Reading Time: 1 minutes
★ファイルに対するマスター管理について
第二弾:Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第三弾:Microsoft 365(旧称:Office365)とは【MicrosoftのMVP解説!Microsoft 365の活用術】
前回の投稿では、ファイルサーバーにおけるアクセス許可設定の運用について、そして、アクセス許可設定と並んで重要な運用項目に資産管理があることをご紹介しました。資産管理というと、企業のバランスシート(B/S)の構成要素という意味合いで捉える方もいらっしゃると思いますが、適切なセキュリティ対策を行うためにも重要な要素になります。自分たちの会社にあるデータにはどのようなものがあるかを把握できていないと、重要なデータにセキュリティ対策をとらなかったり、逆に重要でないデータに対して過剰な投資をしてしまったりする可能性があるからです。
★マスター管理とその課題
セキュリティ対策の一環として資産管理を行う際のキーワードとして、今回は「マスター管理」をとりあげたいと思います。データには、決められたフォーマットでデータベースに格納して利用する「構造化データ」と、WordやExcelなどの様々なアプリを利用してファイルという単位で保存・利用する「非構造化データ」があります。構造化データの場合はどこに保存されたデータがマスターであるか厳格に管理されるのに対して、非構造化データの場合はファイル単位でどこでも自由に保存ができるため、マスターがわかりにくくなるという問題点があります。
ファイル単位で保存されているデータの場合、コピーが簡単に実行できるためマスタデータがどれであるか簡単にわからなくなってしまいます。
例えば、「提案書.pptx」というファイルを編集するときに履歴を残しておこうと思い、「提案書ver2.pptx」というファイルを作成したとします。最終版が出来上がったら「提案書final.pptx」というファイルを作成し、その後、修正が必要になったので、「提案書final改.pptx」というファイルを作って.. という要領でいくつもファイルが作られ、結局どれが最新のものであるかタイムスタンプを見ないとわからなくなってしまったという経験は誰にでもあると思います。
また、バージョン管理の問題だけでなく、ファイルをコピーして同じファイルを複数作ってしまうと、ディスク容量を無駄遣いすることになりますし、どのファイルを残しておけばよいかもわからなくなってしまいます。こうして、厳格な管理が求められる重要なファイルも、複数作られてしまうことによって適切なアクセス許可設定が行われなくなったり、意図しない場所にファイルがコピーされていたりする可能性がでてきます。
★ファイルに対するマスター管理~ステップ1
ファイルサーバーに保存するデータの資産管理を行うには、手動でも良いので、まずはマスターとしてデータを保存する場所を決めるところからスタートしましょう。例えば、大雑把にファイルサーバーに保存するデータをマスターと定め、クライアントPCのローカルにファイルを永続的に保存しない、などと決めてしまうのです。こうすることでサーバーとクライアントの両方にファイルが保存されているけれども、どちらがマスターであるかわからないという問題はなくなるでしょう。ちなみに、この方法は「OneDrive for Business」や「box」などのクラウドストレージを利用する場合でも有効です。
★ファイルに対するマスター管理~ステップ2
ファイルサーバーに保存するデータをマスターとする運用に慣れてきたら、次にファイルサーバーのどこに保存するデータをマスターとするかを決めていきましょう。このとき問題になるのは冒頭で紹介したバージョン管理です。バージョン管理はできればバージョン管理のツールを活用していただきたいですが、それが難しければバージョン管理のルールを決めておくだけでも運用の煩雑さは軽減できます。また、バージョン管理のツールはランサムウェア対策としても有効な場合があります。例えば、古いバージョンのデータは、アーカイブやバックアップを行ってユーザーが簡単にアクセスできない領域に保存しておくことで、万が一ランサムウェアに感染した場合でも以前のデータを復元できます。一方、クラウドストレージの場合はバージョン管理の機能が搭載されているケースが一般的ですので、これらを利用してください。
★ファイルに対するマスター管理~ステップ3
最後に、紙の書類を含めたマスター管理を徹底していきましょう。コロナ禍で少なくなったとは思いますが、今でも会議や社内研修などでデータを印刷して配布されることはあると思います。この場合、会議資料のPowerPointデータと印刷した紙の書類、どちらがマスターでしょうか?誰に聞いてもPowerPointデータがマスターだという答えが返ってくると思いますが、ではマスターではない紙の書類にペンで書き込みをしたら、それはマスターではありませんか?こうして紙の書類を捨てるに捨てきれない状況が生まれ、マスターが多重化し、結果的に情報漏えいが生まれやすい土壌ができあがるのです。
近年、デジタルトランスフォーメーション(以下、DX)という言葉がよく使われますが、紙の書類をなくしていくことで、情報漏えいリスクを低減させるというDX効果が生まれるのです。
紙の書類をタブレット等に置き換え、会議メモはデジタルノートブックの「OneNote」やコミュニケーションツールの「Teams」などのアプリに書いて残しておく。公的書類など自分たちの力では電子化できないものもあるとは思いますが、できる限り電子化してマスターの場所をここにするという管理を、従業員を巻き込んで徹底していきましょう。
ファイルのセキュリティ対策ソリューションとして、暗号化をはじめとする様々なソリューションがあります。しかし、こうしたソリューションも自社のファイル資産の管理が意識されていない状況で利用するとZIPファイルを暗号化して、パスワードは別のメールで送るなどというセキュリティ的に意味のない運用をしてしまうのです。
マスターを意識したファイルの共有をするのであれば、マスターに保存されたデータを「OneDrive for Business」やオンラインストレージを構築できるオープンソースソフトウェアの「Nextcloud」ようなサービスを利用して直接共有し、共有先となるリンクを共有相手に送る、というやり方をおのずと選択することになるはずです。
ファイルサーバーのセキュリティ対策を考えるときは、
①一般的なセキュリティ対策と同様に資産を把握し、資産のありかを固定する(マスターを決める)
②その資産に対して行うべきセキュリティ対策としてアクセス許可を設定したり、暗号化を設定したりする
この順番を間違えなければ、それだけでも情報漏えいリスクを大きく下げることができるでしょう。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは!ゾーホージャパンの近藤です。今夏も人気の某平成TVドラマの令和版に目が釘付けですが、ご覧になられている方はいらっしゃるでしょうか。その一場面に、クラウド上に残されたファイルに外部からアクセスし、ファイル消去を試みる主人公たちの奮闘シーンがありました。一分一秒を争う画面描写の演出で、ハラハラドキドキ。結果、悪の手に渡る前にファイル削除が完了し、ほっと一安心。本来であれば、ファイルサーバー機能の利便性を逆手にとられることがないようセキュリティ対策を万全にすることは非常に大切ですが、ドラマの盛り上げ演出としては十分ドキドキさせてもらった内容でした。また次回以降のストーリー展開も楽しみにしています。
さて、今回はマスター管理の重要性について学習しました。アクセス権管理や暗号化の設定といったファイルサーバーのセキュリティ対策を行う際には、事前に組織内にどのようなファイルがあるのかという資産の把握と、マスターの保存場所を決めておくことが重要であると理解いただけたと思います。上記の説明にもあったように、マスターの管理フローが徹底されていれば、新しい従業員の加入や退職・人事異動の際にもファイルに対するアクセス権を適切に管理できるので、不必要な情報が漏洩するリスクを回避することができます。
一方で皆さんがお使いのActive Directory環境では、「誰がどのファイルにアクセスできるか」といったアクセス権の管理はユーザーごとに行う必要があり、システム管理者にとって頭を悩ませる負荷の高い作業となっているのではないでしょうか。
そこで、ManageEngineが提供するActive Directory ID管理ソフト「ADManager Plus」をご紹介します。ADManager Plusでは、多くの企業で導入されているActive Directoryを通じて上記のようなユーザー権限をまとめて管理(アクセス権の付与、変更、削除)することができます。
例えば、ADManager Plusのファイルサーバー管理機能を使用すると、直感的に操作しやすいWebベースのユーザーインターフェースで、煩雑になりがちなファイルサーバーのアクセス権管理を効率的に行うことが可能です。従業員が組織を辞める際など、「どの権限を取り消すのか」「どのリソースから権限を削除するのか」でシステム管理者が頭を悩ませる必要はありません。システム管理者は、任意のユーザーと権限を選択し、種類で拒否を選ぶだけで素早く業務を実行できます。
このように、システム管理者は必要性に応じて共有リソースを選択しアクセス権を定義するだけで、ファイルサーバーの管理負荷を減らすことができます。
ManageEngineのファイルサーバー管理ソリューション紹介ページはこちら
ADManager Plusとは?
WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。
ADAudit Plusもおススメ!
また、ファイルサーバーのセキュリティ・コンプライアンス対策には、ファイルサーバー監査ツール「ADAudit Plus」を活用いただけます。
サーバー内のフォルダー/ファイルに対するアクセス/作成/削除/権限の変更等を、ツール画面上のレポートにて、わかりやすく可視化することが可能です。
これら製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。
ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら
ADManager Plusのファイルサーバーアクセス権管理ページはこちら
ADAudit Plusの製品ページはこちら
ADAudit Plusの概要資料ダウンロードページはこちら
ADAudit Plusの無料版ダウンロードページはこちら
▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】
Microsoft MVPシリーズ第五弾:人事システム管理とAD管理【Active Directoryと人事システム連携のコツ丸わかり】
>>第2回 ファイルサーバー管理に必要な業務
<<第4回 棚卸の重要性
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。