ファイルサーバ管理のススメ

前回は、ファイルサーバのアクセス権管理の例と、問題点についてアクセス権の維持・運用とログの取得・確認の観点から書きました。
今回はこれらの問題点に対する対応について考えます。

これらの問題に対する解決策の一つとして、アクセス権の可視化と管理ソリューションおよび、ログ管理ソリューションの導入が考えられます。

アクセス権の可視化と管理

本コラムの第2回「データの肥大対策とファイルサーバの見える化」でもご紹介しましたが、NEC Information Assessment System（愛称NIAS　当時からバージョンアップして、現行はV3.1になっています）という製品には、ファイルの整理以外にもアクセス権の設定・確認を行う機能があります。
ファイルサーバのアクセス権をフォルダツリー構造上で確認することができ、上位フォルダとの不整合な設定は色分けして表示されます。

また、NIASの管理画面からアクセス権を修正すると、その情報がADに反映されるため、管理者はNIASの管理画面だけでファイルサーバのアクセス権管理を行えます。
管理者が定期的にGUI上でチェックを行うことにより、イレギュラなアクセス権限の設定が確認でき、アクセス権限維持運用の工数を減らすと同時に、誤設定・設定漏れのリスクを低減することが可能となります。

NIASによるアクセス権管理の例
フォルダ起点でイレギュラー箇所を棚卸

1. 各フォルダのアクセス権の設定状況を、親子で比較してツリービュー上で把握
2. 不適切な設定があれば、NIAS上から変更可能

ログ管理

ログ管理を行うソリューションはいくつかありますが、基本的にサーバが出力した、生ログ(アクセスログ等）を収集、解析、保管するソリューションとなります。

弊社の取り扱っている製品ではALog ConVerterという製品群があります。いくつか製品があるのですが、ファイルサーバ用には、例えば、NECのNAS（Network Attached Storage）製品に特化したALog ConVerter for iStorage NSという製品があります。

この製品は、専用のログ管理サーバを必要とせず、NAS内でログ収集・解析し、「翻訳変換」を行ってくれるため、比較的容易にログ管理機能を導入することが可能となります。複雑な生ログを翻訳変換し「いつ、だれが、どのファイルに、どのような操作をしたか（参照、書き込み、名前変更、削除）」がわかる形式で出力できます。

この翻訳変換されたログであれば、一般的な情報システム部員でも、何が行われたのか、問題が有るのか無いのかの判断が可能となります。例えば、このログを活用することで、土日や深夜、頻繁なアクセスなど、イレギュラな操作の把握が可能になります。

ALog ConVerterによる分析・変換

本来システムが出力する生ログでは、実際のユーザーの操作履歴を把握することが困難です。
ALogはあらゆるアクセスパターンを検証し、独自の変換ロジックで『実際のユーザー操作のみ』を出力させています。

ALog の特長

ALog の特長は、OSの複雑なイベントログを「誰が、いつ、どのファイルに、何をしたか？」といった実際のユーザ操作履歴に変換する部分です。「見やすく・小さく・正しく」し、ログを保管・検索できるようになります。

ファイルサーバを含め、情報システムへの適切なアクセス権限の設定とログ管理は、情報セキュリティ対策の基本です。外部からの攻撃や内部情報漏えい事件のリスクを低減するためにもこれらの対策を有効に活用して下さい。

ファイルサーバの管理について、バックアップ、容量の肥大化、アクセス権管理と3視点、6回にわたって書いてきました（まさか初回から2年近くかかるとは思っていなかったけど）。 皆様のファイルサーバ管理の参考になれば幸いです。

本稿では、ファイルサーバの情報セキュリティ対策として、アクセス権管理について書きましたが、実は、もう一つ大きな情報セキュリティ上の課題がファイルサーバにはあります。 ファイルサーバのOSの一つであるWindows Storage Server 2003もWindows Server 2003に引き続き2016年10月にサポート終了を迎えます。
重要な情報が集積しているサーバOSのサポート停止は、情報セキュリティ上の大きなリスクとなります。

ハードウェア保守期限の観点から、そう多くは残っていないかもしれませんが、もし、同OSを使用しているサーバが残存していましたら、サポート停止前に速やかな移行を行うことをお願いし、本コラムを終わります。ありがとうございました。