こんにちは、サーバーインフラチーム（としての？）飯岡です。

サーバーインフラチームが発足いたしましたので
最近いろいろなチームに足を突っ込んでいるので結構頭が混乱してますが
今回は、サーバーに関連した内容を書かせていただきます。

最近、セキュアログを見ているとSSHや謎ポートへの連続アクセスが多くみられます。
よく見てみると、FTPへの辞書アタックがかなり見られます。

Wikipediaを引いてみました

File Transfer Protocol（ファイル・トランスファー・プロトコル、FTP、ファイル転送プロトコル）は、ネットワークでファイルの転送を行うための通信プロトコルの1つである。

FTPは、インターネット初期から存在する古いプロトコルであり、セキュア（安全）なプロトコルとして設計されていない。ユーザ名やパスワードなどの認証情報を含むすべての通信内容を暗号化せずに転送するなどの問題の他、数多くのセキュリティ脆弱性が指摘されている。そのため、現在では、FTPのかわりに FTPS (SSL/TLSを使ったFTP) や SFTP (SSH File Transfer Protocol) といったプロトコルを使用することが強く推奨される。

見ての通り、FTPは現在は”非推奨”となっています。

でもこの内容というのは、ファイルの公開にFTPを使うなということではなく
コンテンツのアップロードにFTPを使うなということになります。
ファイル送信専用としてのFTPは今でも多く使われていますので今回は問題には上げません。

FTPでのファイル転送って覗けるんですよねー・・・

そう、悪意を持った人がアップロードしているコンテンツの中身を見れるんです
FTPって暗号化されないんですよ。
さらに、パスワードの強度もそこまで強くないです。
辞書アタックが場合によっては容易に通ってしまいます。
さらに、昔からある技術なので横着しがちで、ほかの仕組みを使おうとは
なかなか思わないと思います。

最近ではFTPの代わりにSFTP（SSHを利用したセキュアなファイル転送）
を使うことが主流になってきています。
使うツールが多少変わったりはしますが、基本的には変わりません。
セキュリティ意識という面では、今更FTPを使っているなんていうのは
戦争に木の盾を持って、戦車と戦うようなものですよ。

ではこれからどうしていけばいいかというと。

一般にはSFTPへの置き換えを進めていけば大丈夫です。
しかも大体のサーバーは最初からSFTPのサーバー機能を持っています。
わざわざあとからFTPサーバーを入れてましたよね？
それは無駄な作業だったはずです。
OS制作側も、そういった点を踏まえているのでFTPを後からしか入れられないようにしているし
SFTPで接続するようにデフォルトがなっているわけです。

設定についてもSSHがメインのシステムになるので
SSHのセキュリティ設定に準拠することになりますので
サーバー構築がしっかり行われていれば
自然にSFTPのセキュリティも高まるということになります。

サーバー構築の工数削減＋セキュリティ対策も同時にできるので
より頑強なセキュリティを簡単に手に入れられます。

しかし、お客様でFTPをつかってコンテンツをアップロードしたいなどの
要望もでてきたりするので、現実的には完全廃止はできないかもしれませんが
本来であれば、使い方はほとんどかわらないので
少しずつでも移行していくのが理想かと思います。

ということで、これからはSFTPとか使っていきましょう。
というお話しでした。

補足ですが・・・

セキュリティは突き詰めると終わりがありません。
攻撃対象にされたらイタチごっこです。
すきをついてやられます・・・。
そうならないためにも日々のセキュリティ意識は個人間でも高めることが重要ですね！