システム管理と MOVEit Transfer

認証ポリシーに関する考慮事項

認証ポリシーを計画する際は、以下の点を考慮してください。

[多要素認証] (MFA)

• すべてのユーザーに MFA を要求/許可するか。
• ビジネスへの影響が大きいユーザーに MFA を要求するか。(例: フォルダー共有を使用する管理者または正規ユーザー)
• クライアント証明書を要求するか。

パスワード

• 必要なパスワードの安全性のレベル。
• ユーザーがパスワードを変更する必要がある頻度はどの程度か。
• ユーザーにパスワードを提供する方法 (ファックス/電話、ユーザー作成時に E メールで送信するなど)。
• ユーザーが自分のパスワードをリセットできるようにするか。可能な場合、ユーザーはまず古い認証情報を使用してサインオンする必要があるか。

インターフェイス

• サポートされているプロトコルは何か (FTP/SSL、FTP/SSH、HTTPS および/または AS2/AS3、保護されていない FTP)。
• ポート 80 HTTP に接続するユーザーを、保護された Web インターフェイスに自動的にリダイレクトするか。
• インターフェイスオプションで、クライアントにアドホックや自動送信を許可するか。

共有アカウント

• 共有アカウントを許可するか。
• 共有アカウントのユーザーが、アカウントの他のユーザーがアップロードしたファイルを表示できるようにするか。

グループ

• ユーザーをグループに分けるか。
• グループ別、またはユーザー別にアクセス許可を付与するか。特定のフォルダー、ユーザーなどに一定のユーザーアクセス許可を付与するか。

外部認証

すべてのユーザーを、信頼されている LDAP または RADIUS サーバー、あるいはその組み合わせを介して MOVEit Transfer ローカルデータベースに対して認証するか。

ユーザーはシングルサインオンを活用するか。

命名規則

• ユーザー名をどのように作成するか。例: 名+イニシャル+姓、従業員番号、会社名など。
• フルネームに主要な人材の名前や組織での役割を含めるか、会社の役割だけにするか。
• 社内外のユーザーに異なる規則を使用するか。

ロックアウトと有効期限

• ユーザーがロックアウトされる前に試すことのできる回数は何回か。
• IP がロックアウトされる前に特定の IP アドレスで試すことのできる回数は何回か。
• アカウントが無効になる前に、ユーザーが要求されたパスワード変更を延期できる期間はどれぐらいか。
• 使用されていないアカウントや、契約日を過ぎたアカウントを維持しておく期間はどれぐらいか。

許可されるホストと IP

• MOVEit Transfer のデフォルトの IP アクセスポリシーでは、エンドユーザーはどこからでも接続できるが、管理者は内部のプライベートネットワークからしか接続できない。この制約は十分か。例外はあるか。
• 代わりに、ユーザーごとに IP アドレスとホスト名のリスト/範囲を指定するか。

クライアント証明書/キー

• クライアント証明書を使用する場合、どの証明機関を使用するか。
• 2 要素認証が必要か、または 1 つの証明書/キーで十分か。

ユーザーの自動処理

ほとんどのサイトでは、MOVEit Automation ファイル送信自動化ツールに FileAdmin ユーザーを設定している。エンドユーザーやその他の内部プロセスも自動処理が可能である。

• これらのユーザーを定期的なパスワード変更から除外するか。
• これらのユーザーを IP アドレス、クライアント証明書/キー、またはインターフェイスでさらに制限するか。(こうすることで、ユーザー名またはパスワードが危害を受けるリスクが軽減されるか。)

フォルダーポリシーに関する考慮事項

フォルダーのアクセス許可ポリシーを計画する際は、以下の点を考慮してください。

構造

• 各ユーザーのホームフォルダーに独自のフォルダーツリーを持たせるか、または共有フォルダー構造にするか。
• ユーザーのホームフォルダーを 1 つの最上位フォルダーに入れるか、複数のフォルダーに分けるか。
• ユーザーを 1 つのフォルダーに固定し、インターフェイス上の項目数を制限して、ミスを回避するか。
• 主な共有フォルダーをどのような名前にするか。

共有フォルダー

• 組織で共有フォルダーを許可するか。
• 正規ユーザーはフォルダーを共有できるか。
• これらのフォルダーを一時ユーザーと共有できるか。

アクセス許可

• ユーザーのホームフォルダー、またはその他のフォルダーに、デフォルトでどのようなアクセスレベルを付与するか。
• アップロードのクォータやファイル名に制約を設けるか。
• ホームフォルダーの共有は可能か。

クリーンアップ/通知

• 古いファイルやフォルダーをどのような頻度で自動削除するか。
• ファイルのアップロードやダウンロードの成功、失敗、期限についていつどのように通知を送信するか。

命名規則

• ユーザーのホームフォルダーの名前の付け方。ユーザー名、フルネーム、ユーザー ID (MOVEit Transfer によって生成される一意の ID) など。
• MOVEit Transfer フォルダーツリーの名前の付け方。社内名、具体的な顧客のニーズを反映させたものなど。
• 自動タスクに対応するフォルダーとファイルの名前の付け方。

Ad Hoc Transfer ポリシー

有効な Ad Hoc Transfer ライセンスを (MOVEit Transfer Config ユーティリティを使用して) 確保し、Ad Hoc Transfer を有効にしておく必要があります。

アドレス帳の連絡先と未登録受信者 -

• 誰が誰とやり取りできる必要があるか。
• ユーザーが未登録ユーザーを含む他のユーザーに連絡できるようにするか、または Ad Hoc Transfer リレーションシップを制御するか。
• 必要に応じてただちに未登録受信者に対してパッケージを作成し、送信できる必要があるのは誰か。

未登録の受信者と送信者 - 未登録受信者がサインインしたとき、または未登録送信者が自己登録したとき:

• パッケージごとのゲストユーザーとして扱うか、または一定期間、一時ユーザーとして登録すべきか。
• MOVEit Transfer が一時ユーザーを作成できないようにするドメインは必要か (自分自身や無料のメールサービスなど)。
• 一時ユーザーが自動消去されるまでの存続期間はどれぐらいか。

保護メモの送信と E メール通知、パッケージ単位の送信者オプションと関連オプション

• MOVEit Ad Hoc Transfer パッケージの作成時に送信者が作成するファイルおよびすべてのメモを含め、すべてのコンテンツ交換をセキュア送信の一部として扱うか。または、Outlook E メールに似た通知に、MOVEit のみが送信したファイルを添付/アップロードして提供するか。
• 送信者にパッケージ単位の選択肢を提示して、両方の操作を可能にするか。
• Web インターフェイスとモバイルから送信されたパッケージについて、パッケージの送信者と件名にセキュリティを追加するか (これらの設定は、Outlook プラグインから送信されたパッケージには影響しません)。

アクセス許可

• 添付ファイルにクォータを設けるか。
• ファイル名に制約を設けるか。

保管期間

• パッケージのオンラインでの保管期間はどれぐらいにするか。
• その期限を過ぎたらパッケージを削除、またはアーカイブするか。

外観

サイトの外観を計画する際は、以下の点を考慮してください。

バナーと配色

• バナーのロゴと配色を企業サイトの色とフォントに合わせるか。
• Mobile アプリケーションと Web にどのロゴを使用するか。

表示プロファイル

• サインオンの前後にユーザーに Web インターフェイスのどの部分を表示するか。
• ユーザーはサインオン前、サインオン中、サインオン後にインターフェイス言語を変更できるか。

その他の言語

組織のデフォルト言語は何か。

通知

• クリアテキスト E メール通知で送信される情報の量 (ユーザー名、fileID、ファイル名など) はどれぐらいか。
• 送信者として表示されるのは誰か。
• 通知テンプレートに変更を加えるか。
• ユーザーは HTML 通知を好むか、テキスト通知を好むか。

サインオンバナー

• ユーザーがサインオンする前に、サインオンページでユーザーに何を表示するか。
• ホームページでお知らせとして表示する情報は何か。
• ユーザーがサインオンした後に表示される最初のステータスメッセージは何か。
• 利用規約の確認は必要か。

ログとレポート作成

ログの使用を計画し、運用作業や追跡のためにレポートを作成する際は、以下の点を考慮してください。

ログのフィルター

• 監査ログから必要な情報を見つけられるか。運用作業に役立つ洞察を提供するカスタムビューとフィルターを作成します。
• 監査ログを確認して、次の一般的な問題の原因を特定できるか。(例: ユーザーがサインオンできない。ファイルのアップロード/ダウンロードなどができない。フォルダーまたはユーザーの作成、削除などができない。
• 列を選択し、サインオンや通知エントリを並べ替えたり、表示/非表示にする方法を理解しているか。

レポート

• 日常的に使用するレポートは何か。スケジュールを設定するか。
• CSV または XML 形式のレポートで追加処理を行う予定があるか。
• HTML レポートで使用するテンプレートを変更するか。

保管期間

監査レコードの保管期間はどれぐらいにするか。その期間を過ぎたら、レコードを削除、またはアーカイブするか。

運用作業

人材

• MOVEit Transfer の各組織の主な管理者は誰か。
• ファイアウォールの責任者は誰か。
• GroupAdmin を使用して、またはユーザーが自分でパスワードをリセットできるようにする機能などを使用して、管理タスクを委任することができるか。

自動化

• MOVEit Transfer の自動機能 (古いファイル/フォルダーのクリーンアップ、通知、レポート作成など) を使用するか。
• MOVEit Automation サーバーを併用している場合、すべてのファイル送信を自動化するか。
• エンドユーザーと内部送信を自動処理しているか。

インシデント管理

• サーバーまたはデータベースのインシデントの通知スケジュールはあるか。(「オンコール」リストとも呼ばれる)
• 有効な配信 E メールリストに対して DMZ Config ユーティリティで通知用の E メールアドレスを設定したか。

障害復旧

• サーバーのバックアップ方法はどうするか。
• 必要な MOVEit Transfer ライセンス、またはバックアップサーバーがあるか。
• バックアップ手順は自動化され、テスト済みか。
• メインのサイトにアクティブ-アクティブなフェールオーバーが必要か。

エンドユーザー用ドキュメント

• エンドユーザーは管理者への連絡方法とファイルのアップロード/ダウンロード場所を把握しているか (または、該当する場合はセキュアメッセージングを使用する。「詳細トピック - ユーザーフォーム」を参照してください)。
• エンドユーザーはサポートを依頼する方法を把握しているか。オンラインに投稿することで役に立つその他のドキュメントはあるか (ここから MOVEit Transfer テクニカルサポートリンク/ページとカスタムヘルプリンク機能のヘルプを参照してください。)

管理業務に関するドキュメント

• 設定が文書化されていて、説明することができるか (DMZBackup ユーティリティを使用して、現在の設定のバックアップを作成することができます)。監査要件を満たすレポートの取得/スケジュール方法を把握しているか。請求要件は何か。その他の事業要件は何か。

その他のタスク

グループを使用して、ファイルやフォルダーへのユーザーのアクセス方法を整理します。

安全性の高いパスワード要件を設定します。詳細については、「設定」ページと「フォルダー」ページを参照してください。

継続的な保守点検

ログページを使用してアクティビティを監視し、トラブルシューティングを行います。