ファイルサーバーのアクセス権の設定と運用を効率化するコツ

ファイルサーバーでのアクセス権とは？

社員が安全に、誤りなくファイルサーバーを利用するためには、管理者による適切なアクセス権設定が不可欠です。フォルダーやファイルの操作に関して異なる権限を規定し、安全な運用が行えるようにします。

アクセス権とは？

アクセス権とは、サーバーや各種システムを利用できる権利のことです。主にユーザー単位、グループ単位で設定されます。システムへのアクセスやファイルの新規作成、書き込み、削除などを行うにはアクセス権が必要です。

アクセス権は誰でも自由に設定できるものではなく、システムの管理権限を持つ一部の管理者および管理者グループのみが設定できます。

ファイルサーバーでのアクセス権の種類

アクセス権の設定は、ファイルサーバーへのアクセスに対して行うことがよくあります。この場合、管理権限者が適切な設定を行う必要があります。初期設定のままだと、全ユーザーにすべての権限を与えている状態です。
ファイルサーバーは一般的に、権限の範囲によって「読み取り」、「変更」、「フルコントロール」という3種類のアクセス権が規定されています。

「読み取り」の権限は、ファイル・フォルダ一の一覧表示やファイルの読み取りを行えます。「変更」は、「読み取り」の権限に加えて、ファイルの作成・編集（上書き）、削除、そのフォルダー配下へのフォルダーやファイル作成ができます。「フルコントロール」は、「読み取り」と「変更」の権限に加えて、所有権・アクセス権の変更ができます。自分の業務に関するファイル・フォルダーは、変更権限を持っているのが一般的です。

なぜファイルサーバーにアクセス権が必要なのか？

アクセス権の設定をしていないと、誰でもファイルサーバーにアクセスできてしまいます。情報漏洩を未然に防ぎ、意図せぬファイル・フォルダー削除を予防するには、適切なアクセス権の設定が重要です。

情報漏洩を防ぐため

アクセス権を未設定のままサーバー・システムを利用すると、すべてのユーザーがすべてのファイル・フォルダーにアクセスできる状態になります。他部門の機密情報や人事に関する個人情報が誰でも閲覧・利用できる状態は安全ではありません。場合によっては悪意を持ったユーザーが情報を盗む恐れや、本人は意図せずとも情報漏洩を起こしてしまうことも考えられます。

IPA（情報処理推進機構）が公表した調査結果では、企業で発生した営業秘密漏洩の原因としてもっとも多かったのは「中途退職者（役員・正規社員）による漏洩」、次いで「現職従業員等の誤操作・誤認等による漏洩」でした。後者は適切なアクセス権を設定することで発生を抑えられる可能性が高い項目です。
（参照：企業における営業秘密管理に関する実態調査 2020調査実施報告書
https://www.ipa.go.jp/files/000089191.pdf　28P）

人為的ミスを防ぐため

アクセス権の設定を行わず、誰もがユーザーの追加や削除ができる権限を持っていると、誤操作による大きなトラブルや業務の遅延が発生する恐れがあります。例えば重要なファイルを誤って削除、上書き保存してしまうなど、悪意がなかったとしても結果的にファイルの改ざんや消去など、大きな損害に発展する場合もあります。それ以外にも、誰もが自由にファイルやフォルダーを作成できる状態にしておくと、管理者が管理しきれなくなったり、サーバーの負荷が大きくなったりしてしまいます。

人為的なミスを防止し、ファイルやフォルダーの管理負担を軽減するためには、あらかじめアクセス権を設定しておくことが重要です。

社内の内部統制を図るため

アクセス権を設定するなどファイルサーバーが適切に運用されていないと、部門独自で別途ファイル共有サービスを契約・運用してしまう恐れがあります。そのような場合は、情報システム部門が把握できないサーバーが生まれることになり、社内の内部統制を図るうえで大きな障害となります。このようなシャドーITは、セキュリティ上、またコンプライアンス上で大きな問題となります。
シャドーITとは、システム管理者や管理部門の管理が及ばないところで使用されているさまざまな機器やソフトウェア、外部サービスなどのことで、社員が持ち込んだUSBメモリーやスマートフォン、タブレット端末なども含みます。

ファイルサーバーのアクセス権を設定する方法

ファイルサーバーのアクセス権を設定する流れと注意点を解説します。

1. フォルダーの構成を決めておく

はじめに、プロジェクトごと、部門ごとなど自社の運用に合わせてフォルダーの構成を決めます。ユーザーが混乱せずに利用できるように、わかりやすく論理的な階層構造にすることを心がけましょう。なお、個人フォルダーは作成しないことをおすすめします。本人しかわからないファイルの取り扱いは、社員が退職したり部署移動したりした場合どうしたらよいか迷うことが多く、管理が煩雑になるためです。

2. ユーザーアカウントを作成する

ファイルサーバーを利用する人のユーザー名とパスワードを設定してアカウントを作成します。社員ID＋フルネーム（ローマ字）のように一定のルールに沿ってユーザー名を作成すると管理・運用が容易です。フルネームだけで設定する場合、同姓同名の社員が在籍した場合どうするのかのルールも決めておきます。部門名やグループ名のように、後から変更の可能性がある要素をユーザー名に含めてしまうと管理が煩雑になるので、使用しないほうがよいでしょう。

パスワードはユーザー自身に設定してもらう方法もありますが、管理者側で決定したほうが安易なパスワード設定を避けられ、運用もしやすいのでおすすめです。

3. グループにユーザーを追加する

ユーザーとは別にアクセス権を設定する単位でグループを作成し、そのグループにユーザーを追加していきます。ユーザーごとにアクセス権を設定するという方法もありますが、グループでアクセス権を設定したほうが、管理・運用が容易です。

よくあるのが部門ごとにグループを設定する方法です。例えば人事部というグループを作成し、Aさんを人事部グループに加えます。この場合Aさんは人事部グループが許可されているファイル・フォルダーを操作できるようになります。Aさんが異動した際には、人事部グループからAさんを抜けば人事部としてのアクセス権はなくなります。ユーザー単位でアクセス権を設定すると、Aさんが異動した際に人事部が操作できるファイル・フォルダーからAさんのアクセス権を削除する必要があるため手間がかかります。その他、役職やプロジェクト単位でもグループを設定すると管理しやすくなります。

4. 各フォルダーにアクセス権を設定する

フォルダーごとにアクセス権を設定する際は、前述のようにグループ単位で設定を行います。一般的に、ファイルサーバーのアクセス権は、共有レベルのアクセス権とNTFSアクセス権の2種類があります。共有レベルのアクセス権とは、ユーザーがネットワークを経由して、共有されたフォルダーやファイルにアクセスする時に適用されるものです。
NTFSアクセス権は、サーバー（NTFSファイルシステム）上にあるフォルダーやファイルに対して行うもので、ネットワーク経由・ローカルアクセスのどちらに対してもより細やかな設定ができます。

NTFSでアクセス権が設定されていないと共有フォルダーアクセス権の設定を行っても操作できないため注意が必要です。逆に共有レベルのアクセス権で制限を行っていたとしても、NTFSアクセス権を持つユーザーはファイル・フォルダーにアクセス可能です。

5. アクセス権が反映されているかテストを実施する

設定を終えたら、運用を開始する前にアクセス権が正しく反映されているか必ずテストを実施します。これは、設定ミスで本来アクセス権を持たないユーザーがファイルを閲覧・変更できてしまうトラブルを回避するために欠かせません。管理者自身はすべてのフォルダーにアクセスできるため、テストしたいユーザーアカウントでログインして実際に正しく設定できているかどうかを確認します。

ファイルサーバー管理で注意すべき4つのポイント

ファイルサーバーの運用管理をスムーズに行うためには、手間を増やさないための工夫やルール作りが必要です。ファイルサーバー管理で注意すべきポイントを解説します。

ファイルサーバーの運用ルールを設定する

ファイル・フォルダーの運用ルールを作成・周知することは、管理する上でもっとも重要な点のひとつです。共通ルールがないと、ユーザーは各人ごとに異なるルールに沿ってファイルやフォルダーを好き勝手に作成するため、データの場所や内容が把握できなくなってしまいます。本来の用途は社員間の円滑なファイル共有であることを考えると、単なるファイル置き場のような使い方では、業務に支障をきたしてしまいます。

最大の問題は、管理者が把握できておらず、適切なアクセス権が設定されていないファイル・フォルダーが発生することです。これではデータ容量が増大し、サーバーの容量不足につながる恐れもあります。要・不要の区別がつかないファイルが大量に作成されてしまうと、後から重要性を確認して仕分け・削除するのは非常に手間がかかります。このような事態を防ぐためには、検索のしやすさや個人フォルダーの作成防止などを心掛け、作成基準や容量制限など、明確なルールを設定し、それらに基づいて運用するよう全員に周知徹底することが大事です。

サーバーの容量が不足しないように気を付ける

ファイルサーバーの容量は無限ではありません。誰もがそのことを意識して利用しないと、バックアップやコピーを安易に繰り返すことで、すぐに容量不足に陥ります。例えば動画や音声データは、1ファイルあたりの容量が大きくサーバーを圧迫する要因になります。容量が不足するなら別途サーバーを新設すればよいと考えがちですが、それでは運用コストがかかり、管理用機器のスペースも必要です。さらに、不要なファイルが増加すると本来必要なファイルも探しにくくなるなどの不便も生じます。

容量が不足しないようにするには、無駄なデータは増やさないようなルール作りが重要です。例えば、ファイルの保管期限を決める、重要性の低いファイルや長期間アクセスされていないファイルは一定期間で削除するなどの運用ルールを決めておきましょう。

なるべく管理に手間が掛からないようにする

ファイルサーバーを管理するためには、情報システム部門やIT管理者などネットワーク知識を持ったエンジニアが必要です。しかし現在エンジニアは慢性的な人材不足に陥っているため、運用保守などの業務をできるだけ効率化する省人化を進めることが求められています。

サーバーを増設すると管理・運用の手間も増加します。無駄をなくしてエンジニアに重要性の高い業務に注力してもらうためにも、機器管理には手がかからないようにすることが重要です。

ルール違反には素早く、適切に対処する

ルールに沿った運用を行ったとしても、ルール違反を行うユーザーが出てくる場合もあります。違反を放置していると、意図せぬ情報漏洩や人為的ミスなどのトラブルにつながる恐れがあります。発見した場合は、速やかに適切な対処を取る必要があります。

アクセス権管理における負担を軽減するには？

アクセス権の管理やファイルの監視など、それぞれの作業量はそれほど多くないと思いがちですが、全体で考えると管理の負担は意外と大きいものです。アクセス権はユーザーの数だけ設定が必要なため、ユーザーが多い企業ほど作業量は増大します。なるべく負担を軽減したいと考える管理者は多いでしょう。
サーバーの一本化や大容量のサーバーを選ぶといった基本的な対策とともに、管理を効率化するツールの導入や外部委託といった方法も視野に入れましょう。

ファイルサーバーを一本化する

アクセス権はサーバーごとに設定するため、サーバーを複数運用するとその分作業が増えます。そのためサーバーを一本化することで作業負担を軽減できます。

大容量かつ高機能のファイルサーバーを選ぶ

当初用意したファイルサーバーでは容量が不足している、速度が遅い、といった原因でファイルサーバーを複数使い分けているのであれば、大容量・高機能の機器を導入することでサーバーの一本化を実現できます。

ここ数年で人気なのはクラウド型のファイルサーバーです。総務省の調査結果でもクラウドサービスを利用していると回答した企業の約6割がファイルサーバー（ファイル保管・データ共有用途）として利用しており、場所・機器を選ばず利用できることや資産・保守体制を社内に持つ必要がないことが評価されています。

（参照：総務省　令和3年通信利用動向調査の結果
https://www.soumu.go.jp/johotsusintokei/statistics/data/220527_1.pdf 6P）

クラウド型のサーバーは拡張性が高いのが特徴で、容量が不足した際には複雑な設定をしなくても容量の追加が可能です。サーバーを一本化したい場合に適した選択肢です。

アクセス権限の設定は、情報漏洩やデータの誤削除などの人為的ミスを防止し、安全なファイルサーバー運用をするうえで重要です。アクセス権が設定されていないと効率的な運用ができないほか、内部統制が図れず業務に大きな支障をきたす要因にもつながります。