セキュリティポリシー - リモートアクセス - IP ロックアウト、IP ホワイトリスト、IP スイッチング

IP ロックアウト

IP アドレスがロックアウトされると、特定のサイトのすべての組織でロックアウトされます。

[Notifications Triggered (通知のトリガー)]

IP アドレスがロックアウトされると、通知プロパティを [On+Admin (オン + 管理者)] に設定している SysAdmin ユーザーが、ロックアウトの発生を知らせる E メール通知を受け取ります。

システム以外の組織が 1 つだけ設定されている場合は、通知プロパティを [On+Admin (オン + 管理者)] に設定しているその組織の管理者ユーザーも E メール通知を受け取ります。

IP ロックアウトポリシーを設定できるのは、SysAdmin だけです (詳細については、「システムのリモートアクセスポリシー」ページの「IP ロックアウトポリシー」セクションを参照してください)。IP ロックアウトがデフォルトで有効になっており、5 分間で 15 回試行に失敗すると IP アドレスをロックアウトするように設定されています。

IP アドレスのロックを解除しても、IP ロックアウトをトリガーしたユーザーはロックされて非アクティブなままです。[User Profile (ユーザープロファイル)] でユーザーのアカウントステータスを変更できます。

ホワイトリストに登録された IP アドレス

ホワイトリストに登録された IP アドレスは、IP ロックアウトポリシールールの保護機能を回避できる信頼されたアクセス権を持っています。このケースは次のようなシナリオに役立ちます。

• 内部クライアントが共有ファイアウォールの背後から MOVEit Transfer にアクセスする場合。
• クライアントが、適切に管理され、信頼できるサードパーティアプリケーションから MOVEit にアクセスする場合。

IP スイッチング

セッションハイジャックを防ぐために、MOVEit Transfer では通常、セッションで使用される IP アドレスをそのセッション中に変更することはできません。ただし、一部のファイアウォールおよびプロキシサーバーでは、インターネットにアクセスするユーザーに割り当てる IP アドレスのプールを使用し、同一のセッション内でもユーザーに異なる IP アドレスを割り当てることができる場合があります。このようなユーザーにサーバーへのフルアクセス権を付与するために、管理者は IP スイッチング機能を使用して、セッション IP アドレスを変更できる許容範囲を設定することができます。

デフォルトでは、[IP Switching (IP スイッチング)] オプションは [None (なし)] (255.255.255.255 または /32 のサブネットマスクに対応) に設定されています。この設定では、どのような種類の IP アドレススイッチングもできません。その他の使用可能な値は次のとおりです。

• [Class C (255.255.255.0 or /24) (クラス C (255.255.255.0 または /24)]: アドレスのクラス C 部分内でセッション IP アドレスを変更できます。たとえば、元のセッション IP アドレスが 1.1.1.1 であった場合、1.1.1.2 へのスイッチングは許可されますが、1.1.2.2 へのスイッチングは許可されません。
• [Class B (255.255.0.0 or /16) (クラス B (255.255.0.0 または /16)]: アドレスのクラス B 部分内でセッション IP アドレスを変更できます。たとえば、元のセッション IP アドレスが 1.1.1.1 であった場合、1.1.2.2 へのスイッチングは許可されますが、1.2.2.2 へのスイッチングは許可されません。
• [Class A (255.0.0.0 or /8) (クラス A (255.0.0.0 または /8)]: アドレスのクラス A 部分内で、セッション IP アドレスを変更できます。たとえば、元のセッション IP アドレスが 1.1.1.1 であった場合、1.2.2.2 へのスイッチングは許可されますが、2.2.2.2 へのスイッチングは許可されません。
• [All (0.0.0.0 or /0) (すべて (0.0.0.0 または /0)]: すべての IP アドレススイッチングを許可します。