Reading Time: 1 minutes

 

◆今回の記事のポイント◆
★「ケース」が登場するごとのアクセス許可割り当てについて
★現状のアクセス許可設定の見える化について

 

◆MicrosoftのMVP解説シリーズ バックナンバー◆

 

本連載ではファイルサーバー管理について解説していますが、前回はファイルサーバーには例外が発生しやすいシステムであるという話をお伝えしました。会社の中で数ある例外に立ち向かっていく方法として、「ケース=(例外)」が登場するごとにアクセス許可の割り当てを行うこと、また、現状のアクセス許可設定を見える化することを挙げました。今回はこれらを踏まえてそれぞれのテーマについて具体的な方法を見ていきます。

 

★「ケース」が登場するごとにアクセス許可の割り当てを行う

ケースバイケースの「ケース」が登場した時に、毎回アクセス許可の割り当てをどうするかを決めます。面倒なことかもしれませんが、必ず毎回検討するようにしましょう。このときに課題となるのがファイルを共有したいと思っている従業員と、実際に設定する従業員が異なるという点です。そのため、ワークフローを決めてファイルを共有したい人がどうやってIT管理者に依頼するのかという仕組みを決めておくと、システマティックに作業が進められるようになって、「アクセス許可を割り当てない例外」を作らないで済むようになるでしょう。
また、アクセス許可設定には共有アクセス許可とNTFSアクセス許可の2種類があります。前回も紹介したように、共有アクセス許可を「Everyoneグループに対してフルコントロール」というアクセス許可にしておいて、NTFSアクセス許可で必要なアクセス許可設定を行います。そうすることで、アクセス許可設定をNTFSアクセス許可の1本に集約でき、管理も簡略できるメリットがあります。

★現状のアクセス許可設定を見える化する

アクセス許可設定は人間が行う作業なので、誤りや抜け漏れなどが起こる場合があります。アクセスできるはずのファイルにアクセスできなければ従業員からクレームが来ますが、アクセスできてはいけないファイルにアクセスできるようになっていてもクレームを言う人はいません(倫理観の強いユーザーがいれば別ですが..)。
そのため、適切なアクセス許可が割り当てられているかについては定期的にチェックする(いわゆる棚卸ですね)とよいでしょう。棚卸に必要な情報の収集方法は色々なやり方があると思いますが、最も原始的なやり方をお伝えしておくと、アクセス許可を設定した時に誰にどのようなアクセス許可を割り当てたかをドキュメント化しておくことです。Excelシートでもよいので、書き込んでおけば後で振り返りもしやすくなるでしょう。「今どきExcelシートでの管理なんて!」と揶揄する人もいるかもしれないですが、現実にはその管理すらできていないケースも多く見受けられます。まずは管理の第一歩として、「Excelでもいいから管理を始める」というところからスタートしてみましょう。

昨今のクラウドブームで、ファイルサーバーを廃止し、クラウドへ移行する動きも活発化しています。しかし、クラウドストレージを利用する場合でも、移行元のファイルサーバーのアクセス許可が正しく構成されていなければ、誤ったアクセス許可設定をクラウドに移行しかねません。ITの世界には「ガーベージイン・ガーベージアウト」という言葉がありますが、ゴミのような構成をクラウドに持っていってもゴミにしかなりません。クラウドをこれから使おうと考えている企業では、次の世代に「ゴミ」を引き継がせないようにするためにも、まずは足元のアクセス権管理をきちんと行いたいものです。

例外が発生しやすいことが原因でアクセス許可の管理がおざなりになりやすいという話をしましたが、アクセス許可管理が正しく行われないもうひとつの要因に、デジタル資産の資産管理という観点が抜けていることがあげられます。例えば、近年、企業のセキュリティ管理の手法として、「ゼロトラスト」と呼ばれるモデルが注目されています。ゼロトラストモデルではID、デバイス、アプリ、データといった要素に対して、すべてを信頼しない前提で監視して安全なアクセス制御を実現していますが、このゼロトラストモデルでも、それぞれの要素が資産として管理されていることを前提としているのです。
ではファイルを資産として管理するためにはどのような要素が必要になるのでしょうか?次回はこの点について、掘り下げていきたいと思います。

筆者紹介
国井 傑 (くにい すぐる)
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

ゾーホー社員のつぶやき

こんにちは!ゾーホージャパンの近藤です。今回は、昨今のクラウドブームで、ファイルサーバーをクラウド化するお話しがありましたね。私個人のプライベートにおけるクラウド活用事例としては、クラウドストレージをファイルサーバーのように愛用しています。なんといっても、その情報へのアクセシビリティの良さ、どの端末からもすぐにアクセスできるので、情報共有の簡単さは天下一品です。外出先でも、スマートフォンから簡単にアクセスできるのは本当に大助かりです。アクセス許可設定もファイルごとに容易に可能で、様々な友達の輪ごとにアクセス共有の設定をしています。今年はコロナの影響でなかなか実施できませんが、昨年は、ホームパーティやBBQでの持ち寄り料理・食材リストファイルを、参加メンバー間でクラウドストレージを介して共有・管理していました。参加を募った時点で料理や食材を今すぐ決められない・返答できない人も、随時メンバー皆でファイル更新ができるのは便利でした。

さて、今回は、ファイルサーバーのアクセス許可の割り当てをフロー化する、およびその割り当て状況を可視化する重要性について学びました。企業において操作ミスを防ぐためには、きちんとした対応策を用意したうえで、実行する操作内容に間違いがないことを確実にチェックする必要があります。しかし、 このようなチェックを行うための業務フローを、システムを使用せずに実現することはなかなか容易ではないというのが現状です。また、割り当て状況の可視化においても、「Excelを用いた管理は手間がかかるな。。。」と思われた方、この際思い切って便利なツールの導入を検討しましょう!

ManageEngineが提供する「ADManager Plus」は、多くの企業で導入されているActive Directoryを通じて上記のようなアクセス権限管理を最適化できるツールです。例えば、「ADManager Plus」のワークフロー機能を使用して、Active Directory上の操作に対して申請から承認、実行までの流れをチケット管理することで、業務ルールに則ったシステムを実装することができます。また、デフォルトで用意されている150種類 以上のレポートテンプレートを使用して、Active Directory の現在の状況を簡単に可視化することが可能です。レポートからセキュリティグループに所属しているユーザー を定期的に洗い出すことで、セキュリティグループが運用ルールに基づいた適切な状態であるかを把握することができます。他にもNTFS/共有レポート機能があり、ファイルサーバーの棚卸しも容易に行えます。
このように、面倒なファイルサーバー運用も、Active Directoryと連携させることで一元管理し負荷を減らすことができます。

ManageEngineのファイルサーバー管理ソリューション紹介ページはこちら

ADManager Plusとは?

WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。

ADAudit Plusもおススメ!

また、ファイルサーバーのセキュリティ・コンプライアンス対策には、ファイルサーバー監査ツール「ADAudit Plus」を活用いただけます。
サーバー内のフォルダー/ファイルに対するアクセス/作成/削除/権限の変更等を、ツール画面上のレポートにて、わかりやすく可視化することが可能です。

これら製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。

ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら
ADManager Plusのファイルサーバーアクセス権管理ページはこちら

ADAudit Plusの製品ページはこちら
ADAudit Plusの概要資料ダウンロードページはこちら
ADAudit Plusの無料版ダウンロードページはこちら

▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】

>>第1回 ファイルサーバーのアクセス許可
<<第3回 業務フローにマスター管理を取り入れる

 

 


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。