Reading Time: 1 minutes

◆今回の記事のポイント◆
★ファイルサーバーのアクセス許可について
★ファイルサーバーのアクセス許可設定の現実について

 

◆MicrosoftのMVP解説シリーズ バックナンバー◆

 

皆さん、こんにちは。国井 傑(くにい すぐる)です。第三弾シリーズの執筆を新井にバトンタッチし、平行して私は第四弾シリーズとしてファイルサーバー管理に関する投稿をしていきます。引き続きどうぞよろしくお願いいたします。

英語圏で使われることわざに、「例外のない規則はない(There is no rule without exceptions)」という言葉があります。どんな規則も規則の範囲で守り切れない部分が出てくる、という意味ですが、企業でのファイルサーバーでも同じようなことが起こっていないでしょうか?
本シリーズでは全6回の連載で、ファイルサーバー管理について触れ、その中でセキュリティやコンプライアンスの観点から理想的な運用方法とは何か?について探っていきたいと思います。

ファイルサーバーは企業の規模を問わず、社内システムの一部として動作しているのではないかと思います。ファイルサーバーに保存されるファイルコンテンツには部署別に扱うコンテンツ、プロジェクト単位で扱うコンテンツ、業務内容別に扱うコンテンツなど、様々なものがあります。これらのコンテンツには、一部の従業員だけがアクセスできるようにしなければならないものもあるでしょう。
そうしたコンテンツをWindows Serverでファイルサーバーを構成している場合であれば、2種類のアクセス許可で設定をしていきます。既に20年以上歴史のあるテクノロジーなので、ご存知の方もいると思いますが簡単におさらいをしておきましょう。

 

★ファイルサーバーのアクセス許可

■共有アクセス許可
Windows Serverに保存されているファイルやフォルダーをネットワーク経由で他のコンピューターからもアクセスできるようにするためには、「共有」と呼ばれる設定を行います。共有の設定を行ったフォルダーは、そのフォルダー内にあるすべてのファイルとサブフォルダーが公開され、ネットワーク内の他のコンピューターからアクセスできるようになります。
このとき、すべてのユーザーから自由に共有フォルダーにアクセスできるようにするのではなく、一部のユーザーだけがアクセスできるように構成するのが共有アクセス許可です。
読み取り、編集、フルコントロール、という3種類のアクセス許可でシンプルなアクセス制御ができるようになっています。

■NTFSアクセス許可
Windows Serverのディスク(ボリューム)をNTFSと呼ばれるファイルシステムでフォーマットした時に利用可能であり、共有の有無に関係なく設定可能なアクセス許可設定です。そのため、ネットワーク経由ではないアクセスの場合でもNTFSアクセス許可が設定されていなければ、ファイルやフォルダーにアクセスできません。
NTFSアクセス許可は読み取り、書き込み、実行、変更、フルコントロールなどの非常に細かなアクセス許可の割り当てが可能で、ファイルとフォルダーに対してそれぞれ設定できるようになっています。共有アクセス許可は共有フォルダーに対してアクセス許可を設定したら、フォルダー内のすべてのファイルとサブフォルダーがみな同じアクセス許可が設定されるのに対して、NTFSアクセス許可はフォルダーとファイルで別々のアクセス許可を割り当てることができます。そのため、フォルダーにアクセスできるが、フォルダー内のファイルにはアクセスできない、というような構成が可能です。

■共有アクセス許可とNTFSアクセス許可の組み合わせ
共有アクセス許可とNTFSアクセス許可は両方同時に設定することが可能で(厳密には両方同時に設定しなければならない)、両方の設定がある場合はより厳しい設定が優先されるというルールになっています。そのため、両方でバラバラな設定を行うと管理が複雑になるので、一般的には共有アクセス許可では誰でもすべてのアクセスが可能な「Everyoneグループに対してフルコントロール」というアクセス許可を割り当てておき、NTFSアクセス許可で目的とするアクセス許可を割り当てる、というケースが多いです。

★ファイルサーバーのアクセス許可設定の現実

冒頭に「例外のない規則はない」という話をしましたが、ファイルサーバーはまさに「例外」が起こりやすいITシステムだと言えます。なぜならばファイルサーバーそのものが例外のかたまりだからです。
例えば、在庫管理をするとき、売上管理をするとき、勤怠管理をするとき、それぞれ専用のシステムを使っている企業も多いでしょう。また、従業員間でのコミュニケーションをとるときも、社内にポータルサイトを立ち上げたり、Microsoft 365(旧称:Office 365)などのクラウドサービスを利用したりする場合もあるでしょう。これらのシステムやサービスに共通することは、ある程度利用用途が決まっているということです。では、このいずれにも当てはまらないファイルが登場した時にどこに保存するかと言えば、ファイルサーバーになることが多いのです。
そのため、そのファイルの存在自体が例外なので、アクセス許可を割り当てることが難しいという場合もあります。また、そもそもアクセス許可を割り当てること自体をギブアップしてしまって、「Everyoneグループに対してフルコントロール」というアクセス許可を割り当ててしまう、という話をある企業から聞いたこともあります。
こうした運用はセキュリティやコンプライアンスの面から考えて当然許されるものではありません。
「ケースバイケースだから..」などと言うのであれば、そのすべてのケースについてどのようなアクセス許可を割り当てるかについてきちんと検討する必要があるのです。このことを自分たちの会社の運用に乗せられるようにするには次の2つのことから始めてみるとよいと思います。

1.「ケース」が登場するごとにアクセス許可の割り当てを行う
2.現状のアクセス許可設定を見える化する

次回以降、この2点を具体的にどのように行えばよいかについて触れていきたいと思います。

筆者紹介
国井 傑 (くにい すぐる)
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

ゾーホー社員のつぶやき

こんにちは!ゾーホージャパンの近藤です。新シリーズ「ファイルサーバー管理の”いろは”を学ぶ」がスタートしました。ファイルサーバーというと、ファイルサーバーに類似するものとしてNAS(Network Attached Storage:ネットワーク・アタッチド・ストレージ)がありますが、ご自宅でNASを利用されている方はいらっしゃいますか?我が家はテレビ番組の録画データをNASに保存することで、毎週決まった時間の番組を録画し続けてもHDDレコーダーの容量不足が気にならなくなりました。また、HDDレコーダが接続されていない別の部屋のテレビからも録画番組を楽しめたりと、いつでもどこでも視聴ができてとても重宝していますよ。

さて、NASよりも柔軟性や拡張性に優れたファイルサーバーですが、今回は、ファイルサーバーのアクセス許可について学びました。企業において「誰がどのファイルにアクセスできるのか」という権限状況の可視化は必須であり、社内情報の機密性保持に貢献します。例えば、業務上必要のない権限が与えられたユーザーを放置していたり、運用が面倒だからといって、everyone/フルコントロールのような誰でもアクセスできる設定にしていたりすると、最悪の場合機密情報が窃取されてしまいます。「あっ、」と思い当たる節がある方、今すぐファイルサーバー管理の運用を見直しましょう。

ManageEngineのファイルサーバー管理ソリューション紹介ページはこちら

ManageEngineが提供する「ADManager Plus」は、多くの企業で導入されているActive Directoryを通じて上記のようなアクセス権限管理を最適化できるツールです。面倒なファイルサーバー運用も、Active Directoryと連携させることで一元管理し、管理負荷を減らすことができます。

ADManager Plusとは?

WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。

ADAudit Plusもおススメ!

ファイルサーバーのセキュリティ・コンプライアンス対策には、ファイルサーバー監査ツール「ADAudit Plus」を活用いただけます。サーバー内のフォルダー/ファイルに対するアクセス/作成/削除/権限の変更等を、ツール画面上のレポートにて、わかりやすく可視化することが可能です。

上記2つの製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。

ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら
ADManager Plusのファイルサーバーアクセス権管理ページはこちら

ADAudit Plusの製品ページはこちら
ADAudit Plusの概要資料ダウンロードページはこちら
ADAudit Plusの無料版ダウンロードページはこちら

▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】
Microsoft MVPシリーズ第五弾:人事システム管理とAD管理【Active Directoryと人事システム連携のコツ丸わかり】

>>第2回 ファイルサーバー管理に必要な業務


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。