大事な情報を管理できていますか？ ITmediaのファイルサーバで確認してみると……：ファイルサーバの秩序を取り戻せ

内部不正対策は、さまざまな業務データが置かれるファイルサーバの状況を可視化し、ポリシーやルールに基づく利用や管理がなされているのかを把握することが肝心。しかし、その作業はあまりに煩雑である。そこで今回は、NECのファイルサーバ統合管理ソフト「NIAS」を使ってITmediaのファイルサーバを可視化してみた。その効果はいかに――。

[PR／ITmedia]

PR

　企業や組織における情報セキュリティリスクの中でも、内部関係者による不正行為のリスクは広く認識されておらず、対策も進んでいない状況だ。内部不正対策は人と技術の両面からの取り組みが必要であり、特に技術的な対策は、従業員などに対する教育や啓発では補えない部分をカバーするためにも不可欠となる。こちらの記事では、PCや紙文書における対策としてNECが提供する「顔認証ログオンセット」や「印刷セキュリティセット」を紹介した。今回は、多種多様な業務データが置かれるファイルサーバでの対策について見ていこう。

実態は無秩序？　困難を極めるファイルサーバの管理

　組織のファイルサーバでは、日々大量の業務データが保管され、更新なども頻繁に行われる。データ量は増え続ける一方であり、利用ルールやポリシーを定めていても従業員がうっかりして順守しないようなことも起こりがちだ。その結果、ファイルサーバの中には必要性を問わずさまざまな業務データがどんどん蓄積され、それらのセキュリティも確保されているか分からないままに利用され続ける。当然ながら、それによって不正行為による情報漏えいのリスクは高まる一方だ。

　NECが実施した調査によれば、ファイルサーバに格納される容量は年1.55倍のペースで増え続け、5年間では9倍にもなる。1年以上も更新されないファイルは平均76％あり、まさに無秩序といえる実態が分かった。

ファイルサーバは“無秩序”な状態に……

　このような状況にあるファイルサーバでの内部不正対策を考えた場合、特にファイルへのアクセス権限やファイル自体の利用状況をきちんと把握し、既に不要なファイルは削除する、アクセス権限の割り当てが適切でなければ是正するといった管理を実施しないといけない。しかし、多忙な管理者が無秩序な状態のファイルサーバでその作業を進めることは困難を極めるだろう。

　そこでNECは、ファイルサーバの適切な利用環境の実現を支援する製品として、ファイルサーバ統合管理ソフト「NEC Information Assessment System」（NIAS）を提供している。NIASは、ファイルサーバの「見える化」「整理・容量削減」「アクセス権管理」の基本機能を通じて、ファイルサーバのコストや情報漏えいのリスクの低減化をサポートしてくれる製品だ。オプションとして「個人情報検出」などの機能が用意されている。

　今回は、ITmediaの情報システムを担当する石野博之がこのNIASを使って、実際にITmediaのファイルサーバがどのような状況にあるのかを検証した。その結果からファイルサーバの効率的な運用やセキュリティの強化にどのような効果が期待されるのかを紹介したい。

拍子抜けするほど速い導入と検査

　検証では、まずITｍedia内に仮想サーバを構築し、その環境にNIASの評価版をインストールした。サーバ環境は以下の通りである。ソフトウェアのインストールから初期設定までの作業時間は約30分だった。いよいよ検査をスタートしてみる。

環境：VMware ESXi 5.5、CPU：Xeon E5 2.6GHz x 4Core、メモリ：16Gバイト、ディスク:256Gバイト、OS：Windows Server 2008 R2 x64

　NIASは、ファイルサーバからメタ情報や階層構造、アクセス権などの情報を取り込み、Active Directoryと連携してアクセス権をチェックする。NECではその処理に、インメモリで大容量ファイルサーバを高速に分析する業界初のアプローチを採用している。このため、NIAS環境の推奨メモリ容量は、例えば、検出対象ファイルの全容量が10テラバイトなら12Gバイトだ。

NIASはインメモリ技術を活用して大量のファイルでも高速に処理する

　ITmediaのファイルサーバの容量は約6テラバイトである。検証では仮想サーバのメモリ容量を推奨値よりも余裕を持たせて設定した。実際に検査を開始すると、メモリ使用量は平均3Gバイトと意外にも少なく、推奨値を使えばスムーズに動作するようだ。検査の間、ファイルサーバ側のCPU使用率は平均20％、NIASサーバ側では同50％、ネットワーク帯域の使用率は同20Mbpsで推移した。

　NIASの環境は、発売から数年以内のハードウェアであれば、問題なくスムーズ動作するようだ。石野も、NIASの導入の敷居は低いと評価する。また、こうした処理を高速化するには、一般的にディスクのI/O性能を上げるように考えがちだが、多くの組織がサーバを仮想化している現在では、割り当てるメモリ容量を多くする方が準備はしやすい。

　このような環境で行ったITmediaのファイルサーバの初回検査は5時間ほどで完了し、約430万ファイルをチェックした。石野は当初、これまでの経験から完了まで20時間ほどかかると見込んでいたが、その結果に「拍子抜けした……」と驚いている。

検査で見えたファイルサーバの中身

　さて、NIASが提供するファイルサーバの可視化機能では、どんなことが分かるのだろうか。

　ファイルサーバの可視化自体は、例えば、Windows Serverの標準機能を利用して大まかに把握することは可能だ。しかし、「100Mバイト以上で最終アクセス日が1年以上前」といった複数条件による詳しい検査はできず、管理者が都度条件を変えながら集計して、手作業で経年変化を追跡しなければならないなど、非常に大きな負担を強いられる。

　一方、NIASではファイルのタイムスタンプ情報などによって、過去からの容量の変化などを簡単に把握できる。検査結果をもとにグラフィルカルレポートが管理者画面に表示されるため、知りたい部分がピンポイントで分かる。ここには「NIASおすすめ整理・対象条件」も表示され、検査結果からストレージを追加すべきか、不要なデータを削除すべきか、といったことを検討するのに役立つヒントをNIASが管理者に提示してくれる。

ITmediaのファイルサーバを検査した結果。ストレージに割り当てた6テラバイトに対して、初回検査では約6.55テラバイト、半月後に行った2回目では約6.64テラバイトだった。NIASではストレージ側で重複排除を行う前の数値をもとに算出するため、実際のストレージ使用量はこれよりやや少ないが、既にギリギリ。「おすすめ整理・対象条件」のアドバイスがファイルサーバ最適化の検討に役立つ

　また、検査結果のグラフ部分にある条件設定のスライドバーを動かすだけで、データを整理した場合のシミュレーションもリアルタイムに提示してくれる。石野によれば、こうしたNIASの可視化機能は、管理者がファイルサーバの利用を最適化していくための方法を検討する上で分かりやすく、方針が決めやすくなるという。

グラフレポート下部のツマミを動かして対象条件を変更すれば、シミュレーションによる予想効果が瞬時に表示される。「100Mバイト以上」「2年以上アクセス履歴なし」で条件をセットすると、約10％節約できると算出された

　例えば、削除対象とするデータの条件を「100Mバイト以上」「2年以上アクセス履歴なし」といった条件を変更しながら、効果的なデータの削除ポリシーなどを具体的に検討する。データの削除を進める際に、別途アーカイブストレージなどを準備しておき、削除対象のデータを管理する従業員にシミュレーション結果も示すことで、削除作業を依頼しやすくなるだろう。

データ削除依頼の設定。管理者画面から該当するユーザーにメールなどで依頼する

　NIASでITmediaのファイルサーバを検査した結果、ストレージに割り当てられている6テラバイトの容量に対して、NIASの「総使用量」では初回が約6.555テラバイト、半月後に実施した2回目の検査では約6.642テラバイトと算出された。この間に約87Gバイト増えていることが分かる。なお、ストレージ側ではデータの重複排除処理を行っている。NIASでは重複排除処理をする前の容量が表示されているため、実際のストレージ使用量はこれらより、やや少ない。

　ストレージに6テラバイトを割り当てたのは2013年の前半だ。当時のデータの増加ペースでは2018年頃まで問題ないと見込んでいたが、実際には、事業拡大に伴う社員数の増加から予想を上回るペースでデータも増えている。石野によれば、既にストレージの拡張を計画しているとのことだが、今回の検証でその必要性が改めて裏付けられた。

　これからファイルサーバの最適化を検討する企業にとって、こうしたNIASの機能は大いに役立つだろう。

大切なデータの管理状況は？

　NIASでは、ファイルに設定されているアクセス権限の状況もグラフィカルで分かりやすい。ファイルごとに設定されている権限の数や状況（適切、注意、要対応）が管理者画面に色別のアイコンで表示され、一目で把握でき上に、対応が必要なフォルダやファイルをすぐに判断できる。

アクセス権の状態が一目で分かるリストビュー

　ITmediaのファイルサーバを検査してみると、上位フォルダよりも多くのアクセス権が設定されている下位フォルダの存在が幾つか見つかったが、いずれも実際の業務で必要な設定であったことが確認できた。今回の検査では、NIASの初期設定のポリシーで検索してみたが、管理者が任意の条件（例えば、「everyone フルコントール」）を設定して、把握したいアクセス権の状況を調べることができる。アクセス権の変更や修正は、管理画面のリストビューから対象フォルダごとに、ユーザー単位でその場で実施できるのも便利だ。

　通常、こうしたアクセス権の棚卸しは手作業でしなければならず、まさに管理者泣かせだ。石野の印象では、NIASの初期設定ポリシーでも必要な情報を把握しやすく、システムが実施してくれるので負担の軽減にもつながるという。実は、こうしたファイルサーバ向けのアクセス管理ソフトは単体で提供されているものが多く、ファイル管理ソフトとは、別に購入する必要があるため、標準機能で網羅しているNIASは管理者にやさしいソフトと言えそうだ。

　今回はオプションの個人情報検出機能も利用して、ファイルサーバの中でも一部フォルダを対象に検査してみた。この機能では検出されたファイルについて、アクセス可能者数や情報件数などの観点から危険度を総合的に分析し、その度合いを3段階で通知する。まず全体の状況を把握する上で便利な機能だ。

　ITmediaのファイルサーバ内で、NIASが検出した個人情報を含む可能性のあるファイルの状況は、石野の事前の想定とほぼ同じだった。検査時間は約11時間と、最初の全体検査より長かったが、NIASはファイルの中身を詳細に検査しているようだ。なお、次回以降の検査では差分だけをみるため、この時間は大幅に短くなるだろう。

個人情報が含まれる可能性のあるファイルを抽出できる

　この機能はオプションながら、氏名やメールアドレス、住所、クレジットカード番号、マイナンバーなど（任意指定の文字列も可能）などの個人情報にまつわるさまざまな種類のデータの状況を把握する上で、有用性は高いといえそうだ。

---

ファイルサーバにおける内部不正対策では、PCや紙文書と同様に、重要な情報の取り扱いルールを明確にして、従業員に周知徹底させることが原則だ。それと同時に、不正な持ち出しにつながりかねないデータをファイルサーバに置かない（残さない）ようにしたり、過度なアクセス権限を付与したりしない取り組みが欠かせない。管理者が従業員などに不要なデータの削除を依頼するような場合も、その理由を理解してもらえるように促すことが大切だ。

　ここまで見てきように、NIASはファイルサーバの利用改善やセキュリティ強化の取り組みをサポートするさまざまな機能を1つの製品で提供してくれる。人的コストも考慮すれば、これまで人海戦術に頼らざるを得なかったファイルサーバ最適化のための作業に伴う、管理者の負担を軽減してくれる新しい選択肢となりそうだ。

製品についてのお問い合わせ

『ファイルサーバ統合管理ソフトウェア　NIAS』

　NEC ファーストコンタクトセンター

　電話番号：03-3455-5800

　月曜日〜金曜日（祝日およびNECの休日を除く）

　9:00〜12:00 / 13:00〜17:00