管理者の負担解消!ファイルサーバーのアクセス権管理による煩雑さから脱却する方法

企業マネジメントの権威である経営学者のP.F.ドラッカーの「組織は戦略に従う」という考えは広く知られ、組織変更や従業員の異動を柔軟に行う企業も多くなっているのではないでしょうか。

一方で、組織変更や従業員の異動は、企業の情報システムにおけるアカウント情報や権限設定などの変更を伴うため、従業員数が多いほど担当者には大きな負担です。特に企業の情報管理・共有のためのファイルサーバーのアクセス権管理は正確さが求められるため、作業者へのプレッシャーも大きいです。

本記事では、煩雑なファイルサーバーのアクセス権管理を効率化するためのノウハウについて紹介します。

ファイルサーバーにおけるアクセス権管理とは

ファイルサーバーにおけるアクセス権管理とは、「特定の人」が「特定の情報にアクセス」し、「特定の操作が行える」ように11人のアクセス権を設定することです。

従業員数が400人の会社なら、その役職や部署、雇用形態などに応じて400人分の設定が必要になります。

メリット

ファイルサーバーでアクセス権を管理することによって、次のようなメリットを得られます。

  • ・社内外への機密情報の漏えいリスクを低減できる
  • ・管理者によるアクセス権の制御(編集・削除)ができる
  • ・操作ミスによるファイルの消失や編集、移動、コピーを防ぐことができる
  • ・不適切なアクセスの発生状況を知ることができる

アクセス権管理が必要な理由

企業のファイルサーバーでアクセス権管理が行われていない状況をイメージしながら、アクセス権管理が必要な理由を考えてみましょう。

理由1:情報漏えいを防ぐため

ファイルサーバーにアクセス権管理がされていない場合、最も危惧されるのは機密情報の漏えいです。
営業関係の情報はもちろん、財務情報や人事・給与に関する情報は社内においても担当部署以外には秘匿されるべき情報で、これらが誰にでもアクセス可能、編集可能な状態であることは望ましくありません。

理由2:内部統制が効かなくなるため

アクセス権管理がされていないという理由で、セキュリティ面に不満を抱える部署や個人が情報システム部と相談なくNASやファイル共有サービスを独自に利用しはじめると、社内の内部統制が効かなくなってしまいます
情報システム部と相談なく利用するいわゆるシャドーITは、セキュリティ上の問題があるツールを選択したり、アカウントやアクセス権限、アクセスログの取得などの適切な設定がされないまま利用されたりする場合もあり、情報漏えいのリスクが高まります。また、法令が遵守されず、コンプライアンス上の問題も生じかねません。

例えば、マイナンバーを含む「特定個人情報ファイル」へのアクセスを制限し、アクセス状況を常にチェックすることが個人番号法によって定められています。
これらファイルを保存する場所については、アクセス者の特定やログの記録のためにもアクセス権管理が必要です。

注意点や課題

ファイルサーバーのアクセス権管理を行う際には、さまざまな問題が生じます。主な注意点や課題には次のようなものがあります。

アクセス権が適切か

ファイルサーバーで設定するアクセス権の設定は情報システム部門で行うのが一般的ですが、アクセス権の範囲や権限が適切かどうかを判断する人や仕組みが明確でない場合があります。
作業時にボトルネックにならないよう、判断の責任者や確認フローは事前に設計しておくことが大切です。

アクセス権のテストが手順に組み込まれているか

組織変更に伴うアクセス権が適切に反映されているか、テストが必ず必要です。
基本的にユーザーはファイルにアクセスできない場合は申告しますが、不適切にアクセスできる場合は意図的に申告しないケースも往々にしてあります。
テストの実施は、不適切なアクセスを防いで情報漏えいを防ぐことにもつながります。
テストはテスト用ユーザーを事前に作成し、テスト項目も決まっているとスムーズに進められます。場当たり的に対処すると確認ミスやテスト項目の抜け漏れが生じやすいので注意してください。

オペレーションミスを防ぐための方法

従業員数の多い企業になるほど、組織変更が生じた場合のアクセス権変更は煩雑になります。
作業を自動化・効率化できるツールやサービスの導入や、作業手順のマニュアル化によって対応することが大切です。

ファイルサーバーでアクセス権を設定する方法

企業のファイルサーバーやファイル共有サービスでアクセス権を設定する場合、一般的には次のような手順で進めます。

設定するべきアクセス権の種類

まず、ユーザーの属性ごとにグループを作り、アクセス権の種類を定義していきます。
このグループとは、たとえば「システム管理者」「役員」「事業部長以上」「一般社員」「新入社員」などです。
会社の状況に合わせて「契約社員」「派遣社員」「アルバイト」などのグループを作ってもよいでしょう。
このとき、共通部分は「全社」などの名称でグループを作っておき、部署や役職などのグループで細かな権限管理を行うと柔軟で細かいアクセス権管理ができます。
このアクセス権を決定する際には、必ず責任者の確認を取ってください。
また、アクセス権に関する情報は文書として残しておき変更がある度に更新できるようにしておくと、次回の組織変更時や、システムのトラブルから復旧が必要な際に利用できます。

各ユーザー・フォルダへのアクセス権の割り当て

グループのアクセス権を定義したら、各ユーザーのアカウントや、ファイルサーバー内の各フォルダにアクセス権限を設定します。
各ユーザーのアカウントごとにグループの権限を割り当てていきます。また、ファイルサーバー内のフォルダやファイルに関する操作権限を割り当てます。
Active DirectoryやWindowsなら、「フルコントロール」「変更」「読み取りと実行」「読み取り」などの操作権限が利用可能です。
基本的にはシステムの管理者アカウントのみが「フルコントロール」権限とし、他ユーザーには必要な範囲で「変更」や「読み取りと実行」などの権限を与えるようにするとよいでしょう。

例外への対応

次に、一部の特殊なユーザーやフォルダに対して権限設定を行います
たとえば「社長専用」フォルダ(社長と社長秘書のみアクセス可)が必要な場合や、営業部の「A社」案件に対する企画部Bさんのアクセス権割り当てが必要な場合などが挙げられます。
数が多くなければ、手作業で対応します。例外についてもリストを作って記録に残しておき、必要な期間が過ぎたら削除するなど、確実な実施が求められます。

アクセス権管理の煩雑さから脱却するための方法

アクセス権管理は作業量も多く、正確さが求められるため、大規模な組織変更や頻繁な変更はシステム管理者の負担になりがちです。
煩雑なアクセス権管理から生じる現場の負荷を軽減するためには、どういった方法があるのでしょうか。

設定の手間を解消できる効率的な管理方法

効率的な管理のためには、「ファイルサーバーの統一」「フォルダ構造の検討」「アクセス権情報のデータ化」「業務部門への一部作業の移管」といった方法が考えられます。

ファイルサーバーの統一

アクセス権限の設定は、基本的にサーバー単位のものです。
たとえば、Windows サーバーを利用したファイルサーバーとファイル共有サービスを併用しているなら、それぞれのサーバーでアクセス権を設定する必要があります。
Active Directoryのようなアカウント管理サービスを利用することで複数サーバーにも対応できる場合がありますが、ファイルサーバーを一本化することでアクセス権管理も容易になりますし、情報管理も効率的になります

フォルダ構造の検討

ほとんどのファイルサーバーやファイル共有サービスには、アクセス権情報を上位のフォルダから継承する機能があります。
フォルダ構造をよく検討することで、アクセス権の継承機能を活用し、下位フォルダのアクセス権設定を自動化できるケースも多いです。
自動化することで作業者の負担が減るだけでなく、設定ミスも防ぐことができます。

アクセス権情報のデータ化

アクセス権情報は、次回の組織変更時の土台となるだけでなく、緊急時のシステム復旧のためにも使われるため、データ化することが大切ですが、なかなか煩雑な作業です。

アクセス権情報をマッピングするツールや機能をうまく活用すると、こうした作業が効率的に行えます。

業務部門への一部作業の移管

情報システム部での対応に限界がある場合は、一部の作業を業務部門に移管する方法も考えられます。

特にサーバーが分散しており、自動化するツールがないような場合に効果的です。この場合、各部門の管理者の人選に注意し、作業用のマニュアルの作成や、定期的な監査を行うなどフォロー体制についても事前に検討する必要があります。

導入するべきツール

ファイルサーバーのアクセス権管理を効率化するためには、「大容量・高機能のファイルサーバー」「ID管理ツール」「アクセス権情報のマッピングツール」などの導入が考えられます。

大容量・高機能のファイルサーバー

容量の制限や速度、用途の問題によってファイルサーバーが分散している場合、大容量ファイルの保管が可能であり、その他ファイルを利活用できる機能が備わっているファイルサーバーがあれば解決できる場合も多いです。
クラウドストレージは管理者の手間なくストレージ容量を増設することができるため拡張性に優れています。
また、セキュリティ要件や業界ルールで制限されているデータセンターの物理的所在地にかかわる問題がクリアできればファイルサーバーを一本化できる可能性もあります。

ID管理ツール

Active Directory環境下でのDFS(Distributed File System)の活用や、複数のクラウドサービスのIDのアクセス権限をまとめて管理できるIDaaSなどを利用する方法もあります。
ファイルサーバーに複数のサービスを利用している場合に便利です。

アクセス権情報のマッピングツール

ファイルサーバーなどの管理用に、ディレクトリツリーやアクセス権情報をマッピングできるツールは、ファイルサーバーの状況を把握してフォルダ構成を検討する際に便利です。また、ファイル共有サービスの中には、アカウントやフォルダのアクセス権情報をCSVファイルにインポート/エクスポートできる機能を持つものあります。

テレワーク環境下において管理者の作業負荷を軽減する方法

段階的なクラウド移行

テレワークで多くの従業員が一斉にVPN接続を行った場合、VPNの帯域を圧迫しレスポンスが低下して業務効率の悪化を招きます。

結果、テレワークに移行した事業部門からクレームを受けることになりかねません。

社内サーバーへのアクセスに関連したトラブルを回避するためにも、テレワークが普及している企業では段階的にクラウドストレージへの移行を進めていくことを検討してみるとよいでしょう。

ファイルサーバーの全面リプレースをいきなり行うのは現実的ではないため、まずは少しずつクラウド移行を進めるのが現実的です。

この場合、事業部門と情報システム部で話し合って機密文書ごとに機密度を分類し、パブリッククラウドに預けても問題のないファイルから順次クラウドに移行します。

情シス担当者に寄り添ったクラウドストレージDirectCloud-BOX

保管用途としてクラウドストレージを新規導入する場合データ移行だけでなくアクセス権の再設定などを伴うため、情報システム担当者の作業負荷も大きくなります。

DirectCloud-BOXはこうした作業を効率的に行うことのできる情シス担当者に寄り添ったクラウドストレージです。

専用のマイグレーションツール「DCB Migrator」を利用することで現行のファイルサーバーから高速にデータ移行することが可能です。

また、データ移行作業に時間を割くことが難しい場合は弊社のデータ移行サービスを利用することもできます。

また、DirectCloud-BOXはCSVファイルを使ったユーザー・アクセス権の一括登録や、Active Directoryとの連携ができるため、ファイルサーバー運用における管理者への負担を軽減することが可能です。

クラウドストレージとしても、多くのファイル形式に対応したファイルビューアやゲスト招待機能を備えており、SLAサービス稼働率99.95%を保証しています。また、不正アクセス防止や通信の暗号化・サーバーのウイルス・マルウェア対策、ファイル持ち出しの管理機能などのセキュリティ機能も充実しており、情報システム部門・社内ユーザーの両方におすすめできます。

ファイルサーバーのクラウド移行を検討の企業様は、ぜひご相談ください。

まとめ

ファイルサーバーのアクセス権管理は、ファイルサーバーのセキュリティを高めると共に、内部統制の強化のためにも重要です。

しかし、頻繁な組織変更や複数のファイルサーバーにわたるアクセス権管理は煩雑で、システム管理者の負荷になることも少なくありません。

効率のよい方法を研究し、必要に応じてファイルサーバーのクラウド移行なども検討してみましょう。

資料ダウンロード