ファイルサーバーのセキュリティ対策の必要性とは?

I企業で社員が業務する上で日々扱うものとして、ファイルやデータがあります。多くの場合、社員は各々のPC(クライアント端末)で日々業務に必要なファイルを作成、編集しています。

しかし、個人のクライアント端末にのみデータを保存しておくと、データ競合やファイルの重複などが発生する可能性が高くなります。この対策として、データ保管場所としてファイルサーバーを義務づけている企業も多いのではないでしょうか。
社内ネットワークを介して社員がアクセス可能なファイルサーバーは、ファイルの保管や共有にふさわしいと言えます。

ファイルサーバーは、複数の社員が共有・参照する必要がある重要なデータが保管されるケースが多くあります。重要なデータが多く保管されるサーバーほど、サーバーに問題が発生した場合の影響も大きいため、企業はファイルサーバーを適切に管理し、運用する必要があります。

重要なファイルの多いファイルサーバーは、攻撃の対象ともなりやすいとも言えます。

ファイルサーバーに不正アクセスなどの攻撃があった場合に考えられるリスクとしては以下の4項目などが挙げられます。

  • ファイルの消失
  • ファイルサーバーを介したマルウェアの拡散
  • 重要データの外部流出
  • 企業の社会的信用の失墜

よって、ファイルサーバーのセキュリティ対策を正しく実施することが重要です。

 

ファイルサーバーを守るセキュリティ対策4選

ファイルサーバーを正しく運用し、不正アクセスなどのリスクを低減するために必要な対策としては、以下の4項目を実施しましょう。

  • ファイルサーバーにアクセス可能なユーザーを限定する
  • 誰がいつどこにアクセスしたのかを記録する
  • 不要になったアカウントや権限を適切に管理する
  • クライアント端末のセキュリティを強化する

ここからは、ファイルサーバーを守る対策4つを順番に解説します。

ファイルサーバーにアクセス可能なユーザーを限定する

ファイルサーバーにアクセス可能なユーザーを把握し、各ユーザーがファイルサーバー上でアクセス可能なフォルダと、実行可能な操作を見直しましょう。

ユーザーの業務に関係のあるフォルダにのみアクセス権限を付与し、それ以外のファイルにはアクセスできないようにすることや、特に重要なファイルが配置されているフォルダには、関連部署の中でも一部のユーザーのみにアクセス権限を付与するなどの対策が有効です。

前項で挙げたファイルサーバーのセキュリティリスクのうち「重要ファイルの外部流出」は、外部からの攻撃を起因とした不正アクセスを原因とするもののほか、悪意のある社員による不正アクセスが原因の場合も多くあります。内部の社員による不正アクセスを未然に防ぐためにも、アクセス権限は必要最低限に設定するようにしましょう。

また、重要なファイルの消失や意図しない改変を防ぐため、ユーザーがフォルダ内のファイルで実行可能な操作を限定することも重要です。

「誰が」「いつ」「どこに」アクセスしたのかを記録する

「いつ」「誰が」「どのフォルダ・ファイルに」アクセスしたかを記録していつでも確認できる体制にしておくことが重要です。このような記録のことを「アクセスログ」と呼びます。

アクセスログを残していることを周知することで、前述のアクセス権限の設定で述べたような内部の社員による不正アクセスに対する抑止力とすることができます。
また、万が一内部の社員による不正アクセスが発生した場合にも、アクセスログを確認すれば犯人を素早く特定可能です。このような証跡の管理は、外部のセキュリティ監査でも求められることがあります。

不要になったユーザーアカウント・権限を適切に管理する

社員の退職などにより不要となったユーザーアカウントがある場合、このアカウントを悪用してファイルサーバーへのアクセスが行われる可能性があります。

不要となったユーザーアカウントは直ちに利用不可にするなどの対策が必要です。
また、社員の異動により部署が変更になった場合、異動前の部署で必要だった権限の整理なども行う必要があります。

クライアント端末のセキュリティを強化する

ファイルサーバー本体のセキュリティを強化しても、クライアント端末自体が不正利用されてしまった場合、そのクライアント端末を利用しているユーザーの権限を使用して容易にファイルサーバーに侵入されてしまう可能性があります。

ファイルサーバーのセキュリティ強化と同時に、クライアント端末のセキュリティ強化を実施するようにしましょう。また、クライアント端末を使用する社員のセキュリティリテラシーを向上することも重要です。

 

ファイルサーバーのセキュリティ対策に最適なツールとは

ManageEngineでは、手軽に通信を監視するためのソフトウェアをご提供しています。ファイルサーバーのセキュリティ対策のためのツールをお探しの場合は、是非ManageEngine製品をご検討ください。

ユーザーアカウントと権限の管理ならADManager Plus

ログの管理、SIEMならLog360

ADManager PlusスクリーンショットLog360スクリーンショット