応

1)ウイルスの問題点



IBM i OSやデータベースを管理するいわゆるIBM iのネイティブな領域は、ウィルスに対して非常に堅牢です。
ウィルスが外部から感染するリスクは皆無と言っても差し支えありませんし、ましてやそれが勝手に実行されるようなケースはあり得ないと言っても過言ではないと思います。

ただ、PASE（IBM Portable Application Solutions Environment for i）等で利用される機会も増えてきた『IFS』（統合ファイルシステム）の領域は、ネットワーク上の共有フォルダとしての機能を持つため、他のプラットフォームと同様にウィルスに感染する可能性が十分に考えられます。
そして、残念なことに、IBM i OSにはIFS領域に感染したウィルスを検知する機能や、除去する機能はありません。

現状では、一度IFS上にウィルスが侵入してしまうと、永続的にウィルスが除去されない状態が続きます。
ウィルスに感染したとしても、それが実行されない限りリスクは顕在化しない……と考えがちですが、ネットワーク上の共有フォルダに除去されないウィルスが存在するということは、そこを感染源としてネットワーク上に拡散する恐れがあるということです。

2)ウイルスの問題点に対する一般的な対応策

ファイアーウォールで不正操作の対策を万全にしていても、ウイルスの検知ができなければ侵入を防ぐことは困難です。
また、侵入経路となり得るPCや各種IAサーバーにウイルス対策をしていたとしても、ゼロデイ攻撃でPCをすり抜けたり、ウイルスの発見と対策の空隙にウイルスがIBM i に入り込む可能性もあります。



そこで、IBM iのIFS領域におけるウイルス対策として一番最初に思いつく対応策は、PCベースのウイルス対策製品を用いる方法です。
ウイルスに感染する恐れのあるIFS領域をネットワーク共有可能な状態に設定した後に、PCベースのウイルス対策製品でネットワーク越しに対象領域のウイルスの検知と除去を行う方法です。

この方法の場合、一般的には対策にかかるコストが比較的低く抑えられることが利点といえます。

3)一般的な対応策の問題点

IFS領域をPCベースのウイルス対策製品で防御する方法は、一見すると低コストでかつ十分な効果が見込める様に思えますが、後述する問題点があることからあまりお勧めできません。



問題点のひとつは『資源の浪費』です。ウイルスの検知や除去には多くの処理リソースが必要になります。
保護対象となる領域が大きくなればなるほど、検査対象のファイルは多くなり、ウィルス対策製品を実行しているPCもしくはIAサーバーは非常に多くの処理リソースを捻出することになりますので、必然的にパフォーマンスは低下します。
そして、こちらの方がより大きな問題となりますが、ネットワーク越しに大量のファイルを検査することは、トラフィックの増大を招き、ネットワークに大きな負荷をかけてしまいます。
その増大したトラフィックによるネットワークへの負荷は、健全な業務の遂行に支障をもたらす可能性もあります。

また、問題点のもうひとつが『安全性の低下』です。ネットワーク越しにファイルの検知を行うのであれば、そのアクセスには全オブジェクト (*ALLOBJ) 特殊権限が必要となるため、取り扱いには新たな注意が必要となります。
そして、ウイルスが感染する可能性のあるIFS領域をネットワーク共有してPC側でドライブ・マップした場合、PCがウイルスに感染した際にはそれがIBM iに流入する可能性が高まることを意味します。
ウイルス対策を施すためにセキュリティ・レベルを下げざるを得ないというジレンマは、あまり好ましい状況とは言えません。

4)『Powertech Anti-Virus』を利用した対応策

IBM iのIFS領域をウィルスから守る為に、PCベースのウィルス対策製品を利用する方法はあまり効率的とは言えません。

そこで、弊社では『Powertech Anti-Virus』の利用を提案いたします。



『Powertech Anti-Virus』は、世界1,000ライセンス以上(国内約100ライセンス)の実績を持つIBM iのネイティブ環境で稼働するウィルス対策製品です。
ウィルス対策製品の要であるスキャン・エンジンとウィルス・パターンファイルはあえて独自開発したものを採用せずに、協業先であるPCベースのウィルス対策製品の開発元として有名なMcAfee社のものを利用しています。
これによって高い信頼性と継続的なサポートの提供を可能にしたことが大きな特徴となっています。

なお、日々更新されるMcAfee社のウィルス・パターンファイルの適用や、ウィルスのスキャンの実行はスケジュール機能によって自動化することが可能ですので、導入後の使用感はPCベースの製品と大きく変わりません。

ユーザーの利用意識に関わらず、IFS領域は日々活用範囲が拡がり続けています。そして、それに伴ってウィルス感染のリスクは密やかに増大しています。
IBM iのネイティブ領域で稼働する本製品は、IFS領域をウィルスから守るソリューションとしては最適解のひとつではないかと考えます。

まとめ

オープン技術を取り入れたIBM i に必要なセキュリティ対策の第2回目として、今回は具体的なセキュリティリスクである『FTPの危険性』と『ウイルスの脅威』についてご説明いたしました。
第3回目となる次回は、今回と同様に『パワーユーザーの不正』と『外部通信の危険性』に焦点を絞り、一般的な対応策とその問題点、及び弊社の提案するソリューションをご紹介いたします。