MOVEit Transfer Configuration ユーティリティの [SFTP] タブと [SFTP Ciphers (SFTP 暗号)] タブを使用して、SFTP サーバーを設定します。

MOVEit Transfer Configuration ユーティリティを開く/実行するには:

  1. Windowsから [スタート] メニューを選択します。
  2. MOVEit Transfer Config のショートカットを選択します。

注: ユーザー、グループ、フォルダーの設定は、Web UI または MOVEit Transfer API を使用して管理されます。

[SFTP Server Configuration Update Interval (SFTP サーバー設定の更新間隔)]

MOVEit Transfer SFTP サーバーは、設定の変更をただちに適用します。変更は、新しい接続が次回確立されたときに有効になります。

例外: SFTP ポートに変更が加えられた場合は、この変更を有効にするために、MOVEit Transfer SFTP サービスを再起動する必要があります。

[SFTP] タブ

MOVEit Transfer Config ユーティリティの [SFTP] タブを使用すると、現在の MOVEit Transfer サーバーホストで実行されている SFTP サーバーを表示および設定できます。

注: MOVEit Transfer は、SFTP キーと、SFTP および SFTP (SFTP ファイル転送プロトコル) の両方に対するコントロールを使用します。

このパネルのコントロールを使用すると、次のことが可能になります。

  • SFTP リスナーが実行される論理ポートを調整します。
  • SFTP サーバーホストキーを生成します。
  • SFTP リスナーを特定の IP アドレスにバインドします。
  • 拡張セキュリティを備えたアルゴリズム (楕円曲線など) から生成されたキーをバインドします。
  • MOVEit SFTP で使用するキーの管理、維持、更新を行います。

複数の種類の SFTP サーバーホストキー

MOVEit Transfer では、1 つ以上のホストキーを使用して各 SFTP バインディング (デフォルトのバインディングを含む) を設定できます。この機能は、SFTP/SFTP クライアントが MOVEit Transfer に接続する場合、特に、ポリシーの制限により、特定のキーまたはキーの種類に使用が制限される場合に便利です。

MOVEit Transfer Config ユーティリティの [SFTP] タブのコントロールを使用すると、[SFTP Binding (SFTP バインディング)] 設定オプションを追加することができます。
注: [SFTP] タブと [バインディング] パネルを使用して追加のホストキーを作成し、それらを任意のバインディング (デフォルトを含む) に割り当てることができます。

[バインディング] パネルを使用して、SFTP をバインドして、別の IP アドレスでリッスンすることもできます。

[SFTP] タブと [バインディング] パネル

[SFTP Configuration Panel (SFTP 設定パネル)]

[SFTP Port (SFTP ポート)]:

これは、SFTP サーバーが受信接続要求をリッスンする TCP/IP ポートです。
SFTP ポートの値 22 (SFTP プロトコルのデフォルト/既知の値)。

[Server Keys (サーバーキー)]:

[SFTP] タブの [Server Keys (サーバーキー)] ビューには次が表示されます。

  • [名前]。読み取れる名前。
  • [キーの種類]。キーペアの生成に使用されるアルゴリズム。
  • [フィンガープリント]。サーバーキーの MD5 ハッシュ。

注: [バインディング] パネルを使用して、これらのキーを特定の IP アドレス (SFTP サーバーエンドポイント) にバインドできます。これは、たとえば、複数の組織の展開に役立ちます。

[Server Keys (サーバーキー)] コントロール ([キーの追加][編集][削除][デフォルト]) を使用すると、次のことが可能になります。

  • SFTP リスナーに割り当てることができる新しいキーを生成します。([キーの追加])
  • わかりやすい名前の編集、表示、キーペアのコピー、キーの削除。([編集])
  • キーを削除し、そのキーを使用するクライアントからの接続を防止します。([削除])
  • キーをデフォルトにします。([デフォルト])

複数の組織のシステムに関する注意事項

注: MOVEit Transfer に複数の組織が設定されている場合は、組織ごとに別々のサーバーキーを追加しておくことをお勧めします。こうすることにより、他の組織に影響を及ぼすことなく、単一の組織のサーバーキーを容易に変更できるようになります。
SFTP サーバーキーの表示と理解

SFTP クライアントは、このキーを使用して、秘密キー (公開キー/秘密キーのペアの一部として生成されたキー) を持つ SFTP サーバーのみが復号できるトラフィックを暗号化します。
キーは内部で生成され、キーの MD5 ハッシュはここで参照目的でのみ表示されます。この値を編集するメカニズムはありません。SFTP パブリックキー全体をエクスポート/表示するには、[MD5] フィールドの横にある [View (表示)] ボタンを使用します。

公開キーをエクスポートするには

MOVEit Transfer SFTP 公開キーをエクスポートするには:
  1. MOVEit Transfer Config ユーティリティの [SFTP] タブの [編集] ボタンをクリックします。ダイアログにキーが 2 つの異なる形式で表示されます。
  2. エクスポートする形式を表示しているウィンドウのすべてのテキストを選択して、CTRL+C キーを押してテキストをコピーし、目的のテキストファイルに保存します。

ヒント: これらを変更しない限り、特定の種類/バインディングの MOVEit DMZ SFTP サーバーキーは変更されません。このダイアログを開いている間に同じ SFTP サーバーキーの両方の公開形式をエクスポートしておくことをお勧めします。これらのキーを (内部サーバー上などに) 保存しておくと、時間を節約でき、[SFTP] タブを後で参照する必要がなくなる可能性があります。

新しいサーバーキーを追加するには:

  1. [追加] をクリックして、目的のキーの種類とサイズを選択します。キーの種類はアルゴリズムを指します。アルゴリズムが異なれば、利点とトレードオフも異なります。サイズとは、大まかに言うと、特徴空間またはアルゴリズムの難易度を意味します。(より大きな計算サイズを備えたより優れたアルゴリズムは、キーペアのセキュリティが向上することを意味します。)

    • DSS キータイプは、デジタル署名を提供しますが、キーの交換または暗号化は提供しません。DSS では、署名の生成が署名の検証より高速になります。
    • ECDSA キータイプは、より大きな問題空間にまたがる楕円曲線アルゴリズムを使用し、より高速な計算時間を実現します。
    • RSA キータイプは、デジタル署名、キーの交換、暗号化を提供します。RSS では、署名の検証が署名の生成より高速になります。

    キーのタイプとサイズの選択が完了すると、[Add SFTP Server Key (SFTP サーバーキーの追加)] ウィンドウが表示されます。

    このウィンドウには、以下のようなキーの詳細が表示されます。

    • フィンガープリント
    • 種類
    • OpenSFTP 形式
    • SFTP2 形式
  2. [Name (名前)] にキーの名前を入力して、[OK] をクリックします。

    新しいキーが [Server Keys (サーバーキー)] ウィンドウに追加されます。

    • キーの名前を編集するには、キーを選択して [Details (詳細)] をクリックします。
    • キーを削除するには、キーを選択して [Remove (削除)] をクリックします。
    • キーをデフォルトの SFTP サーバーキーにするには、キーを選択して [Default (デフォルト)] をクリックします。現在のデフォルトのキーの名前が「OldDefault-year-month-day_xxxxxx」に変更され、選択したキーの名前が「default」に変更されます。

[バインディング] パネル (および [Add Alternate Bindings (代替バインディングの追加)])

代替バインディングを使用すると、サーバー IP およびサーバーキーの種類を MOVEit Transfer 組織に関連付けることができます。

お使いの MOVEit Transfer システムに複数の組織が設定されており、組織間でユーザー名の重複が許可されている場合は、代替バインディングを使用してユーザーを特定の組織の IP アドレスにダイレクトすることができます。また、一意のサーバーキーを特定の組織に割り当てて、そのサーバーキーに対する変更がその組織にしか影響しないようにすることもできます。
注: 1 つの IP アドレスに対してバインディングルールを指定できます。

代替バインディングを追加するには:

  1. [Bindings (バインディング)][追加] をクリックします。

    [Add SFTP Alternative Binding (SFTP 代替バインディングの追加)] ダイアログが表示されます。

  2. 以下の項目を入力します。
    • [Server IP Address (サーバー IP アドレス)]:代替バインディングがまだない、重複のない IP アドレスを入力します。[Bind to IP Address (バインド先 IP アドレス)] のデフォルト値 (0.0.0.0.) は選択しないでください。
    • [Server Key (サーバーキー)]:サーバー IP アドレスにバインドするホストキーをドロップダウンリストから選択します。ここには、[Server Keys (サーバーキー)] ウィンドウに既に追加されているサーバーキーしか表示されません。
    • [Organization (組織)]: サーバーIPアドレスにバインドする組織をドロップダウンリストから選択します。ドロップダウンリストには次の内容が表示されます。
      • [(default) ((デフォルト))]:任意の組織をデフォルトとして割り当てることができます。デフォルト組織の割り当て方法については、「WebUI の設定 - システム - その他」を参照してください。
      • 現在の MOVEit Transfer 組織。
  3. [OK] をクリックします。

    新しいバインディングが [Bindings (バインディング)] ウィンドウに追加されます。

    注: バインディングのサーバー IP、サーバーキー、組織を編集するには、バインディングを選択して [Edit (編集)] をクリックします。バインディングを削除するには、バインディングを選択して [Remove (削除)] をクリックします。

診断ログ ([Status (ステータス)] タブで設定)

MOVEit Transfer SFTP サーバー診断ログ設定は、Configuration ユーティリティの [Status (ステータス)] タブで変更できます。詳細については、「MOVEit Transfer Config ユーティリティ [Status (ステータス)] タブ」を参照してください。

パス ([Paths (パス)] タブで設定)

MOVEit Transfer SFTP サーバーは、このタブで設定されているマシン URL を使用して MOVEit Transfer と通信します。詳細については、「MOVEit Transfer Config ユーティリティ [Paths (パス)] タブ」を参照してください。

[SFTP Ciphers (SFTP 暗号)] タブ

ヒント: 一般に、MOVEit Transfer の最新バージョンでは、よりセキュアなアルゴリズムが利用可能になります。また、厳密な FIPS モードを選択すると、リストが FIPS 標準に準拠するアルゴリズムに限定されることにも注意してください。

[SFTP Ciphers (SFTP 暗号)] タブには次の項目が含まれます。

  • [SFTP Ciphers (SFTP 暗号)]。データのエンコードに使用できるアルゴリズムとその優先順位。
  • [Hash Functions (ハッシュ関数)]。使用されるハッシュベースのメッセージ認証コードとその優先順位。
  • [キー交換アルゴリズム]。セッションキーの交換に利用可能なアルゴリズムとその優先順位。
注: [SFTP Ciphers (SFTP 暗号)] タブを使用すると、FIPS モードを有効にする暗号のグループ (サブセット) を選択することができます。このモードは、連邦情報処理標準 (FIPS 140-2) に準拠する暗号化機能とアルゴリズムを提供します。
重要: 選択できるアルゴリズムのリストは、サーバーとポリシーの制約によって異なります。たとえば、FIPS モードを有効にすると、よりセキュアな FIPS 準拠のアルゴリズムのサブセットが表示されます。
MOVEit Transfer SFTP サーバーによって使用される暗号化およびハッシュアルゴリズムは、[SFTP Ciphers (SFTP 暗号)] タブで設定できます。

このタブでは、SFTP 接続のセキュリティ保護に使用される暗号とハッシュ関数を選択できます。

FIPS および PCI コンプライアンスのため、弱い暗号の使用を避ける必要が生じる場合があります。たとえば、PCI 監査では、MD5 や MD5-96 などの暗号の使用がフラグ付けされる可能性があります。FIPS によって承認されている SFTP 向け暗号方式には、(2015 年 9 月現在で) 3des-cbc、aes128-cbc、aes192-cbc、aes-256 の各暗号と、hmac-sha2-512、hmac-sha2-256、hmac-sha1、hmac-md5、hmac-sha1-96、hmac-md5-96 の各ハッシュ関数が含まれます。

注: ただし、特定のセッション用の実際の暗号とハッシュ関数を選択する際には、クライアントとサーバーのユーザー設定が考慮に入れられます。クライアント側とサーバー側の両方に共通の暗号とハッシュ関数がないと、エラーが発生します。

SFTP 暗号の選択

[SFTP Ciphers (SFTP 暗号)] セクションでは、許容可能な暗号とその優先順位を選択できます。デフォルトでは、現在の MOVEit Transfer プラットフォームで利用可能なすべての暗号が利用可能です。

  1. 選択されているエントリを無効にする場合や、選択が解除されているエントリを有効にする場合は、[Enabled (有効)] チェックボックスを選択します。
  2. 優先順位として、リスト内でエントリを上下に移動するには、矢印ボタンを使用します (リストの上部に近いエントリほど、下位のエントリよりも優先順位が高くなります)。
    注: 弱い暗号またはハッシュを許可する必要がある場合でも、強い暗号のオプションは常にリストの上部に配置してください。

FIPS モード

MOVEit Transfer の SFTP ライブラリは、連邦情報処理標準 (FIPS 140-2) に準拠する暗号化機能とアルゴリズムを提供します。MOVEit Transfer Config ユーティリティでは、FIPS 認定の安全な暗号化、キーの交換、クライアントキー、MAC、および圧縮アルゴリズムを使用できます。

FIPS モードを選択するには:

  1. [Enable FIPS Mode (FIPS モードを有効にする)] チェックボックスをオンにすると、SFTP 暗号、ハッシュ関数、およびキーアルゴリズムを FIPS 標準に準拠したサブセットに制限することができます。
  2. 暗号のリストを FIPS 標準に準拠するサブセットに減らしたことを検証/チェックします。

[FIPS Mode (FIPS モード)] チェックボックスがオンになっている [SFTP Ciphers (SFTP 暗号)] タブ

SFTP ハッシュ関数の選択

[SFTP Hash Functions (SFTP ハッシュ関数)] セクションでは、許容可能なハッシュ関数とその優先順位を選択できます。デフォルトでは、現在の MOVEit Transfer プラットフォームで利用可能なすべてのハッシュ関数が利用可能です。

注: ハッシュ関数は、メッセージの整合性を特定するために使用されます。
  1. 選択されているエントリを無効にする場合や、選択が解除されているエントリを有効にする場合は、[Enabled (有効)] チェックボックスを選択します。

    リストの上部に近いエントリほど、リスト内で後続のエントリよりも優先順位が高くなります。
  2. リスト内でエントリを上下に移動するには、矢印ボタンを使用します。