これにより、ローカル Transfer サーバーで実行されているウイルス対策と、専用のコンテンツスキャンに使用されているウイルス対策ソリューションを区別することができます。MOVEit Transfer のためのウイルス対策ソリューションを検討する場合、ローカルウイルス対策とは MOVEit Transfer マシンの保護を指し、コンテンツスキャンではアップロードされたファイルを調べて、管理対象ファイルストアのリソースを保護します (また、最終的には、これらのリソースにアクセスする可能性がある組織ユーザーを保護します)。このような区別は重要です。なぜなら、一方は、MOVEit Transfer サーバーマシンで既に展開され稼働している OS とアプリケーションファイルのスキャンを指し、もう一方は、ファイル (通常は、別のネットワークに由来する) が管理対象ファイルストアの一部になるのファイルをスキャンする独自の機能を指すからです。

MOVEit Transfer でのウイルス対策の使用

  • ローカル A/V スキャン (Windows Defender またはサードパーティ A/V スキャナー)

    MOVEit Transfer ソフトウェアを実行しているローカルサーバーマシンを保護します。ローカル MOVEit Transfer サーバーホストシステムをスキャンします。MOVEit Transfer の動作を妨げてはいけません。

  • アップロードから感染ファイルを拒否するために使用される A/V スキャンエンジン

    クライアント (モバイル、Web など) のファイルをスキャンし、MOVEit Transfer の管理対象ファイルストアにアップロードします。このソリューションは、ICAP 接続を介して A/V エンジンを使用します。

    ヒント: アップロード時のコンテンツスキャンは、ダウンロード時の情報漏えい対策とよく組み合わせて行われます (または補完されます)。詳細については、「コンテンツスキャン」のセクションを参照してください。

MOVEit Transfer サーバーマシンを保護するためのローカル A/V

MOVEit Transfer サーバーマシンを保護するために、ローカルウイルス対策アプリケーションを実行する場合は、これらのガイドラインを使用してください。

重要: ローカル A/V またはマルウェアスキャナーが、MOVEit Transfer サーバーの動作を妨げたりブロックしたりするシナリオを避ける方法の詳細については、当社のナレッジベースのコミュニティ記事「MOVEit Transfer および MOVEit Automation の A/V ベストプラクティス」を参照してください。

背景

MOVEit Transfer サーバーは通常、インターネットに公開されるネットワークセグメントに配置されます。サーバーに最新のウイルス対策製品 (Windows Defender など) を使用し、十分に管理すると多くのメリットがあります。しかし、MOVEit Transfer を実行しているサーバー上にウイルス対策製品を設定する際、MOVEit Transfer サーバー、サブプロセッサ、およびファイルストアに対してスキャンなし例外を必ず追加してください。

MOVEit Transfer システムは、セキュアなネットワークチャネルを使用してクライアントと通信します。また、管理対象ファイルストアには格納中の暗号化が採用されています。一部のローカルまたはデスクトップ A/V ソリューションでは、MOVEit Transfer サーバーの動作が潜在的な脅威として誤って分類される可能性があります (その結果、MOVEit Transfer プロセス、ファイル、またはその他のリソースが一時的にブロックまたは隔離される可能性があります)。

MOVEit Transfer は、企業ネットワークの外のインターネットに面した「DMZ」(外部ファイアウォールと内部ファイアウォールの間のセグメント) 上にあります

MOVEit Transfer を A/V スキャンルールから必ず除外してください。

MOVEit Transfer サーバーマシンでローカル A/V スキャナー (Windows Defender など) を有効にする場合は、次の重要なリソースやコンポーネントをウイルス対策スキャンの例外に指定します。

  • MOVEit Transfer 暗号化ファイルストアはスキャンの例外

    ウイルス照合の誤検出を回避し、ウイルス対策プログラムによって MOVEit Transfer ファイルストアのファイルが隔離され、削除されるのを防止するには、MOVEit Transfer ファイルストアの場所を無視するようにウイルス対策ソリューションを設定してください。暗号化されたファイルは、MOVEit Transfer Web ディレクトリ以外のディレクトリ (通常、D:\MOVEitTransfer) の Files サブディレクトリに格納されます。したがって、標準インストールの際、D:\MOVEitDMZ\Files を無視するようにウイルス対策プログラムを設定してください。

    注: リソースやファイルの場所の詳細については、「システム内部 - テクニカルリファレンス」のトピックを参照してください。
  • データベースファイルはスキャンの例外

    MOVEit Transfer データベースファイルを無視するようにウイルス対策プログラムを設定してください。これらのファイルにはバイナリデータが含まれていることがあり、これらが脅威として解釈される可能性があるためです (データベース内の一部のフィールドは暗号化されて格納されています)。データベースが MySQL の場合、データファイルは、通常、MySQL インストールディレクトリ (通常、D:\MySQL) の Data サブディレクトリに格納されます。したがって、標準インストールの際、D:\MySQL\Data を無視するようにウイルス対策プログラムを設定してください。データベースが Microsoft SQL Server の場合、ファイルは通常、C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data ディレクトリに格納されます。

  • これらの実行ファイルを除外する

    スキャンから除外する必要がある主な MOVEit Transfer プロセスは以下のとおりです。

    • MIFTPSrv.exe
    • MIDMZHelper.exe
    • SysStat.exe
    • MIDMZSSHSrv.exe
    • DMZCLI.exe (オプション)

アップロードから感染ファイルを拒否するために使用される A/V スキャンエンジン (通常は ICAP を介して行われる)

このシナリオでは、ICAP 対応のウイルス対策エンジンにより、ウイルスシグネチャのためにスキャンで陽性となったファイルは、内部ネットワークに出入りできないようにします。たとえば、ファイルはアップロード時にスキャンされ、ファイルに現在のウイルス定義と一致するパターンが見られないという通知がコンテンツスキャナーから返されるまで、MOVEit Transfer ファイルシステムに追加されません。

注: 詳細については、「コンテンツスキャン」のトピックを参照してください。

ウイルス対策と MOVEit セキュリティモデル

MOVEit Transfer は、ディスクにファイルを書き込む前に暗号化します。つまり、暗号化されていないファイルデータはディスク上に存在せず、ウイルス対策プログラムのディスクチェックを実行できません。セキュリティを最大限に高めるため、大部分のファイルはそのままメモリに保存されることはなく、小さなチャンクとして読み取りと書き込みが行われます。そのため、ほとんどのファイルに対し、ウイルス対策プログラムのメモリチェックも実行することができません。

ウイルス対策プログラムでは MOVEit Transfer によって暗号化されたファイル内の実際のウイルスを特定できないという事実に加え、ファイル暗号化の性質により、誤検出が発生する可能性もあります。ファイルの暗号化プロセスでは、そのファイル内にバイトシーケンスが生成されることがあり、これをウイルス対策プログラムがウイルスシグネチャとして読み取る可能性があります。したがって、MOVEit Transfer により暗号化されたファイルストア全体を無視するようにウイルス対策プログラムを設定することをお勧めします。

大部分の MOVEit Transfer サーバーは、分離されたネットワークセグメントに配置されます。このようなサーバーは、企業ネットワークの他の部分から独立しており、通常、ドメインツリーや Active Directory ツリーのメンバーに追加されることはありません。同じ理由により、ウイルス対策プログラムを一元管理すると、MOVEit Transfer サーバーにインストールされたインスタンスへのアクセスと保守が困難になる傾向があります。そのため、ローカルウイルス対策プログラムは、通常、MOVEit Transfer サーバー上に独立して、またはスタンドアロンモードでインストールされます。このため、設定、ウイルス定義の更新、イベントチェックを個別に行わなければなりません。