管理が追いつかず、情報漏洩リスクが高まるファイルサーバー。
ファイル・フォルダのアクセス権を自動で適正化し、流出しても情報漏洩しない暗号化の組み合わせでリスク低減!

nias_top.jpg
情報漏洩対策というと、外部からのサイバー攻撃をいかに防ぐかに注目しがちです。
確かにサイバー攻撃への対策は欠かせませんが、実は情報漏洩の原因は「紛失・置き忘れ」や「誤操作」「管理ミス」がかなりの割合を占めます。特にファイルサーバーは、重要なファイルを多く格納しているにもかかわらず、適切に管理できていない企業も少なくありません。
企業のファイルサーバーを取り巻く現状と解決策について、日本電気株式会社(以下、NEC)でセキュリティソリューションを手がける皆さまと、SCSKの担当者に聞きました。


日本電気株式会社
AIプラットフォーム事業部 マネージャー
向井慶和氏

日本電気株式会社
サイバーセキュリティ戦略本部 主任
山下征司氏

SCSK株式会社
プラットフォームソリューション事業部門
ITエンジニアリング事業本部
エンタープライズ第三部 技術第一課
北野充晴

SCSK株式会社
プラットフォームソリューション事業部門
ITエンジニアリング事業本部
エンタープライズ第三部 営業第一課
筒井眞哉

重要度が増すファイルサーバーを管理しきれない

高度化を続けるサイバー攻撃に備え、「入口・出口対策」を実現するネットワーク製品は数多くあり、導入企業も増えています。その一方で、PCの紛失や置き忘れなどのうっかりミスは、ツールで防ぐことが難しく、社員のセキュリティ意識を高め、注意喚起するといった対応に留まっている企業も少なくありません。
こうした情報漏洩を防ぐため、対策を講じるべき対象は社内のファイルサーバーです。働き方改革やテレワークの推進が進む中、ファイルサーバーの重要度は増していますが、その管理は徹底されていません。


「多くの企業は、外部の脅威への対策を優先し、うっかりミスへの対策は実現できていません。ファイルサーバーの対策として、アクセス権を設定しているものの、組織改定や人事異動に伴う権限変更が後回しにされるなど、厳格に管理されていないケースが多く見られます。」(NEC 向井氏)


監査や人事異動対応などで、半年から1年に1回はアクセス権の棚卸をしているものの、手作業では負担ばかり大きいと悩む企業も多いようです。Windowsのコマンドでファイルのアクセス権の一覧を出力しても、数千・数万に及ぶ情報から不適切なものを見つけだすのは、ほぼ不可能です。
さらに最近では、うっかりミスやマルウェア感染は完全に防ぎきれないことを前提に、万が一、ファイルが流出しても情報を守る対策が求められています。


「数年前の大規模な個人情報流出事件以降、データの暗号化が注目されています。2018年7月、内閣官房 内閣サイバーセキュリティセンターが制定した『政府機関等の対策基準策定のためのガイドライン(平成30年度版)』でも、暗号化の措置を強く求めています。適切にアクセス権を設定していても、正しい権限を持つ人のPCがマルウェアに感染し、ファイルが流出、情報漏洩が発生するリスクが存在するからです。」(NEC 山下氏)


2020年の東京オリンピックを前に、増加傾向にある標的型攻撃やランサムウェアによる脅迫、偽のWi-Fiスポットを使った情報の搾取など、日本企業への多様なサイバー攻撃が、今後ますます激しくなると予想されます。
こうした状況の中、情報漏洩のリスクをゼロに近づけるためにも、より強固な対策が急がれているのです。

情報漏洩につながるファイルサーバーの課題と有効な2つの対策とは

ファイルサーバーのセキュリティの問題点として、アクセス権が適切かつ厳格に管理されていない・データが暗号化されていないことが挙げられます。


「たとえば、展示会の来場者名簿が誰でも閲覧できる共有フォルダに置かれていたなど、ファイルの存在や重要度、そしてアクセス権の把握と管理が疎かになっているケース。また、古いデータや退職者が作成したファイルが、共有フォルダの深い階層に残っているケースも多く見受けられます。」(NEC 向井氏)


どこに・どんな情報があるのかが把握しきれていない、アクセス権と情報の機密レベルにギャップがあるといった状況は、機密ファイルの流出につながります。さらに、流出したファイルが暗号化されていなければ、簡単に重要な情報が漏洩してしまいます。
このような課題を解決するには、アクセス権の設定状況とあわせ、どこに・どのようなファイルが保管されているのかを、きちんと把握する必要があります。その上で、不要なファイルは削除し、機密情報は適切なアクセス権が設定されたフォルダで保存といった管理を徹底します。


「ファイルサーバーの見える化というと、無駄なファイルを削除し、ディスク容量やコストを削減するといったイメージが強いのですが、セキュリティの観点から見える化・スリム化によるファイルサーバーの“健全化”は重要です。こういった取り組みを通して、社員のセキュリティやファイル管理の意識改革につながる点も大きなメリットだと思います。」(SCSK 筒井)


情報漏洩対策で必要なことは、万が一のファイル流出を前提としたデータの暗号化です。しかし、ただ暗号化ツールを導入すれば良いわけではありません。暗号化の操作が煩雑では、社員が暗号化しなくなり、情報漏洩対策の徹底が図れません。情報システム部門・社員のいずれかにとって、操作の容易さを考慮すべきです。
そして、有効なセキュリティ対策を社員に負担を強いらず運用するには、データ暗号化における「誰がファイルを閲覧できるのか」「誰がファイルを復号できるのか」という2種類の権限を、どのように組み合わせるのかを、事前にしっかり検討することが有効です。


「暗号化を含めたセキュリティ対策の運用では、何から守るかというポリシーを決めることが重要です。内部不正対策までを徹底するなら、閲覧や復号の権限を最小限にすべきです。また、標的型攻撃など外部の脅威への対策だけで良しとするのであれば、社員は全員閲覧・復号の権限を持ち、悪意ある攻撃者にファイルが漏れても、閲覧できないようにします。自社のポリシーにあわせて、権限設定や運用を考えるといいでしょう。」(NEC 山下氏)


ファイルサーバーの見える化による事前対策と暗号化という事後対策を、既存のセキュリティ対策にプラスすることで、より強固で統合的なセキュリティ対策の実現につながります。

ファイル管理の徹底と暗号化の2段構えで情報漏洩リスクを大幅に低減

前段でご説明したファイルサーバーの見える化とデータ暗号化を実現する方法の1つが、ファイルサーバー統合管理ソフトウェア「NIAS(NEC Information Assessment System)」と機密情報保護ソフトウェア「InfoCage FileShell(以下、FileShell)」の組み合わせです。

■ファイルサーバーを見える化し、効率的なアクセス権管理を支援する「NIAS」

「NIAS」はファイルサーバーの利用状況を見える化し、アクセス権の適切な管理をサポート。個人情報や機密情報を含むファイルを検索し、一覧表示することも可能で、「どこに機密情報が保存されているか」「適切なアクセス権が設定されているか」を簡単に把握できます。

●アクセス権の管理画面

●直感的なユーザーインタフェースでファイルサーバーの現状を簡単に確認できる

●条件を簡単に設定・変更し、整理対象となるファイルをリストアップ可能

■自動で漏れなくファイルを暗号化、情報流出を防ぐ 「FileShell」

「NIAS」で見える化したファイルを、さらに保護するのが「FileShell」です。暗号化のための面倒な操作は不要。指定されたフォルダやサーバーに保管されたファイルを、自動で暗号化します。

●「InfoCage FileShell」の暗号化機能の一例

「FileShell」と「NIAS」と組み合わせれば、非常に重要なファイルだけをピンポイントで暗号化できます。
もちろん、暗号化したファイルの閲覧、編集、印刷、ファイルの中身のコピー、画面キャプチャ、暗号化解除(復号)という権限を管理でき、企業ごとのセキュリティポリシーにあわせた運用が可能です。また、暗号化されていても、権限があれば通常どおりの操作で閲覧・編集できます。たとえ編集中であっても、ファイル本体は暗号化されたままなので、編集中にファイルが外部に送信されてしまっても、情報の流出は防げます。
「NIAS」でアクセス権やファイルを管理しながら、「FileShell」でさらに防御することで、情報漏洩の“抜け道”を限りなくゼロに近づけることができるのです。

ファイルサーバーの可視化・アクセス権の設定、暗号化によるセキュリティ対策事例

「NIAS」の導入により、ファイルサーバーは数ヶ月で20~30%ほどのファイル容量を削減され、その上で必要なファイルを「FileShell」で暗号化する流れが一般的です。
では、「NIAS」と「FileShell」を導入した企業の活用ケースをいくつか紹介します。


ある企業は、ファイルの重要度をレベル分けして管理しており、「重要度が最も高いファイルは役員しか閲覧できないようにしたい」「情報システム部門の社員であっても、情報を閲覧できないようにしたい」と考えていました。
そこで、「NIAS」によるアクセス権を管理し、「FileShell」でファイルを暗号化。重要度の高いファイルのみ暗号鍵を変えることで、権限を持つ社員しか閲覧できない仕組みを実現しました。


「フォルダ単位でアクセス権を細かく設定できますが、ファイルを他のフォルダにコピーしてしまうと、権限を持たない人でも閲覧できてしまいます。『FileShell』はファイルそのものに権限を設定して暗号化するため、該当フォルダ外に持ちだされても、権限を持たない人は閲覧できません。」(SCSK 北野)


大手メーカーでは、ファイルサーバーを「NIAS」で可視化し、重要度の高い研究データを保存する研究所のファイルサーバーのみを「FileShell」で暗号化。企業に与える影響が大きい重要データの情報漏洩リスクを低減しています。
また、契約書などの保管期限が決まっているファイルは、「FileShell」で暗号化をした上で、「NIAS」の設定で期限を過ぎたら自動で削除するようにしている企業もあります。


「保管期限を過ぎたファイルがいつまでも残っている状況は、大きな情報漏洩リスクです。重要なファイルは暗号化すると同時に、不要になった時点できちんと削除することも重要です。」(SCSK 北野)

顧客のニーズを知るSCSKとNECが連携し、常に製品をレベルアップ

「ファイルサーバー対策では、どのような脅威に対して、どの情報をどう守りたいのか、というお客様ごとのニーズにあわせて、ツールを導入・設定・運用する必要があります。SCSKでは、お客様ごとで異なるファイルサーバーの状態や要望をヒアリングした上で、ベストな運用を考慮したツール導入をサポートしています。」(SCSK 筒井)


NECのパートナーとして約20年の実績を持つSCSKは、毎週のNECとの定例会で企業のニーズなどの情報や意見を交換し、「NIAS」と「FileShell」のレベルアップに活かしています。


「NECの製品部門である私たちは、現場の詳細な運用状況などがわからず、SCSKからお客様の情報や要望をフィードバックいただけることは、大変ありがたいです。実際に、SCSKからお聞きした導入企業の要望を受け、「NIAS」からActive Directoryの設定を管理できる機能を追加しました。」(NEC 向井氏)


「SCSKでは、『NIAS』はファイルサーバーのディスク容量削減だけでなく、アクセス権の適正化によるセキュリティ対策が、いかに有効かを企業にしっかり伝えた上で、『FileShell』による暗号化まで含めた複合的な情報セキュリティ対策をご提案できる体制を整えていきたいと考えています。」(SCSK 筒井)

最新情報などをメールでお届けします。
メールマガジン登録