サーバーの種類(サービス/プロトコル)
SFTPサーバーのご利用を強く推奨します。SFTPは安全性と高速性を両立させた優れたプロトコルです。
SSL/TLS の脆弱性に関する問題が多いFTPSと比べて、安心してご利用いただけます。
FTPサーバーをご利用の場合は、SFTPサーバーへの移行を強く推奨します。
IPアクセス制限を有効にする
特定の IPアドレスを指定して、特定アドレスだけの接続を許可することや、特定アドレスからの接続を拒否することができます。注意点としては、クライアント側の IP が固定されている必要があります。
DoS攻撃と総当たり攻撃への対策
Titan SFTP Server には「フラッド攻撃防御/Dos 設定」という機能が搭載されています。
この機能を有効かすることで、Dos攻撃、フラッド攻撃、総当たり攻撃からサーバーを防御します。
公開鍵認証のみを使用
パスワード認証を無効化して、公開鍵認証のみを利用することで、安全性を向上できます。
パスワード認証の場合、情報が漏洩していない場合でもパスワードに使用している文字列を特定されるリスクが存在します。
公開鍵認証は、秘密鍵と秘密鍵のパスワードが流出しない限り、第三者によるアクセスを拒否できるため、パスワード認証よりも安全です。
どうしてもパスワードを使用しなければいけない場合は、MFA 認証をご活用ください。
安全性の高いホストキーとアルゴリズムの選択
ホストキーの種類とサイズ
SSHホストキーは、ED255191 または 521ビットの ECDSA の利用を強く推奨します。
クライアントが EdDSA/ECDSA をサポートしていない場合は、4096ビットの RSA をご利用ください。
暗号化方式やアルゴリズムの選択
Titan SFTP Server では、使用する暗号やアルゴリズムの選択や優先順位を指定できます。
例えば、Google のサーバーや 新しい MacBook などでも採用され、IPA でも推奨されていた ChaCha20-Poly1305 は、2023年 12月に脆弱性 (CVE-2023-48795) が報告されました。
ChaCha20-Poly1305 のアルゴリズムに問題があるわけではなく、最新の Titan SFTP Server では、この問題への対策が適用されていますが、発覚次点でチェックを外すだけで無効化できます。クライアント側での対応状況が不明な場合、リスク回避のために ChaCha20-Poly1305 を無効化しておくことも効果的です。
以下の表は、推奨するアルゴリズムを優先順位に並べ替えた設定値です。
使用しない暗号およびアルゴリズムは無効化しておくことを推奨します。
推奨アルゴリズム設定表
| 暗号 | 鍵交換 (KEX) | MAC |
|---|---|---|
| aes256-gcm@openssh.com | ecdh-sha2-nistp521 | hmac-sha2-512-etm@openssh.com |
| aes128-gcm@openssh.com | ecdh-sha2-nistp384 | hmac-sha2-256-etm@openssh.com |
| chacha20-poly1305@openssh.com2 | ecdh-sha2-nistp256 | |
| curve25519-sha256 | ||
| curve25519-sha256@libssh.org | ||
| diffie-hellman-group18-sha512 | ||
| diffie-hellman-group15-sha512 |
