2016.07.07

セキュリティにも影響大!ファイルサーバーとオンラインストレージの認証について把握しよう!

160707_authenticationmanagement_scr03

こんにちは。フリーエンジニアの木下です。
今回は認証基盤という視点からファイルサーバーとオンラインストレージのアクセス権というセキュリティ管理について解説します。

アクセス権、はファイルサーバーにおいて重要な管理項目の一つです。
アクセス権は個人情報保護法やPマーク、JISQ15001などでも「不要なアクセス権は遅滞なく削除すること」が要求されます。

 

  1. ■企業のID管理

企業内のID管理ではWindows ServerによるActive Directoryで社内ユーザーのアカウント管理を実施されている会社は多いと思います。
例えば社員が退職した場合、Windows標準のファイルサーバーやMicrosoft系のBack Office製品ではActive Directoryの認証情報を利用していればActive Directory認証情報を、無効化or削除することで、全てのアクセス権をはく奪することができます。

ですがグループウェアや業務システムなどのサードパーティー製ソフトウェアはいかがでしょうか?
サードパーティー製ソフトウェアでActive Directory認証をカバーするようなエンタープライズ製品は高級品がほとんどで、なかなか手が出る価格ではありません。
Active Directory環境を管理されているシステム管理者の方は、Active DirectoryのIDを無効化or削除することは忘れなくても、他にたくさんのサードパーティー製ソフトウェアに登録されたIDについての無効化or削除を遅滞なくかつ漏れなく実施するという点はいかがでしょうか?

システム部門やシステム管理者が非常に意識の高い企業内でなければ、リアルタイムで認証情報を削除せず年1回のIDやアクセス権の棚卸しのタイミングで不要なIDやアクセス権の整理を実施されているのが実情ではないでしょうか?

160707_authenticationmanagement_scr02

ただし、社内LANであるイントラネット内のリソースであれば、"社内PCが社内ネットワークに接続された状態でなければ機密情報にアクセスできない"という側面があります。つまり社内PCというデバイスが社員の手元になければ社内の機密データにアクセスできない、という構成によって社内PCがカギとなって元社員のアクセスができない、ということです。

■オンラインストレージのID管理は“遅滞なく実施”が必要

いつでもどこからでもアクセスできるオンラインストレージは上記のようなオンプレミスのリソースと違う、という点はアクセス権を考えるうえで重要です。
オンラインストレージは適切にアクセス権による制限を実施していたとしても、そもそもアクセス権を有していた元社員が「いつでもどこからでもアクセスできるオンラインストレージにアクセスして、アカウント無効化までのタイムラグ期間前にデータを退避させてしまうかもしれない。」というのは一つのリスクです。

もしActive Directoryでオンラインストレージも認証しているのであれば、退職する社員のIDはActive DirectoryのID無効化やID削除を実行することで、他のITリソースへのアクセス権同様に必要なアクセス権失効を遅滞なく実施することが可能です。

しかし、オンラインストレージにおいてActive Directory認証情報を利用可能なサービスは少数派で独自の認証を備えていることが多いです。Active Directory認証を利用できるオンラインストレージであれば、Active Directoryの認証情報を管理することに集中できるため独自認証のサービスに比較して優位な点と言えます。

160707_authenticationmanagement_scr01

■セキュリティ以外の効果も

社内リソースも増えてくると独自認証のリソースがいくつか導入されていることが多いです。独自認証のリソースが増えるということは、エンドユーザーが認証のためにID/パスワード入力やワンタイムパスワードの発行や生体認証など、使うたびに何らかの手間を掛けて認証していると言えます。毎日使い始める前にIDとパスワード入力、接続したままにしておくとタイムアウトで再認証が動作し再びIDとパスワード入力、1日に何度となくIDとパスワードを入力しなければならない仕組みだとすると”利用頻度が高いリソースほどストレス”がたまります。

これがActive Directoryで認証が集中していれば、Windowsへのログオン時の認証情報をそのまま他のリソースへのアクセス時にも利用するため、リソースを利用する都度の認証動作は不要になります。いわゆるSSO(シングルサインオン)の状態になるということです。
Active Directoryで構成している社内イントラネットであればオンラインストレージもActive Directoryで認証することによってこのSSO状態でユーザーにリソースを提供することが可能です。

このように、オンラインストレージの認証基盤が何か、という点はサービス選定時に考慮したほうが良い点ではあるのですが、サービスの選定時にはあまり要件に挙がってこないポイントでもあります。
もし、これからオンラインストレージを社内ユーザー向けに導入・検討されているようでしたら、こういった認証基盤にも着目されて、IDの二重管理をしない、という視点も考慮された選定を実施されることをお勧めしたいです。

この記事を書いた人

木下肇

東京/神奈川を中心に、都内中堅企業ではシステム部門の一員として部内インフラ業務に、別の小規模企業ではインフラ全般について管理業務の委託を受けるフリーエンジニア。オンプレミスの企業内インフラからクラウド環境のサーバ/ネットワークまで、OS守備範囲はWindowsからLinuxまで、障害の診断や修復/修理であればソフトからハードまで、幅広い守備範囲で日々お客様の業務を遂行しています。
お仕事のご相談はコチラ⇒http://www.treedown.net/

GMOクラウドアカデミーYouTubeチャンネルはこちらから

アカデミー用バナー

メルマガ会員募集中!

アカデミーの最新情報や会員限定のお得な情報をお届けします。

メルマガ登録はこちら