機能紹介

  • 2015/04/30

フォルダのアクセス権限だけでは重要ファイルは守れない!

ファイルセキュリティの基本は「フォルダのアクセス制御」だが……

情報システムの使い勝手を高め、かつ同時にセキュリティをきちんと担保するためには、ファイルに対するアクセス権限を適切に設定することが不可欠です。例えば経営会議の議事録や、事業戦略に関する資料といったドキュメントは、経営の中枢に関わる重要資料ですから、社外に漏れるようなことがあっては絶対にいけません。そのため、たとえ社内であっても一般社員の目に触れないよう、経営層にのみアクセス権限を与え、それ以外のユーザーからアクセスできないよう制限を掛けるのが一般的です。

また、製品の設計図や技術資料といったドキュメントファイル類は、研究開発部門や設計部門、製造部門などでは頻繁に参照されますが、これもまた会社にとっては極めて重要な情報資産ですから、迂闊に社外に持ち出されては困ります。従って、本当にこれらのファイルを必要とする社員以外からのアクセスには、厳重に制限を掛ける必要があります。

ファイルに対するこうしたアクセス制御は、通常はファイルサーバのフォルダに対して適切なアクセス権限を設定することで行います。例えば、経営資料を保管しておくフォルダに対しては、経営層のアカウントしかアクセスできないよう設定を施しておきます。同様に、技術資料を集めておくフォルダに対しては、研究開発部門や設計部門の社員からしかアクセスできないようにしておきます。

こうしたフォルダ管理の作業を効率化するために、最近では文書管理システムやECM(Enterprise Contents Management)システムを導入する企業も多いようです。ただこの場合もベースになっているのは、やはり「フォルダのアクセス権限によるファイルセキュリティ」です。読者の皆さんにとっても、こうしたファイル管理のやり方は、きっと身近なものなのではないでしょうか。

しかし、重要ファイルの社外流出を防ぐためのセキュリティ施策としては、この方法には明らかに限界があります。フォルダのアクセス権限をベースにした管理では、フォルダに対する不適切なアクセスは確かにシャットアウトできるものの、正当なアクセス権限を持つ人がファイルをフォルダ外に移動してしまうと、そこから先は自由にコピー、印刷、持ち出しなどができてしまいます。

さらに言えば、フォルダに対するアクセス権限をきちんと設定していたとしても、ファイルサーバや文書管理システムの運用管理を任されている担当者は、通常はどのフォルダにも自由にアクセスできる管理者権限を持っています。この管理者が悪意を持ってファイルを持ち出したり、あるいはうっかりミスで社外へ漏洩させてしまうリスクが皆無とは決していえません。

フォルダから持ち出された後もアクセス制御を可能に

では、一体どうすれば重要ファイルの社外流出を防ぐことができるのでしょうか? 結論から言うと、フォルダへの正当なアクセス権限を持つユーザーを介したファイル流出のリスクを、100%完ぺきに防ぐ方法はありません。そこで必要になるのが、万が一ファイルがフォルダから流出してしまったとしても、情報は漏洩させないための対策です。つまり、ファイルがたとえ第三者の手に渡ってしまったとしても、その内容が読み取れないように制限を掛けて、情報を漏洩させないようにするわけです。

そのための代表的な方法の1つが、ファイルの暗号化です。暗号化したファイルを復号するための鍵やパスワードを正当なユーザーにのみ付与しておくことで、たとえ不正ユーザーの手にファイルが渡ってしまったとしても、復号して内容を読み取れないようにしておくのです。しかしこの方法もフォルダのアクセス権限と同様に、正当なユーザーがファイルを復号した後は、完全に無防備状態になってしまいます。

そこでもっと根本的な対策、具体的にいえば「ファイルがフォルダから持ち出された後も、フォルダのアクセス権限と同等のアクセス制御ができる仕組み」がどうしても必要になってきます。「それができれば、初めから苦労しないよ!」。そんな声も聞こえてきそうですが、確かに少し前までは、こうしたファイル制御はほぼ不可能でした。

しかし、近年のクラウド技術やセキュリティ技術の発展を背景に、ここ数年の間で「ファイルがどこにあってもアクセスを制御できる」ソリューションが登場してきました。「FinalCode」もその1つで、ユーザーは専用のクライアントソフトウェアをインストールした端末上でしか、暗号化されたファイルを復号して開くことができないようになっています。

この端末上で、ユーザーがAcrobat ReaderやMicrosoft Officeといったアプリケーションを通じてファイルを開こうとすると、クライアントソフトウェアが自動的にクラウドサービスと接続し、このユーザーがファイルに対する正当なアクセス権限を付与されているかどうかチェックを行います。ここでもし不正なアクセスだと判断された場合には、ファイルに対するアクセスが拒否されるだけでなく、場合によっては自動的にファイルを端末上から削除することも可能です。もちろん、このような不正アクセスを誰が、いつ行ったのかのログも、自動的に記録されます。

このように、フォルダのアクセス権限だけでなく、さらに暗号化やリモート制御といった方法を組み合わせることで、初めて一定レベルのファイルセキュリティが実現するのです。ぜひ「FinalCode」の導入をご検討ください。
<「FinalCode」製品担当:本澤>


03-5220-3090平日 9:00~18:00(土・日・祝日、弊社指定休業日除く)

- 弊社製品の海外でのご利用について

資料請求・お問い合わせ

お問い合わせ・資料請求

14日間無料試用版ご利用の申込み

このページの先頭へ