STFPとは?FTP/FTPSとの違いと安全な設定を紹介
SFTPの概要と重要ポイント(安全なファイル転送の標準)
SFTP(SSH File Transfer Protocol)はSSHを土台にした暗号化ファイル転送プロトコルです。FTPとは実装が異なり、コントロール・データともに単一の暗号化チャネルで扱います。まずは、鍵認証と最小権限の徹底を基本に据え、ポートやフォルダ隔離を合わせて設計すると安全です。
SFTPの定義(意味としくみ)
SFTPはSSH(通常ポート22)上で動作するファイル転送・管理のためのプロトコルです。公開鍵認証・強力な暗号化・単一ポートでの通信が特徴で、NATやファイアウォール越しでも設定がシンプルです。FTP/FTPSとは別物であり、SFTPはSSHサーバーの機能(sftp-subsystem)として提供されます。
実務での論点(設定・権限設計・運用のコツ)
誤設定は情報漏えいに直結します。ユーザー設計から鍵管理、自動化まで一連のルールを整備しましょう。以下の観点をチェックすると安全かつ効率的に運用できます。
- 認証:公開鍵認証を標準とし、パスワードログインは無効化します(必要時は多要素を併用)。
- 権限:chrootやSFTP-only設定でホーム配下に隔離し、書込/実行権限を最小化します。
- ネットワーク:ポート22の制限(IP許可リスト)とFail2ban等のブルートフォース対策を施します。
- 鍵管理:鍵の期限・失効手順を定め、個人と共有鍵の分離を徹底します。
- 自動化:バッチ転送はSSH鍵+known_hosts固定、再送・整合チェック(ハッシュ)を組み込みます。
- 監査:接続ログ・転送ログを保存し、異常試行を通知します。
比較・使い分け表(SFTP・FTPS・FTPの違い)
| 方式 | 意味 | 用途 |
|---|---|---|
| SFTP | SSH上の転送。単一ポートで暗号化・鍵認証に対応 | 機密ファイルの安全転送、サーバー保守、自動化に最適 |
| FTPS | FTP+TLSで暗号化。制御/データで複数ポート | 既存FTP資産をTLSで保護。ファイアウォール調整が必要 |
| FTP | 平文の従来型プロトコル | 非推奨。限定的な閉域環境を除き避けます |
運用・セキュリティ上の注意
初期設定のまま公開すると不正アクセスの標的になります。rootログインは無効化し、sudo権限は最小化します。クライアント側ではホスト鍵のピン留め(known_hosts)を必ず行い、中間者攻撃を防ぎます。さらに、転送先の到達確認や整合性チェックをジョブに組み込み、障害時のリトライと通知設計を用意すると復旧が早まります。
よくある質問(FAQ)
SFTPとFTPSはどちらを選ぶべきですか?
新規構築なら単一ポートで運用が簡単なSFTPが一般的です。既存FTP資産や特定要件がある場合のみFTPSを検討します。
SFTPの標準ポートは変更すべきですか?
推奨ではありませんが、スキャン回避の観点で変更することがあります。根本対策はIP制限・鍵認証・多要素・監査の徹底です。
自動バッチでの安全な接続方法は?
パスフレーズ付き鍵+エージェント、known_hosts固定、失敗時リトライと整合性ハッシュ(SHA-256)検証を組み込みます。転送前後の件数照合も有効です。
SFTPで権限トラブルが起きやすい理由は?
ユーザー/グループやumaskの不一致、chroot内の所有者制約が原因です。アップロード先の所有者・パーミッションを事前に設計し、必要ならサーバー側で補正します。
SFTPのまとめ
SFTPはSSHを活用した安全で実務的なファイル転送です。鍵認証・最小権限・単一ポート運用を基本に、隔離・監査・自動化を組み合わせれば、セキュリティと効率を両立できます。FTPの置き換えだけでなく、定期バッチや保守用途でも標準手段として有効です。
