ファイルサーバーは、企業が抱える膨大なデータの共有・管理・保管などが簡単に行える一方、重要な情報の漏洩・不正アクセスなどのリスクもあります。そのため、企業はファイルサーバーの活用だけでなくセキュリティ対策も重要視しなくてはいけません。
今回は、ファイルサーバーのセキュリティ対策を行なった際のリスク、対策の方法などについて、詳しく解説します。
目次
ファイルサーバーとは
ファイルサーバーとは、ネットワーク上で使用するファイルを管理するサーバーのことです。ネットワーク上で管理するファイルは業務のための資料・帳票など多岐に渡ります。それらをすべて共有・保存・バックアップできるのが、ファイルサーバーの特徴です。
ファイルサーバーの種類は下記のような3つのタイプがあります。
オンプレミス型
社内に専用の機器を設置して管理するタイプのサーバーです。手元にデータを置ける点やカスタマイズしやすいというメリットがある反面、初期費用がかかり専門的な知識やスキルが要求されます。
NAS
NAS(Network Attached Storage:ナス)は、専門知識やスキルができるだけ不要な形で作られた小型のファイルサーバーです。ネットワークに接続することにより、ファイル共有・管理が行えます。
クラウド型
ネット上の仮想のスペースにファイル保管をするタイプが、クラウド型です。サービス業者を介して利用するため、初期費用・メンテナンスの手間がかかりません。自由にカスタマイズできないのがデメリットです。オンラインストレージと呼ばれることもあります。
どのタイプも複数の従業員が同じファイルを共有・管理できることにより、業務の効率化をはかれるのが特徴です。
ファイルサーバーのセキュリティリスク
ファイルサーバー使用の課題は、セキュリティリスクです。ファイルサーバーは下記のような課題を抱えています。
- データの流出
- データの紛失
- ウイルスの拡散
上記3つのリスクについて、それぞれの詳細を説明します。
1. データの流出
ファイルサーバーのセキュリティリスクの代表格が、企業が抱えている保有データの流出です。ファイルサーバーのデータ流出は、外部からのウイルス侵入によっても起きます。ウイルスが侵入される可能性を想定してセキュリティ体制を強固にしていればウイルス侵入は回避できますが、セキュリティ対策を怠った場合、侵入によってトラブルに発展する恐れがあります。
ウイルス侵入で起きるトラブル例の一つが、情報漏洩です。企業が保有している機密データが漏洩してしまい、それがきっかけとなり最悪大損害を受ける危険性があります。またデータ流出以外のトラブル例が、データそのものが改ざんされるパターンです。ウイルス感染によってファイルサーバーの操作が不可能になったり、大事なデータを暗号化されて開けなくなったりします。
ウイルス感染によるトラブルは、顧客や取引先の情報も流出させてしまうケースも少なくありません。そのため、セキュリティ体制に対して無自覚であったという事実が広まり、社会的な信用度も失うでしょう。
2. データの紛失
セキュリティ体制の確立を怠った場合に発生する可能性があるのが、保有している重要なデータの紛失です。ファイルサーバーはアクセス権限さえあれば誰でも共有可能というメリットがありますが、使用する人数が多いほどミスが起きる可能性も高まります。
データ紛失は、下記のような原因によって発生します。
- ユーザーの操作ミス
- 不正アクセス・ウイルス感染
- ファイルサーバーの故障
上記の原因を想定してセキュリティ体制やデータのバックアップ運用を強化していればトラブルが発生しても安心ですが、そのような体制を用意していなかった場合、重要なデータが紛失して大きな損害に発展するでしょう。
データ紛失は、少しの動作によって簡単に消去・上書きされるため、ユーザーである従業員にも徹底して指導をしなくてはいけません。しかしその指導を怠っていた場合、ちょっとしたミスによってデータ紛失が発生します。
サーバー本体だけでなく、従業員が使用するデバイスのOS、ソフトウェアの不具合によってもデータ紛失が起きる場合もあるため、注意しなくてはいけません。ファイルサーバーやPCのOSのアップデート等も随時行う必要があります。
3. ウイルスの拡散
先述したとおり、ファイルサーバーが抱えるリスクはウイルス侵入ですが、迅速に対処してウイルスを消滅させる、あるいは被害を企業内だけにとどめることができれば、被害を最小限に食い止められます。
しかしウイルス侵入・感染による被害の種類はそれだけでなく、最も怖いのがウイルスの拡散です。ファイルサーバーは1台を大勢のユーザーが共有できるメリットがありますが、その特徴はウイルスにも反映されます。ファイルサーバーがウイルスに感染すると、サーバーとつながっているデバイスにもウイルスが拡散されて、あらゆるデバイスが感染する仕組みです。
その逆パターンで、1台のパソコンがウイルス感染した場合、それがつながっているファイルサーバーにも伝達するというケースもあります。
先述したとおり、ウイルス感染が起きると、操作が不可能になりこちらの意思と関係なくデータ改ざん、データ紛失、情報漏洩が進行する恐れがあるため、拡散を最小限に食い止めないといけません。
ファイルサーバーで情報漏洩が起きたときの企業のリスク
ファイルサーバーの不具合により保管している情報の漏洩が起きた場合、それによるさまざまな二次被害が発生する恐れがあります。その被害とは下記の3点です。
- 損害賠償請求
- 売上への悪影響リスク
- 行政処分
情報漏洩による上記3つのリスクについて、それぞれの詳細を説明しましょう。
1. 損害賠償請求
情報漏洩が起きると発生するのが、損害賠償の請求です。流出した情報が自社のものだけであれば自社のみの被害として処理できます。情報漏洩で問題なのが、流出したデータに自社以外の情報である顧客の個人情報・取引先の情報までが流出した場合です。
自社以外の情報を預かった場合、個人情報の規約にしたがって最新の注意を払って取り扱わないといけません。顧客・取引先の企業の機密情報が外部に漏れた場合、その情報を悪用される可能性が高まります。また、すでに悪用されて被害にあっている顧客・取引先は、損害賠償を請求する権利が得られます。
情報漏洩による損害賠償は決して安い金額ではありません。そしてその被害が拡大していれば、さらに請求額が増加し、請求一つひとつに対応しなくてはいけません。自社の業務において出費がかかるのはある程度予想できますが、それ以外の想定外の出費が発生した場合、その企業は経営自体に大打撃を受けて、経営存続の危機すら招く事態となるでしょう。
2. 売上への悪影響リスク
情報漏洩が起きた際に企業が受けるリスクは、経営への悪影響です。情報漏洩が起きると、重要な情報が外部へ流出したことの実際の損害に加えて、信用の損失も起こります。特に長年の経営によって信頼と実績を積み重ねてきた企業の場合、情報漏洩を一度しただけで、信頼と実績を簡単に失う羽目になるかもしれません。
情報漏洩を起こした企業に対して顧客・取引先が抱くイメージは、大事な情報を預かっているにもかかわらずセキュリティ体制が不十分、情報を雑に扱っているというイメージです。
それにより、良好な関係を築いていた取引先・長年商品・サービスを購入してくれた顧客が離れてしまう可能性もあります。そして情報漏洩は株主にも悪影響を与えるでしょう。
投資対象である企業が不祥事を起こした場合、投資家たちは今後の投資継続を中止するという判断を下すかもしれません。このような事態になると株主から株主代表訴訟等を起こされる可能性もあります。
3. 行政処分
顧客などの個人情報を取り扱う事業主は「個人情報取扱事業者」に該当し、個人情報保護法に従って情報を扱わなくていけません。そのため、情報漏洩により個人情報の流出が発生した場合、法律違反に該当するため行政からの処分によって罰則の対象となります。罰則の内容は下記のとおりです。
刑事上の罰則
個人情報漏洩が発覚した時点で、国から是正勧告を受けます。それに従わない場合に科せられる罰則は「6ヶ月以下の懲役、または30万円以下の罰金刑」です。
もし自己の利益のために意図的に情報漏洩・情報の不正利用をしようとしていた場合「1年以下の懲役、または50万円以下の罰金刑」が科せられます。
民事上の損害賠償責任
個人情報の漏洩は刑事上の罰則だけでなく、民事上の法的責任(損害賠償責任)も対象になる場合があります。行政の指示に従って賠償金を支払わないといけません。
また、場合によっては営業停止・免許はく奪などの処分が下されることもあります。
ファイルサーバーに必要なセキュリティ対策
ファイルサーバーの利用において実践しなくてはいけないセキュリティ対策は、下記の5点です。
- IDとパスワードの管理
- アクセス権の設定
- セキュリティソフトの導入
- アクセスログの取得と監視
- 社内ルールの管理
この5つのセキュリティ対策について、それぞれのポイントを説明します。
1. IDとパスワードの管理
ファイルサーバーのセキュリティ対策において重要なポイントになるのが、ファイルサーバーにログインする際のID・パスワードの管理です。
ID・パスワードは、私生活でのネット利用において、サイト・アプリにログインするために誰もが複数持っているでしょう。その際多いのが、サイト・アプリごとに違うID・パスワードを使うのが面倒なので、すべてわかりやすいID・パスワードで統一するという手段です(パスワードの使い回し)。これを行っていると1つのサイトで情報漏洩事故が起きる、または1つのサイトの利用でフィッシング詐欺にあうと、パスワードを使い回したサイトやアプリ全てでログインできてしまいます。必ずサイト・アプリ別に乱数で生成したパスワードを使用する必要があります。
また、英単語辞書に載っているような簡単なパスワードであれば、簡単に不正アクセスされるため、必ず乱数で生成した長いパスワードを使用する必要があります。
企業によっては、1つのID・パスワードを複数の従業員に教えて誰でも簡単にログインできるようにしているところもあるでしょう。この方法だと不正侵入や情報漏洩、操作ミスによるデータの消去など事故が起きたときに誰の操作や誰のパスワード管理がよくなくて不正侵入されたのか等が分からなくなります。また多くのシステムはユーザーIDごとにアクセス権の範囲を変更できますが、1つのIDで複数の従業員で使いまわしていると全員のアクセス権が同じになってしまいます。またサービスによっては契約上1つのIDを複数名で利用すること自体がライセンス違反になる場合もあります。
ユーザー、一人ひとりがそれぞれ違うIDとパスワードを設定し、設定するIDとパスワードは、誕生日などわかりやすいものではなく乱数で設定することが大事です。
2. アクセス権の設定
ファイルサーバーのアクセス権を設定することも、セキュリティ対策の重要な要素です。アクセス権の権限は管理者によって設定を変えることが可能であり、下記のような種類があります。
- アクセス権限なし(閲覧不可)
- データの閲覧のみ可能
- データの閲覧・編集が可能
データは重要なものからそうでないものまでさまざまな種類があるため、データごと・従業員の担当ごとにアクセス権を細かく設定することがおすすめです。
アクセスさえできれば誰でも閲覧・編集が可能であれば業務自体の効率化がはかれますが、情報漏洩の可能性も高まります。
3. セキュリティソフトの導入
ファイルサーバーのセキュリティを強化するためには、セキュリティソフトの導入も欠かせません。ファイルサーバーを対象としたセキュリティソフトは、アクセス制限・暗号化などの機能が備わっており、これらの機能の働きによって情報漏洩・不正アクセスなどのトラブルを回避できます。
また、ファイルサーバーにつながっているメール・フリーソフトからウイルスが侵入・感染する恐れもあるため、マルウェア対策ソフトの利用もおすすめです。また、オンラインストレージを利用すれば、運営会社がセキュリティ対策を代行して実施してくれます。
4. アクセスログの取得と監視
ファイルサーバーのアクセスログ管理も、セキュリティ対策において重要なポイントの一つに挙げられます。アクセスログとは、ファイルにアクセスしたユーザーが利用した端末・アクセスした時間・ファイルの編集内容などの情報のことです。
これを常に確認して不正アクセスがあった場合、すぐに管理担当者に報告すれば迅速に対応を行ってくれます。情報漏洩があってもアクセスログを確認すれば、原因究明・被害防止の早急な実践が可能です。
5. 社内ルールの管理
ファイルサーバーのセキュリティ対策は、サーバーを利用する従業員の意識を高めることも重要です。いくらセキュリティソフトやアクセスログ監視などを導入しても、サーバーを利用している従業員一人ひとりが責任感を持たないと、意味がありません。従業員1人の軽薄な操作によって情報漏洩などは簡単に起きてしまいます。
ファイルサーバーを使う際のルール・マニュアル作成、研修などを実施して、しっかりと学んでもらうことが大事です。
ファイルサーバーのセキュリティリスクが不安な方はibisStorage
ファイルサーバーのセキュリティ対策は、情報漏洩などのトラブル、それにより発生する大きな損失を事前に防止するために、必須といえる課題です。しかし、セキュリティ対策に関する知識・スキルがない場合、技術者を採用する必要があったりと、対策の実施まで時間がかかります。
そのため、自社で対策を行うのではなく、クラウドストレージサービスを選択することもおすすめです。
クラウドストレージサービス「ibisStorage(アイビスストレージ)」は、端末認証機能・アクセス権限管理機能・監査ログ機能など、あらゆるセキュリティ対策機能を搭載しています。クラウド上のデータ管理作業はすべて代行するため、セキュリティ対策に関する知識・スキルがなくても安心です。ファイルの削除や更新はすべて履歴を残している上、3重にリアルタイム自動バックアップもされています。
ibisStorageはフリープランや無料トライアルもあるため、一度ためしてみるとよいでしょう。
