SysAdmin リモートアクセスルール

リモートアクセスポリシーには、システム管理者がこの組織へのアクセスに使用できる IP アドレス/ホスト名のリストが定義されています。

デフォルトで、SysAdmin はローカルコンソールからしかサインオンできません。

図 1. システムリモートアクセスルールの管理 (表示はワイルドカードを使用した拒否ルール)

SysAdmin 用のリモートアクセスルールリストは、他の組織管理者のそれと異なります。エンドユーザー用のセクションと Web 投稿用のセクションは、システム組織では作成できないため存在しません。SysAdmin リモートアクセスルールは、SysAdmin が接続元に指定できる IP アドレスを管理します。

SysAdmin 向けのリモートアクセスルールを設定するプロセスは、組織管理者の場合と同じです。詳細と例は、「リモートアクセスポリシー」ページに記載されています。

信頼されたホスト

SysAdmin 組織の信頼されたホストのアクセス許可リストを設定できるのは、SysAdmin だけです。

ここでホスト名または IP アドレスを追加すると、SysAdmin はそのホスト名または IP アドレスと一致するホストから MOVEit Transfer にログオンできるようになります。

図 2. 信頼されたホストの管理

ほとんどの場合、信頼されたホストアクセスが必要なときは、そのアクセスを特定の組織について指定する必要があります。SysAdmin が選択できる信頼されたホスト設定は、システム組織にのみ適用されます。組織の信頼されたホストは、[Security Policies - Remote Access (セキュリティポリシー - リモートアクセス)] のオプションで選択可能なルールを使用して定義されます。

通常の動作では、ローカルインターフェイスから MOVEit Transfer にアクセスするクライアントは、通常の IP ロックアウトおよびセッション IP 整合性チェックをバイパスします。これにより、MOVEit Transfer FTP サーバーや MOVEit Transfer SSH サーバーなどのサービスが正しく機能し、クライアントの IP アドレスを表示目的とログ記録目的で提示できるようになります。SysAdmin は、信頼されたホストのアクセス許可リストを使用して、特定のホストを「信頼済み」に指定し、ローカルインターフェイスと同じ権限を許可できます。この機能は、MOVEit Transfer API を別の Web アプリケーション内で使用して MOVEit Transfer へのシングルサインオンアクセスを提供する場合に頻繁に使用されます。これにより、クライアントのブラウザとの間で API セッションを送信したり、API がクライアントの IP アドレスを表示目的とログ記録目的で提示したりできるようになります。

注: 信頼されたホストのアクセス許可リストに追加されたホストは、不正アクセスを防ぐために MOVEit Transfer に組み込まれている標準のセキュリティ保護機能の多くを回避します (ただし、これらのホストを通じて接続するクライアントは回避しません)。絶対に必要な場合にしか、このリストにホストを追加しないでください。セキュリティ上の理由により、すべての IP を示すマスク「*.*.*.*」を信頼されたホストエントリとして指定することはできません

IP ロックアウトポリシー

IP ロックアウトポリシー設定により、SysAdminn は、MOVEit Transfer でサインオン (認証) に失敗したクライアントが使用する IP アドレスを自動的にブロックすることができます。このコントロールは、ユーザー名を収集するために使用される「総当たり」技術や、パスワードアクセスを打破する試みから保護するのに役立ちます。

注: IP ロックアウトがデフォルトで有効になっており、5 分間で 15 回試行に失敗すると IP アドレスをロックアウトするように設定されています。
図 3. IP ロックアウトポリシーコントロールの編集

どのぐらいの期間に何回アクセス試行が失敗したら、その IP アドレスをロックアウトするかを指定します。指定した時間が経過した後で、ロックアウトされた IP アドレスを自動的にロック解除する、ロックアウト有効期限オプションも利用可能です。

UI コントロール名

IPアドレスをブロック (「ロックアウト」) する設定

[Enable IP Lockout (IP ロックアウトを有効にする)] [Enable IP Lockout (IP ロックアウトを有効にする)] コントロール (ラジオボタン) は、ロックアウトポリシー機能をオンにし、細かく設定可能コントロールを提供します。設定された制限時間 ([Tries in minutes (試行回数 (分))]) 内のサインオン失敗の試行回数を指定するか、制限時間なし ([Tries –no time window (試行回数 (期間なし))]) を適用することができます。

[Lockout IPs after (次の試行回数後に IP をロックアウト)]。サインオン失敗の試行回数を制限します。

  • [Tries in n Minutes (試行回数 (n 分))]。このフィールドで指定した値 (n) は、IP がロックアウトされる前にサインオン失敗の試行回数をカウントするために使用される期間 (分単位) となります。
  • [n Tries. (no time frame) (n 試行回数 (期間なし))]。特定の IP アドレスから発信された失敗した試行回数 (n) を制限して、それ以降の試行をロックアウトします。
[Allow Org Admins to unlock all IP addresses (組織管理者がすべての IP アドレスのロックを解除できるようにする)] このコントロールを有効にした場合、管理者ユーザーはロック解除コントロール ([SETTINGS (設定)] - [Security Policies (セキュリティポリシー)] - [Remote Access [IP Lockouts] (リモートアクセス [IP ロックアウト])] ) を使用し、ポリシーに違反した IP アドレスのアクセスを再度有効にすることができます。
注: ローカル (リモートではなく) インターフェイスから MOVEit Transfer にアクセスするクライアントは、通常の IP ロックアウトおよびセッション IP 整合性チェックをバイパスします。これにより、MOVEit Transfer FTP サーバーや MOVEit Transfer SSH サーバーなどのサービスが正しく機能できるようになります。
ヒント: [Security Policies - Remote Access (セキュリティポリシー - リモートアクセス)] の各オプションにより、組織の管理者は、特定のホスト (信頼されたホスト) にローカルインターフェイスと同じ権限を許可して、これらのホストへのアクセスを許可することができます。