安全性の高いサーバーについて

本ページでは、安全性の高いサーバーを構築するポイントをご案内します。

サーバーの種類(プロトコル)

SFTPサーバーのご利用を強く推奨します。
SFTP は、安全性と高速性を両立させた優れたプロトコルです。SSH ホスト鍵による認証を利用することで、より安全な接続を可能にします。
SSL/TLS の脆弱性に関する問題が多い FTPS と比べて、安心してご利用いただけます。

暗号化方式に AES を使用

AES は安全性の高い世界標準の暗号化アルゴリズムです。
欧州の暗号規格 NESSIE や、日本の暗号規格 CRYPTREC でも採用されています。

AES には 128、192、256 と、鍵の長さを表す種類があります。
AES-256 が最も安全性が高い反面、処理速度が低下いたします。
安全性と速度とのバランスを要求される場合は、AES-192 を、安全性重視の場合には、AES-256 をご利用ください。

HMAC に HMAC-SHA2 以上を使用

HMAC のハッシュ関数には、SHA2 以上を強く推奨いたします。
SHA1 は、古いクライアントにも対応できるメリットがありますが、脆弱性が発見されているため推奨しておりません。

SHA の後についている数値は、AES と同じく鍵長となり、数字が大きいほど安全性が高く、速度が低下いたします。

SHA2-384 や SHA2-512 はサポートされているクライアントが少ないため、多くのクライアントでサポートされている、HMAC-SHA2-256 をご利用ください。
なお、WebDrive などのように、HMAC-SHA3-256 をサポートしているクライアントの場合、SHA3-256 を推奨いたします。
対応クライアントが少ないため、第三者からの攻撃を受ける機会を減らすことができます。
Titan FTP Server では、複数の HAMC を選択可能で、優先順位を指定することができるため、SHA3-256 と SHA2-256 の両方を有効化いただくことをご提案します。

鍵交換アルゴリズムに SHA-256 を使用

SHA1 には脆弱性が確認されているため、diffie-hellman-group14-sha256 と diffie-hellman-group-exchange-sha256 をご利用ください。
group14-sha256 に対応していないクライアントも少なくありません。念のために両方とも有効にしておきましょう。

使用しない項目の無効化

使用しない暗号化方式、HMAC、鍵交換アルゴリズムのチェックを外しておきましょう。
細かなことですが、不正アクセス対策として効果的です。

ホストキー認証を利用

パスワード認証を無効化して、ホストキー認証のみを利用することで、安全性を向上できます。
パスワード認証の場合、情報が漏洩していない場合でも、パスワードに使用している文字列を特定されるリスクが存在します。
ホストキー認証は、ホストキーとホストキーをインポートするためのパスワードが流出しない限り、第三者によるアクセスを拒否できます。