プライバシー、セキュリティ基準、および監査の要件

このセクションでは、HIPAA、FDIC、OCC、G-L-B 法、カリフォルニア州法 1386 条、カナダ PIPEDA、Payment Card Industry (PCI)、サーベンス・オクスリー法 (SARBOX)、およびその他の規制について、MOVEit に期待される適合性に関する質問にお答えします。セキュリティを重視するお客様がファイル送信とストレージのプライバシーおよびセキュリティ基準だけでなく、関連する契約上、業界、および規制上の要件を満たすために、MOVEit がどのように貢献しているかについての最新情報は、Ipswitch までお問い合わせください。

• 多要素認証 - 2 つ以上の要素が存在すると、ユーザー認証情報を盗用し、悪用することが難しくなります。対話型のヒューマンインターフェイスを実現するために、MOVEit Transfer では RFC 6238 TOTP (時間ベースのワンタイムパスワード) や RFC 4226 HOTP (HMAC ベースのワンタイムパスワード) を実装する、Google Authenticator などの、パスワードに基づいた「ソフトトークン」認証アプリケーションをサポートしています。マシンインターフェイスと FTP/SSH クライアントは、パスワードとクライアントキー/認証情報を要求するように設定して、多要素認証を実装することができます。
• 保存データ (Data at Rest) - MOVEit は、FIPS 140-2 認定を受けた 256 ビット AES 暗号化を使用してディスク上のすべてのファイルを暗号化することにより、この要件を満たします。MOVEit Crypto (MOVEit を強化する暗号化モジュール) は、厳密な FIPS 140-2 ガイドラインに従い暗号化の適切性について米国政府およびカナダ政府による詳細な調査、検証、および認定を受けた 10 番目の製品です。
• 活動するデータ (Data in Motion) - MOVEit は、データを送受信するときに暗号化されたチャネル (SSL または SSH) を使用することによって、この要件を満たします。
• 開封明示監査証跡 - MOVEit はすべてのファイル送信および管理操作の監査証跡を保存します。ログの改ざんを明示できるように、すべてのエントリは暗号により連鎖しています。スケジュールされた改ざんチェックを自動的に実行することも手動で実行することもできます。
• 整合性チェック - アップロード/ダウンロードウィザード、EZ、Xfer、Freely、Central、API Windows、API Java などの MOVEit および MOVEit ファイル送信クライアントは、暗号化ハッシュを使用して、送信チェーン全体でファイルの整合性を検証します。MOVEit のセキュア FTP、API、および Web ベースクライアント (アップロード/ダウンロードウィザードを含む) はすべて、整合性チェックをサポートしています。注: JavaScript ウィザードを使用する場合、整合性チェックは別個の手順になります。
• 否認防止 - MOVEit の認証および整合性チェックにより、特定の人物が特定のファイルを送信および/または受信したことを証明できます。
• 配信保証 - MOVEit の否認防止機能と送信の再起動/再開機能を組み合わせることで、配信保証要件を満たします。
• 使用しないデータの破壊 - MOVEit は削除したすべてのファイルを暗号レベルのランダムデータで上書きし、それ以降、アクセスできないようにします。MOVEit は NIST SP800-88 (データ消去) 要件を満たしています。
• アクセスを必要最小限に限定 - MOVEit のユーザー/グループアクセス許可によって、特定の項目へのアクセスを許可します。
• 適切なパスワード保護 - MOVEit は強力なパスワードを要求し、ユーザーによるパスワードの再使用を防ぎ、ユーザーにパスワードの変更を定期的に求めます。
• 適切な暗号化 - MOVEit はネットワーク上での通信に SSL を使用します。現在使用できる中で最高の 128 ビット強度で接続するように、この「ネゴシエーション」プロトコルを強制することができます。MOVEit は MOVEit Crypto の FIPS 140-2 認定済み 256 ビット AES を使用してディスクにデータを格納します (このアルゴリズムは DES に代わるものとして NIST により選択されました。また、トリプル DES よりも早く安全です)。
• サービス拒否攻撃対策 - MOVEit は、証明書チェックによるリソース消費や匿名ユーザーが使用できるその他のリソースに起因する DOS 攻撃に対して高い回復性があります (「不法な」 IP アドレスはロックアウトされます)。
• セキュリティ強化 - MOVEit のインストールは、オペレーティングシステム、Web サービス環境、アクセス許可、および外部アプリケーションを対象とする、複数のステップで構成され文書化されたセキュリティ強化手順を伴います。
• ファイアウォール - MOVEit には、ファイアウォール管理者向けファイアウォール設定ガイドが含まれています。MOVEit は第 2 の防衛線となるパケットフィルタリングファイアウォールとして、ネイティブ IPSec の使用をサポートしています。
• コードエスクロー - 主要なバージョンの MOVEit のすべてのソースコードとビルド指示は、サードパーティに預託されています。
• コードレビューと回帰テスト - すべての MOVEit コードにコードレビューを行います。変更制御は Microsoft SourceSafe アプリケーションを使用して維持されます。回帰テストはリリースごとに行われます。