MOVEit Transfer Configuration ユーティリティの [SSH] タブと [SSH Ciphers (SSH 暗号)] タブを使用して、SSH サーバーを設定します。

MOVEit Transfer Configuration ユーティリティを開く/実行するには:

  1. Windowsから [スタート] メニューを選択します。
  2. MOVEit Transfer Config のショートカットを選択します。

注: ユーザー、グループ、フォルダーの設定は、Web UI または MOVEit Transfer API を使用して管理されます。

[SSH Server Configuration Update Interval (SSH サーバー設定の更新間隔)]

MOVEit Transfer SSH サーバーは、設定の変更をただちに適用します。変更は、新しい接続が次回確立されたときに有効になります。

例外: SSH ポートに変更が加えられた場合は、この変更を有効にするために、MOVEit Transfer SSH サービスを再起動する必要があります。

SSH タブ

MOVEit Transfer Config ユーティリティの [SSH] タブを使用すると、現在の MOVEit Transfer サーバーホストで実行されている SSH サーバーを表示および設定できます。

注: MOVEit Transfer は、SSH キーと、SSH および SFTP (SSH ファイル転送プロトコル) の両方に対するコントロールを使用します。

このパネルのコントロールを使用すると、次のことが可能になります。

  • SSH リスナーが実行される論理ポートを調整します。
  • SSH サーバーホストキーを生成します。
  • SSH リスナーを特定の IP アドレスにバインドします。
  • 拡張セキュリティを備えたアルゴリズム (楕円曲線など) から生成されたキーをバインドします。
  • MOVEit SSH で使用するキーの管理、維持、更新を行います。

複数の種類の SSH サーバーホストキー

MOVEit Transfer では、1 つ以上のホストキーを使用して各 SSH バインディング (デフォルトのバインディングを含む) を設定できます。この機能は、SSH/SFTP クライアントが MOVEit Transfer に接続する場合、特に、ポリシーの制限により、特定のキーまたはキーの種類に使用が制限される場合に便利です。

MOVEit Transfer Config ユーティリティの [SSH] タブのコントロールを使用すると、[SSH Binding (SSH バインディング)] 設定オプションを追加することができます。
注: [SSH] タブと [バインディング] パネルを使用して追加のホストキーを作成し、それらを任意のバインディング (デフォルトを含む) に割り当てることができます。

[バインディング] パネルを使用して、SSH をバインドして、別の IP アドレスでリッスンすることもできます。

[SSH] タブと [バインディング] パネル

[SSH Configuration Panel (SSH 設定パネル)]

[SSH Port (SSH ポート)]:

これは、SSH サーバーが受信接続要求をリッスンする TCP/IP ポートです。
SSH ポートの値 22 (SSH プロトコルのデフォルト/既知の値)。

[Server Keys (サーバーキー)]:

[SSH] タブの [Server Keys (サーバーキー)] ビューには次が表示されます。

  • [名前]。読み取れる名前。
  • [キーの種類]。キーペアの生成に使用されるアルゴリズム。
  • [フィンガープリント]。サーバーキーの MD5 ハッシュ。

注: [バインディング] パネルを使用して、これらのキーを特定の IP アドレス (SSH サーバーエンドポイント) にバインドできます。これは、たとえば、複数の組織の展開に役立ちます。

[Server Keys (サーバーキー)] コントロール ([キーの追加][編集][削除][デフォルト]) を使用すると、次のことが可能になります。

  • SSH リスナーに割り当てることができる新しいキーを生成します。([キーの追加])
  • わかりやすい名前の編集、表示、キーペアのコピー、キーの削除。([編集])
  • キーを削除し、そのキーを使用するクライアントからの接続を防止します。([削除])
  • キーをデフォルトにします。([デフォルト])

複数の組織のシステムに関する注意事項

注: MOVEit Transfer に複数の組織が設定されている場合は、組織ごとに別々のサーバーキーを追加しておくことをお勧めします。こうすることにより、他の組織に影響を及ぼすことなく、単一の組織のサーバーキーを容易に変更できるようになります。
SSH サーバーキーの表示と理解

SSH クライアントは、このキーを使用して、秘密キー (公開キー/秘密キーのペアの一部として生成されたキー) を持つ SSH サーバーのみが復号できるトラフィックを暗号化します。
キーは内部で生成され、キーの MD5 ハッシュはここで参照目的でのみ表示されます。この値を編集するメカニズムはありません。SSH パブリックキー全体をエクスポート/表示するには、[MD5] フィールドの横にある [View (表示)] ボタンを使用します。

公開キーをエクスポートするには

MOVEit Transfer SSH 公開キーをエクスポートするには:
  1. MOVEit Transfer Config ユーティリティの [SSH] タブの [編集] ボタンをクリックします。ダイアログにキーが 2 つの異なる形式で表示されます。
  2. エクスポートする形式を表示しているウィンドウのすべてのテキストを選択して、CTRL+C キーを押してテキストをコピーし、目的のテキストファイルに保存します。

ヒント: これらを変更しない限り、特定の種類/バインディングの MOVEit DMZ SSH サーバーキーは変更されません。このダイアログを開いている間に同じ SSH サーバーキーの両方の公開形式をエクスポートしておくことをお勧めします。これらのキーを (内部サーバー上などに) 保存しておくと、時間を節約でき、[SSH] タブを後で参照する必要がなくなる可能性があります。

新しいサーバーキーを追加するには:

  1. [追加] をクリックして、目的のキーの種類とサイズを選択します。キーの種類はアルゴリズムを指します。アルゴリズムが異なれば、利点とトレードオフも異なります。サイズとは、大まかに言うと、特徴空間またはアルゴリズムの難易度を意味します。(より大きな計算サイズを備えたより優れたアルゴリズムは、キーペアのセキュリティが向上することを意味します。)

    • DSS キータイプは、デジタル署名を提供しますが、キーの交換または暗号化は提供しません。DSS では、署名の生成が署名の検証より高速になります。
    • ECDSA キータイプは、より大きな問題空間にまたがる楕円曲線アルゴリズムを使用し、より高速な計算時間を実現します。
    • RSA キータイプは、デジタル署名、キーの交換、暗号化を提供します。RSS では、署名の検証が署名の生成より高速になります。

    キーのタイプとサイズの選択が完了すると、[Add SSH Server Key (SSH サーバーキーの追加)] ウィンドウが表示されます。

    このウィンドウには、以下のようなキーの詳細が表示されます。

    • フィンガープリント
    • 種類
    • OpenSSH 形式
    • SSH2 形式
  2. [Name (名前)] にキーの名前を入力して、[OK] をクリックします。

    新しいキーが [Server Keys (サーバーキー)] ウィンドウに追加されます。

    • キーの名前を編集するには、キーを選択して [Edit (編集)] をクリックします。
    • キーを削除するには、キーを選択して [Remove (削除)] をクリックします。
    • キーをデフォルトの SSH サーバーキーにするには、キーを選択して [Default (デフォルト)] をクリックします。現在のデフォルトのキーの名前が「OldDefault-year-month-day_xxxxxx」に変更され、選択したキーの名前が「default」に変更されます。
  3. [Confirm SSH key rename (SSH キー名前変更の確認)] メッセージが表示されたら、[OK] をクリックします。

[バインディング] パネル (および [Add Alternate Bindings (代替バインディングの追加)])

代替バインディングを使用すると、サーバー IP およびサーバーキーの種類を MOVEit Transfer 組織に関連付けることができます。

お使いの MOVEit Transfer システムに複数の組織が設定されており、組織間でユーザー名の重複が許可されている場合は、代替バインディングを使用してユーザーを特定の組織の IP アドレスにダイレクトすることができます。また、一意のサーバーキーを特定の組織に割り当てて、そのサーバーキーに対する変更がその組織にしか影響しないようにすることもできます。
注: 1 つの IP アドレスに対してバインディングルールを指定できます。

代替バインディングを追加するには:

  1. [Bindings (バインディング)][追加] をクリックします。

    [Add SSH Alternative Binding (SSH 代替バインディングの追加)] ダイアログが表示されます。

  2. 以下の項目を入力します。
    • [Server IP Address (サーバー IP アドレス)]:代替バインディングがまだない、重複のない IP アドレスを入力します。[Bind to IP Address (バインド先 IP アドレス)] のデフォルト値 (0.0.0.0.) は選択しないでください。
    • [Server Key (サーバーキー)]:サーバー IP アドレスにバインドするホストキーをドロップダウンリストから選択します。ここには、[Server Keys (サーバーキー)] ウィンドウに既に追加されているサーバーキーしか表示されません。
    • [Organization (組織)]: サーバーIPアドレスにバインドする組織をドロップダウンリストから選択します。ドロップダウンリストには次の内容が表示されます。
  3. [OK] をクリックします。

    新しいバインディングが [Bindings (バインディング)] ウィンドウに追加されます。

    注: バインディングのサーバー IP、サーバーキー、組織を編集するには、バインディングを選択して [Edit (編集)] をクリックします。バインディングを削除するには、バインディングを選択して [Remove (削除)] をクリックします。

デフォルトの SSH サービスバージョンコントロールの使用

レガシまたは標準 (デフォルト) SSH サービスを選択するためのコントロール。

注: デフォルト (最新) SSH サービスを使用することがベストプラクティスです。
重要: [レガシ SSH サービスに戻す] をクリックすると、新しいバージョンの SSH に関連付けられたキー、ワークフロー、および機能を削除するように求められる場合があります。現在のサービスに関連付けられているキーを削除するように求められる場合があり、これにより後続の接続要求が中断される可能性があります。

サービスのコントロール 説明
レガシ SSH サービスに戻す このコントロールが表示されている場合、標準 (デフォルト) SSH サービスが実行されていることを示します。これが優先する状態です

(このコントロールを使用して MOVEit Transfer を元に戻し、古いレガシサービスを実行することは推奨されていません)。
デフォルトの SSH ポリシーの使用 このコントロールが表示されている場合、レガシ SSH サービスが実行されていることを示します (レガシサービスの使用は、ベストプラクティスではありません)。

診断ログ ([Status (ステータス)] タブで設定)

MOVEit Transfer SSH サーバー診断ログ設定は、Configuration ユーティリティの [Status (ステータス)] タブで変更できます。詳細については、「Configuration ユーティリティのログ設定セクション ([Status (ステータス)] タブ)」を参照してください。

パス ([Paths (パス)] タブで設定)

MOVEit Transfer SSH サーバーは、このタブで設定されているマシン URL を使用して MOVEit Transfer と通信します。詳細については、「[Paths (パス)] タブ」を参照してください。

[SSH Ciphers (SSH 暗号)] タブ

ヒント: 一般に、MOVEit Transfer の最新バージョンでは、よりセキュアなアルゴリズムが利用可能になります。また、厳密な FIPS モードを選択すると、リストが FIPS 標準に準拠するアルゴリズムに限定されることにも注意してください。

[SSH Ciphers (SSH 暗号)] タブには次の項目が含まれます。

  • [SSH Ciphers (SSH 暗号)]。データのエンコードに使用できるアルゴリズムとその優先順位。
  • [Hash Functions (ハッシュ関数)]。使用されるハッシュベースのメッセージ認証コードとその優先順位。
  • [キー交換アルゴリズム]。セッションキーの交換に利用可能なアルゴリズムとその優先順位。
注: [SSH Ciphers (SSH 暗号)] タブを使用すると、FIPS モードを有効にする暗号のグループ (サブセット) を選択することができます。このモードは、連邦情報処理標準 (FIPS 140-2) に準拠する暗号化機能とアルゴリズムを提供します。
重要: 選択できるアルゴリズムのリストは、サーバーとポリシーの制約によって異なります。たとえば、FIPS モードを有効にすると、よりセキュアな FIPS 準拠のアルゴリズムのサブセットが表示されます。
MOVEit Transfer SSH サーバーによって使用される暗号化およびハッシュアルゴリズムは、[SSH Ciphers (SSH 暗号)] タブで設定できます。(MOVEit Transfer SSL サーバーによって使用される暗号化およびハッシュアルゴリズム、つまり、HTTPS と FTPS のいずれも設定可能です。)

このタブでは、SSH 接続のセキュリティ保護に使用される暗号とハッシュ関数を選択できます。

FIPS および PCI コンプライアンスのため、弱い暗号の使用を避ける必要が生じる場合があります。たとえば、PCI 監査では、MD5 や MD5-96 などの暗号の使用がフラグ付けされる可能性があります。FIPS によって承認されている SSH 向け暗号方式には、(2015 年 9 月現在で) 3des-cbc、aes128-cbc、aes192-cbc、aes-256 の各暗号と、hmac-sha2-512、hmac-sha2-256、hmac-sha1、hmac-md5、hmac-sha1-96、hmac-md5-96 の各ハッシュ関数が含まれます。

注: ただし、特定のセッション用の実際の暗号とハッシュ関数を選択する際には、クライアントとサーバーのユーザー設定が考慮に入れられます。クライアント側とサーバー側の両方に共通の暗号とハッシュ関数がないと、エラーが発生します。

SSH 暗号の選択

[SSH Ciphers (SSH 暗号)] セクションでは、許容可能な暗号とその優先順位を選択できます。デフォルトでは、現在の MOVEit Transfer プラットフォームで利用可能なすべての暗号が利用可能です。

  1. 選択されているエントリを無効にする場合や、選択が解除されているエントリを有効にする場合は、[Enabled (有効)] チェックボックスを選択します。
  2. 優先順位として、リスト内でエントリを上下に移動するには、矢印ボタンを使用します (リストの上部に近いエントリほど、下位のエントリよりも優先順位が高くなります)。
    注: 弱い暗号またはハッシュを許可する必要がある場合でも、強い暗号のオプションは常にリストの上部に配置してください。

FIPS モード

MOVEit Transfer のデフォルトの SFTP ライブラリは、連邦情報処理標準 (FIPS 140-2) に準拠する暗号化機能とアルゴリズムを提供します。MOVEit Transfer Config ユーティリティでは、FIPS 認定の安全な暗号化、キーの交換、クライアントキー、MAC、および圧縮アルゴリズムを使用できます。

FIPS モードを選択するには:

  1. [Enable FIPS Mode (FIPS モードを有効にする)] チェックボックスをオンにすると、SSH 暗号、ハッシュ関数、およびキーアルゴリズムを FIPS 標準に準拠したサブセットに制限することができます。
  2. 暗号のリストを FIPS 標準に準拠するサブセットに減らしたことを検証/チェックします。

[FIPS Mode (FIPS モード)] チェックボックスがオンになっている [SSH Ciphers (SSH 暗号)] タブ

SSH ハッシュ関数の選択

[SSH Hash Functions (SSH ハッシュ関数)] セクションでは、許容可能なハッシュ関数とその優先順位を選択できます。デフォルトでは、現在の MOVEit Transfer プラットフォームで利用可能なすべてのハッシュ関数が利用可能です。

注: ハッシュ関数は、メッセージの整合性を特定するために使用されます。
  1. 選択されているエントリを無効にする場合や、選択が解除されているエントリを有効にする場合は、[Enabled (有効)] チェックボックスを選択します。

    リストの上部に近いエントリほど、リスト内で後続のエントリよりも優先順位が高くなります。
  2. リスト内でエントリを上下に移動するには、矢印ボタンを使用します。