ファイアウォールルール:ファイル転送の範囲を厳しく制限
ファイルを転送できるチャネルの範囲を制限することは、ファイアウォールで使用される基本的なルールですが、システムまたはシステムが sFTP ハブに指定されたら、次の問題が解決されていることを確認してください:
許可されたルールに含まれる sFTP トラフィックシステムのみがファイアウォールを通過できます。
sFTPパケットの送信元または宛先として使用できるのは、リモート側で認 識されたシステムのみです。
SFTPは、これらのシステムのファイアウォールを通過する唯一の暗号化されたトラフィックです。sFTP トラフィックは暗号化されていますが、不透明な管理ツールであるため、これらのシス テムを行き来する唯一の不透明なトラフィックであることを確認する必要があります。
ほとんどの組織では、外部エンティティとの間で必要な変更が急激に増えたり、体系的にリストアップされたりすることはありません。そのため、頻繁または急激な変更が必要な場合は、セキュリティ・オーケストレーション・ツールを利用して、必要なルールを送信元または送信先に合わせる必要があるかもしれません。
ホスティングツールの使用
それ以外の環境を考慮すると、ホストベースのミティゲーション・アプローチを慎重に検討する必要があります。セキュリティ・ベンダーやシステム管理ベンダーは近年、ホスト・ベースのシステム監視ツールに高速解析を導入するなど、変化を遂げています。特に、オペレーティング・システムのサービス・コールなどの正常な動作パターンと、パフォーマンスへの影響が少ないシステム上の異常の発見の両方に有用なものがあることが分かっています。ホストベースの異常動作検出を実行することで、機密データが許可されていないチャネルに移動するのを減らすことができます。
コンテンツではなく、オンライン上の行動に注目
ホストだけでなく、ネットワーク・ビヘイビア・アナリティクスは、データ・ストリームの変化や、一部のツールでは見ることができない暗号化されたデータ・ストリームの内容まで見つけることができます。これらのツールは、システムから流出するデータの数、宛先、および期間を確認できるため、データ漏えいのプロセスを監視するのに役立ちます。このようなシステムの効果的な使用は、特にトラフィックを「正常」と識別する初期段階では困難です。例えば、侵入検知システム、データ漏えい防止システム、ネットワーク行動分析ツールはすべて「偽陽性」になりやすく、何が異常な行動であるかを判断する必要性を警告します。セキュリティ担当者は、これらのシステムの学習に余分な時間を費やすか、この時間のかかる作業を処理する何らかの専門サービスを利用する必要があります。また、セキュリティ・チームは、アラートの評価に基づいてアラート・ルールやレスポンス・ルールを継続的に改善し、誤検出の数を徐々に減らしていくためのセキュリティ・プロセスを定義し、それに従う必要があります。
自分の仲立ちになりましょう。
漏えいを防ぐ最も極端な方法は、これらの中間者機能を実行できるデバイス容量ネットワークの該当部分を流れる暗号化されたトラフィックを全てオンにすることです。これらのデバイス内の暗号化されたトラフィックは内側を向き、システムで終了し、チャネルは外側を向き、データストリームの反対側で終了します。チャネルはそれを暗号化し、復号化します。その後、ディープ・パケット・インスペクション・ツールを使用してコンテンツの感度を分析し、疑わしいとマークして、完全にブロックするか、または通過を許可します。通過が許可された場合、トラフィックは再度暗号化され、宛先に送信されます。これは非常に計算集約的でコストのかかる作業です。しかし、暗号化されたトラフィックの送受信をすべて検査することで、暗号化されたデータストリームの中にデータが隠されているリスクを大幅に減らすことができます。暗号化されたデータ・ストリームをキャプチャする範囲を慎重に定義し、企業のリスク・マネジャーと協議する必要があります。この範囲をユーザーのエンドポイントデバイスと非 FTP 暗号化ストリームにまで拡大する必要がある場合、ユーザーは暗号化されたトラフィックが IT スタッフに公開される可能性があることを認識する必要があります。
概要
これらの対策は、sFTPを使用することによってもたらされるリスクを軽減するのに役立ちます。データ漏洩は非常に広範囲に及ぶように設計されており、デスクトップやラップトップからネットワークに直接、複数のサービスを通じて暗号化されたチャネルを使用することは非常に困難であることに注意してください。sFTP周辺の環境、あるいはデータセンター全体をロックダウンすることで、データ漏洩のリスクを減らすことはできますが、完全に排除することはできません。スマートフォンのカメラが普及し、FacebookやTumblrの側面から機密データを秘匿する時代には、データ漏洩の問題を完全に回避する方法はもうありません。しかし、データ漏洩問題を軽減する方法はまだあります。
