SFTP vs FTPS

SFTP vs FTPS

FTP, SFTP, FTPS, HTTPS, AS2などファイル転送のための多くのオプションは問題に回答する際に混乱させることがある。転送中に会社のデータをセキュアにするための最善の方法は何ですか?このブログは二つの主流なセキュアFTPプロトコルSFTPとFTPSの相違点とファイル転送保護のための最善の選択の紹介です。

まだFTPを使用しますか?

FTPは広く普及しているファイル転送方式であり、World Wide Webよりも長く使用されていて、発明以来変わりません。当時、インターネット活動は悪意のあるものではないと一般的にみなされていたため、毎日ニュースで見るようなサイバーセキュリティの脅威に対処する機能を備えたFTPは作成されていませんでした。

FTPは、コマンドチャネルとデータチャネルと呼ばれる2つの独立したチャネルを使用してデータを交換します。FTPの場合、両チャネルは暗号化されず、これらのチャネルを介して送信されるデータは傍受され、読み取られる可能性があります。
たとえあなたが中間者攻撃を受け入れ可能なリスクだと考えていても、PCI DSS、HIPAAやその他の業界規制ではデータ転送を暗号化する必要があります。残念ながら、セキュリティリスクが高まり、高いコンプライアンスコストがかかるにもかかわらず、FTPは実際に普及しています。
基本的なFTPプロトコルを避け、安全なオプションを選択することを強くお勧めします。
 

FTPSとは何か?

1990年代、インターネットセキュリティに対する懸念が高まっていました。それに対応して、Netscapeはネットワーク上の通信を保護するSecure Sockets Layer(SSL、現在はTLSとして知られている)プロトコルを作成しました。FTPS作成のために、SSLはFTPに適用されました。FTPと同様に、FTPSはコマンドチャネルとデータチャネルの2つの接続を使用します。両方の接続を暗号化するか、データチャネルのみを暗号化するかを選択できます。
FTPS  は、ユーザーID、パスワード、証明書、またはその両方を使用して接続を認証します。取引先のFTPSサーバに接続するとき、FTPSクライアントは、まずサーバの証明書が信頼できるかどうかを確認します。証明書が既知の認証局(CA)によって署名されている場合、または証明書が取引先によって自己署名され、信頼できるキーストアに公開証明書のコピーがある場合、証明書は信頼されているとみなされます。また、あなたの取引先は、接続するときに証明書の提供を要求することがあります。証明書が第三者CAによって署名されていない場合、パートナーは証明書に自己署名、事前に公開部分を送信して信頼できるキーストアにロードすることを許可する場合があります。
ユーザーID認証は、証明書認証および/またはパスワード認証の組み合わせで使用できます。
 

SFTPとは何か?

FTPSはFTPプロトコルにレイヤを追加する一方で、SFTPはネットワークプロトコルSSH(Secure Shell)に基づいた全く異なるプロトコルです。FTPとFTPSとは異なり、SFTPは一つの接続のみ使用し、認証情報と転送するデータファイルを暗号化します。
SFTP  は、接続の認証に2つの方法を提供します。FTPと同様に、単にユーザーIDとパスワードを使用することもできます。ただし、SFTPではこれらの資格情報が暗号化されていて、FTPよりもセキュリティ上の利点があります。SFTPで使用できる他の認証方法は、SSHキーです。これは、最初にSSH秘密鍵と公開鍵を生成する必要があります。SSH公開鍵を取引先に送信し、サーバにロードしてアカウントに関連付けます。SFTPサーバに接続すると、クライアントソフトウェアは公開キーをサーバに送信して認証を行います。公開鍵があなたの秘密鍵と一致し、指定されたユーザーまたはパスワードが一致する場合、認証は成功します。
ユーザーID認証は、キー認証および/またはパスワード認証の組み合わせで使用できます。
 

FTPSとSFTPの相違点

わたしたちは、FTPSとSFTPの両方が、FTPが提供できない認証オプションを通じて、FTPSとSFTP両方が強力な保護を提供することを確立しました。FTPSとSFTPの大きな違いの1つは、FTPSが複数のポート番号を使用することです。コマンドチャネルの最初のポートは、認証とコマンドを渡すために使用されます。しかし、ファイル転送要求またはディレクトリ一覧要求が行われるたびに、別のポート番号をデータチャンネルのために開く必要があります。それ故に、あなた達と取引先は、FTPS接続を許可するためにファイアウォール内のポート範囲を開く必要があります。これは、ネットワークのセキュリティリスクとなります。SFTPでは全てのSFTP通信において、単一のポート番号しか必要としないため、セキュリティを確保しやすいです。
どちらのプロトコルにも利点がありますが、ファイアウォールの使いやすさゆえにSFTPをお勧めします。企業の場合、FTPSやSFTPを含む様々なプロトコルを使用して、ファイル転送を管理、監視、および自動化できる管理ファイル転送(MFT)ソリューションが理想的です。異なる要件を持つトパートナーがいれば、MFTは非常に有益です。詳細監査ログのような追加機能があり、業界規制を遵守するのに役立ちます。