MOVEit Transfer は TLS および SSH 標準を使用して、さまざまなクライアントと安全にデータを交換します。MOVEit Transfer はこのようなすべての送信時にサーバーとして機能するため、MOVEit Transfer には SSL サーバー証明書 (「証明書」または「X.509 証明書」とも呼ばれます) と SSH サーバーキーが必要です。

クライアント証明書とクライアントキーはオプションの情報であり、特定のユーザーを認証する際に、パスワードの代わりとして、またはパスワードに加えて使用できます。クライアント証明書は 2 つの TLS (SSL) インターフェイス (HTTPS および FTPS) で使用でき、クライアントキーは SSH インターフェイスで使用できます。場合によっては、クライアント証明書は何らかのハードウェアトークンに保存されることがあります。

このトピックのセクションでは、コンポーネントについて説明し、詳しいセットアップ情報が記載されているその他のセクションを紹介しています。

また、作業を始める際には以下の手順も役立ちます。

TLS (SSL) サーバー証明書

TLS サーバー証明書は通常、Comodo、Thawte、Verisign、その他の数多くの商用証明機関 (以下 "CA") から取得されます。自己生成された証明書も使用できますが、商用 CA の証明書を使用するメリットは、IE や Firefox など一般的な数多くのブラウザで、ユーザーのサイトが自動的に信頼されることです (画面隅に鍵が表示されます)。それ以外の場合、クライアントは証明書を信頼することを明示的に選択する必要があります。

MOVEit Transfer サーバー証明書は、以下の 2 か所で設定します。

  • HTTP/TLS (Web) - Microsoft インターネットサービスマネージャーアプリケーションを介して、証明書を MOVEit Transfer Web サイトに割り当てる必要があります ([[Site] Properties (「サイト」のプロパティ)] メニュー、[Directory Security (ディレクトリセキュリティ)] タブ、[Secure Communications (保護された通信)] セクション)。
  • FTP/TLS - MOVEit Transfer Config アプリケーションを介して、MOVEit Transfer FTP サイトにも同じ証明書を割り当てる必要があります ([FTP Certs (FTP 証明書)] タブ)。

TLS (SSL) クライアント証明書

ユーザーは、HTTPS または FTP/TLS インターフェイスを使用したサインオンプロセス中に TLS クライアント証明書の提示を求められることがあります。詳細については、「クライアント証明書 - 概要」および「FTP - 設定 (クライアント証明書が必要)」を参照してください。

SSH サーバーキー

SSH キーと署名者の間には何の関係もなく、MOVEit Transfer SSH サーバーは初回実行時に独自のキーの生成のみを行います。

MOVEit Transfer Config アプリケーションを使用して、SSH キーのフィンガープリントをいつでも確認できます ([SSH] タブ)。

SSH キー - サーバーキー - 概要」も参照してください。

SSH クライアントキー

SSH ユーザーは、サインオンプロセス中に SSH クライアントキーの提示を求められることがあります。詳細については、「SSH キー - クライアントキー - 概要」を参照してください。

パスワード、キー、および証明書の関連セキュリティ

パスワードを保護するために、MOVEit Transfer には、パスワードの安全性要件、パスワードの有効期間、ユーザーごとの IP 制限、ユーザーごとのセッション制限、自動ロックアウト、パスワードを安全に送信するための TLS および SSH 暗号化チャネルの使用が含まれています。

クライアント証明書 (以下 "証明書") およびキーは通常、特定のコンピュータまたはハードウェアトークンに関連付けられます。攻撃者がこれらの認証情報を悪用するには、(インストールされているキー/証明書について) デスクトップ/ラップトップマシンを制御するか、またはハードウェアトークンを入手する必要があります。すべてのクライアント証明書およびクライアントキーは、"公開キー/秘密キー" 暗号化に依存しています。このモデルでは、特定のユーザーの秘密キーを入手すれば、そのユーザーになりすますには十分です。MOVEit Transfer は、クライアント証明書/キーの秘密キーを直接取り扱わないことで、秘密キーの保護の問題を回避します。

パスワードとクライアント証明書/キーには脆弱性があるため、ユーザーは一般的に、パスワードとクライアント証明書/キーの両方を使用した認証を求められます。攻撃者がこのスキームを打破するには、ユーザーのパスワードを入手し、そのユーザーの秘密キーにアクセスしなければなりません。攻撃者にとって、この "2 要素" レベルのセキュリティ侵害を成し遂げることは、パスワードまたは証明書/キーのどちらかを入手することよりも困難です。

キーと証明書の違い

SSH キーと (X.509) TLS 証明書の主な違いは、SSH キーは独立した認証情報であるのに対し、TLS 証明書は確認が必要であるという点です。

SSH サーバー (MOVEit Transfer を含む) は、特定の SSH クライアントキーを特定のユーザーに関連付けます。SSH クライアントが SSH キーを提示し、それがユーザーのレコードに保存されているものと一致した場合、SSH クライアントキーは認証されます。

TLS サーバー (MOVEit Transfer を含む) も特定の TLS クライアント証明書を特定のユーザーに関連付けますが、SSL サーバーは受信した TLS クライアント証明書に対してバックグラウンドで追加チェックを実行します。TLS クライアント証明書は、証明機関 (CA) によって署名 (発行) されます。TLS サーバーは信頼する CA のリストを維持します。TLS サーバーが有効な TLS クライアント証明書を受信したが、クライアント証明書の CA が信頼されていない場合、TLS サーバーは接続を拒否します。

TLS 認証の設定は、SSH 認証の設定よりも複雑です。

必要な認証情報

MOVEit Transfer ユーザーは、パスワード、クライアントキー (SSH のみ)、またはクライアント証明書 (HTTPS および FTP/TLS) で認証できます。各ユーザープロファイルのオプションを使用して、許可される組み合わせを正確に適用できます (デフォルト設定は組織レベルで使用できます)。可能な設定は以下のとおりです。

  • パスワードのみ (キー/証明書は無視されます)
  • キー/証明書のみ (パスワードは無視されます)
  • パスワードまたはキー/証明書 (いずれかの認証情報が一致した場合、他方は無視されます)
  • パスワードおよびキー/証明書 (「2 要素認証」も参照してください)

2 要素認証

「2 要素認証」を必要とするシステムには、次の項目が必要です。

  • ID のステートメント (通常はユーザー名)
  • 一意の認証情報 1 (通常はパスワード)
  • 一意の認証情報 2 (通常はクライアント証明書またはクライアントキー)

MOVEit Transfer は、クライアント証明書を使用する HTTPS および FTP/TLS インターフェイスと、クライアントキーを使用する FTP over SSH インターフェイスで「2 要素認証」をサポートしています。この要件を特定のユーザーに適用するには、以下のユーザーレベルのオプションをインターフェイスごとに有効にする必要があります。

  • クライアントキー/証明書が必要
  • キー/証明書が提示された場合はパスワードが必要

多くの FTP/TLS クライアントでは、対話モードとバッチモードの両方で 2 要素設定 ("パスワードと証明書") を使用しています。ただし、最も一般的な SSH クライアント (OpenSSH) は、2 要素設定が適用されている場合、対話モードでのみ機能します (OpenSSH は、バッチモードでは 1 要素の [Key Only (キーのみ)] または [Password OR Key (パスワードまたはキー)] に設定する必要があります)。