社内資産を守れ！ファイルサーバの情報セキュリティを高める方法とは

堀場：昨今、情報セキュリティ対策としてゼロトラストという考え方が注目を集めていますが、何をどこまで対策すれば良いのか悩まれている企業も多いのではないでしょうか。

嘉松：そうですね、一口に情報セキュリティ対策といっても、取り組むべき範囲は広く、すべてに対応するには管理者に多大な負担とコストが掛かります。そのため、まずは、個人情報や機密情報が保存されているファイルサーバの守りを固めるべく、内部対策を強化することをご提案しています。

吉野：さらに言うと、万が一ファイルが外部へ漏れたときに備え、暗号化の仕組みを整えておくことも重要です。ファイルを暗号化することで、万が一漏えいしたとしても情報の悪用を防ぐことができるので、出口対策のひとつとして非常に有効です。

清水：加えて、ファイルサーバに到達させない、そもそも社内ネットワークへの不正な侵入を許さない入口対策も重要でしょう。

堀場：なるほど、ありがとうございます。個人情報や機密情報の漏洩対策はどの企業も興味のあるところかと思います。まずは、ファイルサーバの情報セキュリティ対策についての現状と課題を教えてください。

吉野：はい。現在多くの企業が抱える課題としては、企業が持つデータの急増が挙げられます。2020年に拡大したコロナウィルスの影響により、リモートワークが浸透したことで、これまで紙の書類で共有されていた情報がデジタル化されるようになりました。さらに、2022年1月に電子帳簿保存法（電帳法）が改正され、規制や要件が緩和されたことも要因のひとつでしょう。また、個人情報や機密情報が含まれるデータがファイルサーバ内に点在してしまい、システム管理者が現状を正確につかめていないといったことが分かってきました。たとえば、退職者が在籍中に作成した何年も前のファイルがそのまま放置され、そこに個人情報や機密情報が含まれていても気づいていないといったケースです。

嘉松：そもそもファイルサーバ内のデータのセキュリティを高める管理方法や、社内の運用ルールの整備ができていない企業が多くあるということが課題とも言えます。

図：機密情報保護対策のポイント

堀場：ありがとうございます。では、そうした課題を持つ企業は今後どのようにして適切にデータを管理すれば良いのでしょうか。

アクセス制御
吉野：まずはファイルサーバに保存されているデータをすべて可視化することが必要です。データを可視化したら、次にデータの重要度に応じた適切な「アクセス権の制御」をすると良いでしょう。この作業は人力では限界があるため、便利な専用ツールの活用をお勧めしています。

堀場：便利な専用ツールとはいったいどういったものがあるのでしょうか。

嘉松：ファイルサーバを見える化するソリューションとして、「NEC Information Assessment System（以下、NIAS）をご提案しています。高速なリアルタイム分析が非常に優れているという点が特徴で、例えば、不要なファイルの検索に１ペタバイトのデータでも数秒で検索結果を取得できます。さらに、マイナンバー等の個人情報を検出する機能や機密レベル判定機能による危険度の高いファイルをグラフィカルに見える化し、隔離したり削除したりできます。不要なファイルを分析して削除するとともに、各種ガイドラインに沿ったアクセス権の管理や制御が可能です。
例えば、IPA（独立行政法人情報処理推進機構）の「組織における内部不正防止ガイドライン」や、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」、FISC（公益財団法人金融情報システムセンター）の「金融機関等コンピュータシステムの安全対策基準・解説書（FISC安全対策基準）」などに準拠する形で、ダッシュボードから各フォルダのアクセス権を確認した上、退職者や異動したユーザのアクセス権を容易に棚卸しすることができます。

堀場：NIASがあれば、サーバに保存されているデータを可視化するだけでなく、適切なアクセス制限もできるのですね。

図：NIASの実現機能一覧

暗号化
吉野：アクセス制御は非常に重要ですが、機密情報が社外へ漏れてしまうリスクをゼロにすることは難しいです。万が一に備え、ファイルを「暗号化」しておくことも重要です。
暗号化というと、パスワードが分からなければファイルを開けないという仕組みをイメージする方が多いかもしれませんが、パスワードは総当たり攻撃などで解読されてしまうことも考えられます。ファイルを使うたびに暗号化／復号化を行うのは面倒ですし、あまり時間がかかるようでは業務に影響がでてしまいます。また、暗号化のルールを現場のユーザに任せてしまうとリスクが高まります。

嘉松：実は、こうした暗号化の課題を解決するために、ファイルそのものにセキュリティ情報を持たせ、認証により利用可能にする方法があります。
情報漏洩を防ぐために開発された「FileShell」は、先ほどのNIASの個人情報検出機能と連携することで、個人情報が含まれるファイルを自動的に暗号化し保護します。ユーザのモラルに依存せずにファイルを保護できるため、徹底したセキュリティ対策が可能となります。ファイルを編集する際のパスワード入力は不要で、ユーザはこれまで通りにファイルを操作することができます。

堀場：まずはファイルの所在を把握できる状態とし、アクセス権を適切に設定、そして万が一の漏洩に備えて暗号化することが重要ですね。ところで、外部から社内ネットワークへの不正な侵入を許さない入口対策も必要ということでしたが、詳しく教えてください。

図：個人情報が含まれるファイルを自動的に暗号化し保護

多要素認証
清水：はい。コロナ禍以前と比べると、今では多くの従業員がリモートワークで社外から社内システムにアクセスし、業務を行う機会が増えました。現在は、社内システムへのログイン時の認証方法として、IDとパスワードの単一要素認証では社員本人であることの証明として不充分なため、さらなる強化が必要であるという認識が定着してきました。一方で、対策を強化すると社員の手間が増えるデメリットもあります。認証の仕組みがあまりにもわずらわしいと手間も生じ、現場に受け入れられず、運用の妨げになってしまう可能性もあります。

堀場：なるほど。こうした課題を解決する方法はあるのでしょうか？

清水：はい。社員の負荷を上げずに、ログイン時のセキュリティを強化する方法としては、所持情報と、生体情報を組み合わせた「多要素認証」が効果的です。
特に、シングルサインオンと多要素認証の機能を備えた「IceWall」をお勧めしています。認証機能としては、パスワードレス認証のFIDO2をはじめとした多種多様な方式に対応しており、アクセス元やアクセス先に応じて認証方式を追加できるなど、認証ポリシーを柔軟に設定することができます。社員はパスワードを憶えたり、忘れてリセットしたりといったこともなくなるので、情報セキュリティと利便性のバランスを両立させたソリューションと言えます。

図：生体情報を組み合わせた「多要素認証」のしくみ

堀場：ありがとうございます。どのソリューションも非常に魅力的ですね。

嘉松：おすすめしたNIAS、FileShell、IceWallといったソリューションは、それぞれ開発元が異なりますが、SCSKではこの3製品の組み合わせで多くのお客様への導入実績があります。これまで約10年間にわたり、さまざまな業種のお客様にサービスを提供しており、ファイルサーバの安全な運用に向けた数多くの知見やノウハウを持っています。ご興味のある方はぜひ一度ご相談ください。