ファイル転送プロトコル(FTP)はどのように機能しますか?
FTPは、クライアントとサーバーの間に2つの異なるTCP接続を開くという点で一般的ではありません。 1 つの接続はクライアントとサーバー間の制御情報の送信を担当し、もう 1 つの接続は実際のファイル転送に使用されます。
ほとんどの場合、FTP 接続は、クライアントがサーバーに対して認証を行うことから始まります。 クライアントが認証されると、さまざまなコマンドをサーバーに送信できるコマンドラインインターフェイスにアクセスできるようになります。 たとえば、GETはファイルのダウンロードに使用でき、SENDはアップロードに使用されます。 クライアントは、サーバー上でディレクトリを変更したり、その他のアクションを実行したりすることもできます。
これらのコマンドはすべて、FTP コマンド接続を介して送信されます。 クライアントとサーバー間で転送されるデータ (アップロードまたはダウンロードされるファイルなど) は、データ接続を介して移動します。
FTPは何に役立ちますか?
FTPは、大規模なデータ転送のための効率的な手段を提供するように設計されています。 電子メールなどの他のプロトコルは小さなファイルに対して機能しますが、FTPは数ギガバイトのファイルに対して効率的で高性能なデータ転送を提供できます。 この効率的なファイル転送は、さまざまな目的に役立ちます。 たとえば、企業は、コアバックアッププロセスの一部としてFTPを使用したり、サーバー間でクラウドベースのインフラストラクチャとの間で大容量ファイルを移動したりする場合があります。
FTPのセキュリティ上の課題
インターネットの多くの基本的なプロトコルと同様に、FTPはもともと安全であるように設計されていませんでした。 実際、FTPはユーザー名とパスワードをネットワーク経由でプレーンテキストで送信し、転送中のデータは暗号化しません。
これは、FTPを利用する組織に重大なセキュリティリスクをもたらします。 FTP トラフィックを盗聴できる攻撃者は、FTP サーバーや他のアカウントにアクセスできる可能性のあるユーザー名とパスワードを収集できます。 さらに、攻撃者はFTP経由で転送される機密データを盗んだり、転送中の情報を変更したりできる可能性があります。
これらのセキュリティリスクに対処するために、元のFTPプロトコルは更新されるか、より安全なバリアントに置き換えられました。 たとえば、FTPS は FTP 接続を SSL/TLS でラップし、認証、暗号化、整合性の保護を提供します。 また、SFTPは、Secure Shell(SSH)プロトコルを使用してインターネット経由でファイルを安全に転送する同等のプロトコルです。
ファイル転送プロトコルの種類
FTPは非常に便利なプロトコルであり、大量のデータをネットワーク上で効率的に移動できます。 その結果、重大なセキュリティ問題に対処するために、何年にもわたって更新と機能強化が行われてきました。 存在するさまざまなタイプのFTPには、次のようなものがあります。
匿名 FTP: 匿名 FTP では、データをアップロードまたはダウンロードするためにユーザーが FTP サーバーに対して認証を行う必要はなく、暗号化も使用されません。 これは、公開されているデータへのアクセスを提供するために使用されることもありますが、より機密性の高い情報に使用すると、重大なセキュリティリスクが生じます。
パスワードで保護された FTP: パスワードで保護された FTP は、匿名 FTP と同様に機能し、ポート 20 と 21 も使用します。 暗号化はありませんが、ユーザーはFTPサーバーに対して認証する必要があります。
FTPセキュア(FTPS):FTPSは、接続をSSL/TLSでラップすることにより、FTPプロトコルに暗号化と認証を追加します。 デフォルトでは、データ接続にポート990を使用します。
FTP over Explicit SSL/TLS (FTPES): FTPES は、ポート 21 で通常の FTP 接続として開始されます。 ただし、その後、SSL/TLS暗号化接続にアップグレードされます。
セキュアFTP(SFTP):SFTP は FTP とは異なるプロトコルですが、同じ目的を果たします。 SSH上で実行され、他の安全なFTPバリアントと同様に、暗号化および認証されたファイル転送を提供します。
チェック・ポイントのソリューションによるFTPセキュリティ
管理されていない安全でないFTP接続は、組織のアカウントとデータのセキュリティに重大なリスクをもたらす可能性があります。 これらの接続により、ユーザーの資格情報や機密データが攻撃者に漏洩する可能性があります。
FTPは、安全であろうとなかろうと、 データ漏洩防止 (DLP)にも脅威をもたらします。 FTPは、バルクファイル転送プロトコルとして、企業ネットワークから大量の機密データを盗み出すのに最適です。
チェック・ポイントの次世代ファイアウォール(NGFW)には、FTPセキュリティ機能が統合されています。 機能の 1 つが ステートフル インスペクションで、関連付けられた FTP 制御接続を観察した後にのみ FTP データ接続を許可します。 チェック・ポイントのNGFWには、FTPやその他のプロトコル用の統合データ・セキュリティ制御と DLP も含まれています。 NGFWに何を求めるべきかについては、 こちらのバイヤーズガイドをご覧ください。
FTPは、正しく安全に使用すれば、組織にとって非常に貴重なプロトコルになります。 チェック・ポイントのNGFWは、FTPのセキュリティ・リスクを管理し、FTPを介したデータ流出の試みから組織を保護するのに役立ちます。 チェック・ポイントのNGFWと組織にとってのメリットの詳細については、 今すぐ無料デモにサインアップしてください。
Feedback