あなたの会社には、管理者が知らないところで勝手に作られている野良ファイルサーバはないだろうか。セキュリティや内部統制上大きなリスクとなる、これらのサーバをなくす根本的な解決策を伝授しよう。
ネットワーク上で利用されるさまざまなアプリケーションの中でも、ファイルサーバは非常に便利なものの1つだ。別のユーザーとファイルをやり取りしたい、あるいはローカルPCのHDDの空き容量が減った際のデータの移行先としてなど、さまざまな使い方ができる。こうした使い勝手のよさから、多くの企業で当たり前のように使われているが、問題は管理者の目の届かないところで勝手に運用されている“野良ファイルサーバ”の存在だ。
ファイルサーバを構築するのはたやすい。クライアントPC用のOSですらファイル共有のための機能が搭載されており、簡単な設定でファイルやフォルダを公開できる。最近ではNAS(Network Attached Storage)と呼ばれるファイルサーバ専用機も安価に販売されている。こちらもその使いやすさがアダとなり、野良ファイルサーバとして利用されやすい。
では、なぜ野良ファイルサーバが危険なのだろうか。その理由は、使い勝手が最優先されるために適切に管理されず、情報漏えいやセキュリティへの対策が図られていないことが多いからだ。
 |
|---|
| 図1●野良ファイルサーバにはたくさんの危険が存在する |
実はこうした問題は、内部統制とも大きく係わっている。日本版SOX法では、「ITへの対応」が基本的要素の1つとして挙げられている。ひとくちにITへの対応といっても幅広いが、こうしたファイルサーバが特に問題となるのは「IT全般統制」と呼ばれるものだ。
「IT全般統制」では、IT機器が正しく運用されることが求められる。適切に管理されていない野良ファイルサーバが放置されていれば、その企業の内部統制活動が疑問視されるのは当然だろう。
では、ファイルサーバを安全に、なおかつ内部統制にも対応できるよう正しく運用するためにはどういったことに配慮する必要があるのだろうか。まず必要なのは、ユーザー認証の仕組みだろう。野良ファイルサーバでは「面倒くさい」といった理由で誰でも自由に使えるように設定されていることが多いと思われるが、不正アクセスの可能性やそれによって伴う情報漏えいのダメージを考えるとユーザー認証は絶対に必要だ。
ユーザー認証と同様、利用できるファイルやフォルダをコントロールするアクセス制限の仕組みも重要だ。社内の人間しかアクセスしないのだから、わざわざ制限する必要はないと思うかもしれない。しかし情報漏えいの大半は社内犯行だという見方があることを考えると、誰でもファイルサーバ上のすべてのファイルを閲覧したり編集したりできる状態はあまりにも危険だ。
また、ファイルサーバのウイルス対策も重要であり、怠るとサーバから全PCへウイルス感染する危険がある。野良ファイルサーバの場合、ウイルス対策もサーバ構築者個人のスキルに頼ることになり、運用の負担ともなっている。
もう1つ忘れてはならないのが、適切なログの管理である。何か問題が発生したとき、ログがまったく残っていなければ、“いつ誰が何をしたのか”を把握することができず、対策を練ることもできない。また日々のアクセス状況を監視し、不正なアクセスがないかをチェックすることも大切な管理活動の1つと言える。
セキュリティ以外でも野良ファイルサーバには問題があるケースが多い。たとえばバックアップの有無だ。重要なデータをファイルサーバ上に保存していて、トラブルによってアクセス不可能になってしまえば業務に支障が出るおそれもある。サーバトラブルによる影響を最小限にするために、バックアップを取得するのはファイルサーバを運営する上で基本中の基本だろう。
このようにファイルサーバといっても、その管理には気をつけるべき点が多々ある。しかし、野良ファイルサーバが利用されていることを把握しながら、管理まで手がまわらず黙認しているケースも少なくないと思われる。これまで述べたように適切に管理されていないサーバには数多くの問題があり、放置するのは決して得策ではない。
この問題の解決策として、まず考えられるのはファイルサーバの統合だ。全従業員が利用できるだけの容量を持ったサーバを用意し、管理者が一括して管理する。これなら管理者が集中してセキュリティ対策などを実施することが可能となり、また何台ものファイルサーバの面倒を見るという無駄も省けるわけだ。しかしながら、ITが普及したことで企業の中で蓄積されるデータ量は爆発的に増加しており、全従業員が一斉に利用できるファイルサーバとなると中堅・中小企業でも相当な規模のファイルサーバが必要となる。また今後の増加量も考え合わせると、ストレージ容量に余裕を持たせたり、拡張性に配慮するといった必要があり、初期投資は相当なものとなってしまう。中堅・中小企業では、この初期コストや管理者への管理集中による運用稼働の負担が、セキュリティ対策の理想的な解決策であるファイルサーバの統合に踏み切れない理由ともなっている。
こうしたケースで、ぜひ検討したいのがASPサービスのオンラインストレージである。ユーザー企業自身でファイルサーバを持つ場合に比べ、初期投資を大幅に抑えられるという大きなメリットがあり、さらにハードウェアの監視やメンテナンスから解放されるため、管理コストも削減できる。
現在こうしたASPサービスのオンラインストレージは多数提供されているが、それらを選ぶ際にぜひチェックしたいのがセキュリティへの配慮だ。ユーザー認証やログ管理の機能が提供されているのは当然のこととして、企業の重要なデータが蓄積されるということを考えると、インターネットにはつながれていない閉域網での利用が望ましい。ユーザー認証や通信内容の暗号化によってある程度のセキュリティは確保できるが、インターネット上にある限り、サーバに対してサービス不能(DoS)攻撃を仕掛けられるといった危険性は残るからだ。ただ、現状では多くのオンラインストレージサービスがインターネット上での提供となっている。そのため、特に重要なデータを保管したいといった用途では、ASPサービスのオンラインストレージの利用は難しかった。
 |
|---|
| 図2●ASPサービスのオンラインストレージに求められる用件 |
こうした状況を変えたのが、NTTコミュニケーションズから新登場した「VPNストレージ」だ。最大の特徴は、同社のブロードバンドVPN「Group-VPN」上で提供されるストレージサービスであるということ。Group-VPNは利用者のみが接続できる“閉域網”であり、インターネット上で提供されるサービスのような、セキュリティ上の不安がない。これは大きなメリットだろう。
もちろんユーザー認証やログの機能も搭載している。まずユーザー認証に関しては、ユーザーIDとパスワードでの認証となるが、共用となるASPのファイルサーバでは、Group-VPNのVPN毎のIPアドレス認証も行なうため、他のVPNユーザからの接続は拒否される仕組みとなっている
さらにユーザーごとに、サーバ内のどのフォルダにアクセスできるか、読み込みや書き込みができるかなど、フォルダごとのアクセス権限をきめ細かく設定することが可能だ。アクセス権限のないユーザーにはフォルダそのものが見えないため、人事情報など管理に注意を要する情報の保存にも利用できるだろう。
内部統制において重視される、いつ誰がアクセスしたのかを把握するためのログ機能も充実している。アクセス日時や操作対象となったファイル、アクセスしたユーザー名など詳細な情報が3カ月間保管されるため、仮に情報漏えいが発生してもログから追跡できる。このログはローカルPCにダウンロードして保存可能で、長期間ログを残す必要がある場合でも問題はない。
ウイルス検知機能も標準で提供されている。ファイルを保存する際に自動的にウイルスチェックが行なわれ、もしウイルスに感染していれば保存させないように設定することで、ファイルサーバ経由でのウイルスの大規模感染を防げるだろう。
管理の手間の削減という面から見ると、バックアップ機能が標準で提供されているのが嬉しい。データは冗長化されたハードディスク上に保存される上、フルバックアップが1日に1回行なわれ、3日分のデータが保存される。万が一、サーバでデータが欠損する故障が起こったとしても、前日分のバックアップから復旧できるわけだ。
また複数の管理者を設定可能なほか、フォルダごとに管理権限を委譲する機能が提供されていることにも注目したい。企業で利用する場合、部署やプロジェクトごとにフォルダを作成し、ユーザーにはその中にファイルを保存してもらうといった形態が一般的だろう。ただ、こうしてできたフォルダをすべて管理者がチェックするのはあまりにも手間がかかる。そこでフォルダごとに管理者を設定し、権限を委譲してしまえば管理者の負担を抑えられる。ユーザー側にとっても、設定の変更をわざわざ管理者に頼まずに済むのはメリットになるはずだ。
使い勝手の面でのメリットとしては、サーバがWebDAV互換であり、Mac OSやUNIX環境など、Windows以外のOSからのアクセスにも対応していることがまず挙げられる。特にサーバ環境として昨今Linuxが広まりつつあるが、こうしたサーバとクライアントPCでファイルをやり取りしたいといったケースでも利用できる。またこのサービスでは専用のクライアントソフトが提供されているが、これを利用すればファイルを削除してもいったん「ゴミ箱」に移動される。これにより間違って削除しても簡単に元に戻すことが可能となっている。
記事協力:NTTコミュニケーションズ
「企業ネットワークを鍛える VPNテクノロジー“完全”ガイド」のトップへ戻る |
|---|
企業向けIP電話最新事例
 |
||||
 |
 |
 |
|
 |
 |
||||