新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

FTPセキュリティプロキシ

FTPを単なる開放ポートとしてではなく、コマンドごとに制御された安全なファイル転送セッションとして管理します。

TR7 WAAP FTPセキュリティプロキシ層は、モダンなWAAP保護の届かないところにあるレガシーFTPトラフィックをセキュリティの範囲内に取り込みます。FTPは銀行業、政府、医療、物流、製造、EDI、パートナーファイル交換で引き続き使用されていますが、ほとんどの環境では開放ポートとユーザー名/パスワードチェックのみで保護されています。 TR7 WAAPはFTPセッションをアプリケーション層で扱います:コマンドレベルのホワイトリスト、ユーザーごとのポリシー、ユーザーベースのバックエンド選択、FTPバウンスとFXP攻撃軽減、セッションタイムアウト、ファイル転送監査、SIEMログストリーミングがすべて同じポリシーモデル内で管理されます。許可されたコマンドのみがバックエンドに到達します。 この層は既存のFTPサービスの置き換えを必要としません。レガシーシステムは動作し続け、TR7はフロントでセッションを終端し、検査し、ログに記録し、ポリシーが許可するものだけをバックエンドに転送します。FTPSシナリオでは、TLS終端と証明書管理が同じセキュリティチェーンに組み込まれます。 結果として、TR7はFTPを組織のブラインドスポットから取り除き、レガシーファイル転送フローをモダンなWAAPセキュリティ、ユーザーごとの制御、フォレンジック監査基準に引き上げます。

20+
RFC 959 FTPコマンド — それぞれ個別にallow/deny制御可能
900 s
デフォルトセッションタイムアウト — ポリシーごとに設定可能
3
個別のログレベル:コマンド、転送、セッション

FTPはモダンなセキュリティ層のブラインドスポットです。

FTPは個別の制御チャネルとデータチャネルを使用するレガシーファイル転送プロトコルです。モダンなウェブとAPIトラフィックがトークン、TLS、セッションポリシー、WAAPコントロールで保護されている一方、FTPはほとんどの組織で「ポートを開け、ユーザー名とパスワードをチェックする」レベルに留まっています。EDIワークフロー、バッチ転送、パートナーファイル交換、メインフレームブリッジ、レガシードキュメントシステムがセキュリティの可視性の外で動作しています。

従来のネットワークセキュリティはFTPに対して2つの弱いオプションを提供します。ポート21を開けるとどのコマンドが通過するかが見えないか、FTPを完全に削除して数ヶ月にわたる統合プロジェクトが始まるかのいずれかです。多くのレガシーシステムはその移行を素早く吸収できません。

FTPSを使用するだけでは十分ではありません。トラフィックは暗号化されているかもしれませんが、どのユーザーがどのコマンドを実行しているか、どのファイルが取得または送信されているか、どのバックエンドにアクセスしているか、データ接続が正しいソースから来ているか、セッションがどれくらい開いているかという問いは依然として残ります。

FTPのプロトコル設計は特定の攻撃面を生み出します。PORTコマンドはデータ接続を第三者アドレスに向けることができ、FXP風のサーバー間転送が悪用され、弱い匿名または共有アカウントが長期間開いたままになる可能性があります。これらのリスクはネットワーク層では観察が困難で、アプリケーション層のFTPセッション認識が必要です。

TR7 WAAP FTPセキュリティプロキシ層は、クラシックなFTPサービスを削除することなく、コマンドホワイトリスト、ユーザーごとのポリシー、バウンス/FXP軽減、セッション制御、フォレンジック監査の下で運用します。

アプローチ

TR7 WAAPはFTPをポート開放の決定としてではなく、ユーザーごとに認可されコマンドごとに監査されるアプリケーションセッションとして扱います。

コマンドレベルのホワイトリストが許可された操作のみを通す

RETR、STOR、DELE、MKD、RMD、LIST、NLST、RNFR、RNTO、SIZE、MDTMなどのFTPコマンドが個別のallow/denyリストに配置されます。未知のコマンドまたはポリシーに存在しないコマンドはデフォルトで拒否されます。

ユーザーごとのポリシーが異なる権限とターゲットを提供

FTPユーザー名をポリシーキーとして使用できます。同じVIPを通じて接続する異なるユーザーは異なるコマンドセット、異なるタイムアウト、異なるバックエンドプールで動作できます。

バウンスとFXP保護がデータ接続を検証

データ接続のソースが制御接続と関連付けられます。第三者アドレスに向けられたPORTの試みやサーバー間転送の動作はデフォルトでブロックされ、例外は明示的なポリシー決定によって定義されます。

フォレンジック監査がすべてのコマンドと転送を追跡可能にする

すべてのセッション、コマンド、ファイル転送が監査ログに記録されます。モニターモードは完全なファイルパスを表示し、ファイルコピーモードは転送された各ファイルのタイムスタンプ付きコピーを保存できます。

機能

FTPセキュリティプロキシはクラシックなFTPプロトコルのコマンド、ユーザー、データチャネル、セッション、監査の弱点をWAAPポリシーモデルの下に置きます。

ValidCommandsホワイトリストがFTPコマンドを一つずつ認可

TR7は標準FTPコマンドをポリシーレベルでallow/denyの決定として管理します。読み取り専用ロールではRETE、LIST、NLST、SIZE、MDTM、STATなどのコマンドが開いたままになる一方、STOR、DELE、RMD、RNTOは拒否できます。アップロードロールではSTORと必要なディレクトリコマンドのみが許可されます。これにより「FTPアクセスを持っている」が無制限のファイル権限に変換されないことが保証されます。

ユーザーごとのポリシーマッチングが同じVIP上で異なる動作を提供

ユーザー名はログイン段階で読み取られ、WAAPポリシーエンジンに入力されます。同じVIPに接続する2人のユーザーは異なるコマンドセット、異なるセッション期間、異なる監査深度、異なるバックエンドプールで動作できます。このアーキテクチャはパートナー、部門、テナントベースのファイル転送を単一のエントリポイントに集約します。オペレーションチームはユーザーごとにセキュリティ境界を定義します。

ユーザーごとのバックエンド選択がマルチターゲットFTPを簡素化

あるユーザーを特定のバックエンドプールに向け、別のユーザーを異なるプールにルーティングできます。クライアント側の`user@server`選択パターンを使用したり、TR7が中央テーブルを通じてユーザーを適切なバックエンドに解決したりできます。B2Bパートナーのシチュエーション、部門の共有、テナント分離のために多くの個別VIPを開く必要がなくなります。単一のエントリポイントの下で制御されたルーティングが行われます。

データポートとPORT/PASV動作がポリシーの下で管理される

アクティブとパッシブのFTPモードはデータ接続に関して異なる動作をします。TR7はPORTとPASVフローをセッションと関連付けてデータチャネルが正しく確立されることを保証します。パッシブポート範囲はポリシーで制限でき、バックエンドへのソースIPを固定できます。これによりNATとファイアウォールの背後にあるFTPサービスでの転送失敗が削減されます。

FTPバウンスとFXP軽減が第三者アドレスへのデータ転送をブロック

FTPバウンス攻撃ではPORTコマンドが第三者のターゲットにデータ接続を向けようとします。TR7はデータ接続を制御接続の実際のエンドポイントとマッチングすることでこの動作を拒否できます。FXP風のサーバー間転送の動作はデフォルトでオフに保つことができます。必要な例外は明示的に定義されます。セキュリティの穴がデフォルトの動作になることはありません。

ソースIPと地理アクセスポリシーがFTPセッションに適用される

FTPセッションはソースIP、国、ASN、時間帯、ユーザー情報によって評価できます。特定のパートナー国または企業IPレンジ以外からの接続を拒否できます。これによりウェブとAPI側で使用されているアクセス制御アプローチがFTPにも適用されます。レガシーファイル転送フローがモダンなアクセスポリシーにバインドされます。

セッションとアイドルタイムアウト制御がリソース消費を制限

FTPセッションは長期間開いたままになり、バックエンドのソケットを消費する場合があります。TR7はログインタイムアウト、アイドルタイムアウト、総セッション期間などの制限をポリシーレベルで管理できます。デフォルトのセッション期間900秒をベースラインとして使用し、必要に応じて調整できます。アイドル状態のセッションはバックエンドを待たせることなく閉じられます。

モニターモードが相対ファイルパスを完全な監査レコードに変換

FTPクライアントはCWDでディレクトリを変更し、相対ファイルコマンドを発行できます。モニターモードはセッション内の作業ディレクトリを追跡し、`RETR file.csv`などのコマンドを完全なファイルパスとともにログに記録します。監査レコードはコマンドだけでなく実際のファイルの場所を示します。インシデント後の調査でどのファイルが取得または送信されたかが明確になります。

ファイルコピーモードが転送された各ファイルのタイムスタンプ付きコピーを保存

コンプライアンスまたはフォレンジックのニーズに対して、転送された各ファイルのコピーを別のストレージ領域に書き込むことができます。ファイルは日付ベースのディレクトリ構造で保持し、監査ログと関連付けることができます。これにより「どのファイルが送信されたか」という質問にログエントリだけでなくファイル自体で答えることができます。規制対象セクターで監査証拠が強化されます。

FTPS終端が暗号化トラフィックとともにコマンドの可視性を保持

FTPSが使用されている場合、制御チャネルは暗号化されていますが、セキュリティポリシーを適用するためにコマンドを理解する必要があります。TR7 WAAP FTPセキュリティプロキシ層はセキュリティ層でFTPSセッションを終端してコマンドを検査できます。AUTH TLSの下では、バックエンドへの転送を再暗号化または内部ネットワークモデルに適応させることができます。証明書とTLSポリシーは中央管理プールと整合されます。

運用の深み

FTPセキュリティプロキシはコマンド処理、データ接続のライフサイクル、HA動作、監査ストリーミング、リソース制限、コンプライアンス保持ポリシーと一緒に運用されます。

01

コマンド処理チェーン

すべてのFTPコマンドは制御チャネルから受け取られ、解析され、ValidCommandsリストとユーザーポリシーに対して評価されます。許可されたコマンドはバックエンドに転送されます。拒否されたコマンドはプロトコル準拠のエラーレスポンス(502または550)を返します。クライアントはプロトコル準拠のまま保たれます。

02

データ接続のライフサイクル

PORTまたはPASVコマンドが見られると、TR7がデータ接続をセッションと関連付けます。クライアントとTR7、TR7とバックエンドの間に個別のデータ接続が存在します。この構造により転送中にポリシー違反が検出された場合にセッションを制御された方法で閉じることができます。

03

高可用性動作

新しいFTPセッションはアクティブノードで同じポリシーで開かれます。進行中の大きなデータ転送はプロトコルの性質によりフェイルオーバーイベントで中断される場合があります。クライアントがレジュームをサポートしている場合、転送を再開または継続できます。したがって、本番デプロイメント前に重要な転送のクライアント動作をテストするべきです。

04

監査とSIEMストリーミング

セッション、コマンド、転送レベルで個別のログを生成できます。ログは構造化フォーマットでSIEMストリームに送ることができます。モニターモードはログ行に完全なファイルパスを追加し、ファイルコピーモードは保存されたファイルコピーの場所を追加します。

05

制限とリソース管理

同時セッション数、ユーザーごとのセッション、IPごとのセッション、ファイルサイズ、転送レートをすべてポリシーで制限できます。これにより単一のユーザーまたは誤動作するバッチジョブがFTPインフラストラクチャを使い果たすことを防ぎます。大きなファイル転送には帯域幅とタイムアウトを一緒に計画するべきです。

06

コンプライアンスと監査

転送された各ファイルの完全なパス、タイムスタンプ、ユーザー情報、必要に応じてファイルコピーを保持できます。保持期間は組織のコンプライアンスポリシーに従って設定されます。監査中、FTPトラフィックはもはやダークな領域ではなくなります。

利用シナリオ

B2Bパートナーのフォゲートウェイをユーザーごとに分割

金融機関または政府機関がパートナーとFTPでEDIファイルを交換する場合があります。TR7は単一のVIPの背後で各パートナーを独自のバックエンドプールにルーティングし、許可されたコマンドのみを開き、すべての転送を監査の下に置きます。

レガシードキュメント管理システムの前に保護を追加

レガシードキュメントプラットフォームがFTPアップロードのみをサポートしている場合、システムに触れることなくTR7を前に配置できます。ポリシーはSTORと必要なディレクトリコマンドのみを開き、削除とリネームコマンドを拒否します。

メインフレームブリッジに読み取り専用ポリシーを適用

メインフレームシステムからファイルを取得する統合では、ユーザーをRETE、LIST、SIZEなどの読み取り専用コマンドに制限できます。STOR、DELE、RNFR、RNTO、MKD、RMDが拒否され、データ変更のリスクが削減されます。

アウトバウンド共有のためのファイルコピーと監査証拠の生成

医療または研究チームが外部パートナーにデータセットを送信する際、すべての転送をファイルコピーで保持できます。ファイルサイズ制限、ユーザーごとのポリシー、SIEMログストリーミングにより共有プロセスがエンドツーエンドで監査可能になります。

よくある質問

FTPセキュリティプロキシはどのFTPコマンドを管理できますか?
RFC 959で定義された20以上のコマンド — RETR、STOR、DELE、MKD、RMD、LIST、NLST、RNFR、RNTO、SIZE、MDTM、STAT、APPE、STOU、CWD、CDUPを含む — をそれぞれ個別に許可または拒否できます。ポリシーに存在しないコマンドはデフォルトで拒否されます。「読み取り専用」、「アップロードのみ」、「フルコントロール」などのロールプロファイルはポリシーレベルで定義されます。
FTPSトラフィックはコマンドの可視性をブロックしませんか?
AUTH TLSで暗号化されたFTPSセッションでは制御チャネルが暗号化されているためコマンドは直接見えません。TR7 WAAP FTPセキュリティプロキシ層はアプリケーション層でFTPSセッションを終端してコマンドを検査します。バックエンドへの転送は再暗号化または内部ネットワークモデルに適応されます。証明書管理は中央プールから処理されます。
FTPバウンスとFXP攻撃はどのようにブロックされますか?
PORTコマンドが第三者アドレスにデータ接続をリダイレクトしようとする場合はデフォルトで拒否されます。データ接続のソースは制御接続の実際のエンドポイントとマッチングされます。FXP風のサーバー間転送の動作もデフォルトでオフに保たれます。例外を定義するにはポリシーに明示的な決定を書く必要があります。
モニターモードとファイルコピーモードの違いは何ですか?
モニターモードはFTPクライアントがCWDで変更する作業ディレクトリを追跡し、相対コマンドを完全なファイルパスとともにログに記録します — `RETR file.csv`コマンドは監査レコードに`/data/partner/2026/inbox/file.csv`として表示されます。ファイルコピーモードは転送された各ファイルのタイムスタンプ付きコピーを日付ベースのディレクトリ構造に保存します。両方を組み合わせると、完全なパスの可視性とファイルコピーの両方が利用可能です。
同じVIPに接続した異なるパートナーが互いのバックエンドに到達できますか?
いいえ。ユーザーごとのポリシーマッチングはログイン段階でユーザー名を読み取り、各ユーザーを割り当てられたバックエンドプールのみにルーティングします。異なるコマンドセット、異なるタイムアウト、異なるバックエンドプールが同じVIPの下でユーザーごとに分離されます。このアーキテクチャはB2Bパートナーの分離、部門の分離、マルチテナントシナリオのために設計されています。
FTPセキュリティプロキシはSFTPも対象としますか?
いいえ。この機能はFTP(RFC 959)とFTPS(TLSでラップされたFTP)をカバーします。SFTPはSSHベースのプロトコルであり、このページの範囲外です。

FTPトラフィックをWAAPセキュリティ層の下に置く

コマンドホワイトリスト、ユーザーごとのポリシー、バウンス/FXP保護、フォレンジック監査。お客様自身のFTPインフラストラクチャでライブセットアップをご案内します。