企業が共有フォルダーを利用する場合、アクセス権を適切に設定することは、情報セキュリティの観点から極めて重要です。特に「部署」「役職」単位できめ細かくアクセス権を設定することは、内部不正を防ぐためにも必須といえるでしょう。
この記事ではWindows環境における、部署・役職別にアクセス権を設定する方法を、分かりやすく解説します。加えてアクセス権設定に役立つActive Directoryについて、セキュリティ上の注意点を説明し、より安全かつ便利に共有フォルダーを運用する方法を説明します。
目次
- 共有フォルダーのアクセス権設定は、情報漏洩を防ぐ第一歩
- 共有フォルダーのアクセス権の種類
- 部署・役職ごとのアクセス権の設定手順
- Active Directoryの機能と注意点
- 安全性と利便性の高い運用に向けて
共有フォルダーのアクセス権設定は、情報漏洩を防ぐ第一歩
共有フォルダーは複数の社員が情報を共有できるため、仕事の効率を高めることができる一方で、アクセス権を適切に設定しなければ、重大な情報漏洩リスクをはらんでしまいます。設計部門しか閲覧してはならない技術資料を、営業部門の社員が誤ってダウンロードすれば、それが社外に流出するリスクも否定できません。
情報漏洩事故は、悪意ではなく「設定ミス」による場合が少なくありません。特定フォルダーの読み取り権限が、全社員に付与されていた。異動後のユーザーが、以前の部署のファイルにもアクセス可能だった。実際にはこのような事例も起こっています。こうしたミスを防ぐには部署や役職に応じた、きめ細かいアクセス権の設計・運用が不可欠です。
またこれらは「誰が、何にアクセスできるか」を可視化する効果もあります。アクセス権を可視化することで内部統制が強化され、不正が起こりにくい業務環境が生まれます。このような意味からも、情報セキュリティ対策の第一歩として、まずは共有フォルダーのアクセス権を見直すようにして下さい。
共有フォルダーのアクセス権の種類
Windowsで共有フォルダーを使う際、アクセス権には「NTFS権限」と「共有権限」の2つの設定が存在します。この2つは独立しており、両方の設定がともに有効となりますが、最終的には「より制限の厳しい方」が適用されるというルールがあります。
「NTFS権限」
NTFS権限はWindowsのファイルシステムに基づいた、ファイルやフォルダーそのものに対するアクセス制御です。ローカルアクセスとネットワークアクセスの両方に適用され、ユーザーやグループ単位で「読み取り」「変更」「フルコントロール」など細かく設定できます。
「共有権限」
共有権限は、「このフォルダーをネットワーク経由で誰がどう使うか」を制御するものです。共有設定では「Everyoneに読み取りのみ許可」と、設定されていることがよくあります。
【設定時のポイント】
設定時に注意すべきことは、NTFS権限と共有権限のうち、より厳しい方が有効になることです。たとえば、NTFS権限で「フルコントロール」を与えていても、共有権限で「読み取り」になっていれば、ユーザーは「読み取り」しかできません。
このように設定に際しては、どちらを主に管理するか明確にしておかないと、予期せぬトラブルが発生する危険があります。多くの場合、基本的に共有権限は「フルコントロール」にしておき、実際のアクセス制御はNTFS権限で細かく設定するというのが一般的な運用方法です。これにより、誤解や設定ミスによるアクセストラブルを防ぐことができます。
NTFS権限のアクセスの種類
Windowsの共有フォルダーでは、アクセス権はより細かく設定できますが、多くの場合に利用されるアクセスレベルとして「読み取り」「変更」「フルコントロール」の3種類があります。それぞれについて、情報セキュリティの視点から説明します。
読み取り(Read)
「読み取り」権限を持つユーザーは、共有フォルダー内のファイルを開いて確認することはできますが、変更や削除、保存などはできません。社内で「閲覧専用」の資料を配布する場合に適しています。誤って上書きをしたり、重要な資料を削除されたりする心配がないので、安全な公開手段といえるでしょう。ただしファイルをコピーしてローカルに持ち出すことは可能なので、情報漏洩対策として完全ではありません。
変更(Modify)
「変更」権限があると、「読み取り」に加えてファイルの編集・上書き保存・削除・新規作成が可能です。たとえば部内の作業フォルダーなど、複数人で資料を共有・更新するケースに適しています。ただし誤って削除されたり、内容が上書きされたりするリスクもあるため、更新ログの取得やバックアップが推奨されます。
フルコントロール(Full Control)
「フルコントロール」は、「読み取り」「変更」のすべての操作に加えて、他のユーザーのアクセス権の変更やフォルダー構成の再設定などの操作が可能になります。基本的に管理者や責任者など、フォルダー全体の運用権限を持つ人にだけ与えるべき権限です。
誤って不適切な権限を設定すると大きなトラブルにつながるため、安易に付与しないことが重要です。
部署・役職毎のアクセス権の設定手順
共有フォルダーを安全かつ効率的に運用するためには、アクセス権の設計段階で「最小権限の原則(Principle of Least Privilege)」を徹底することが重要です。この原則はユーザーに業務遂行上、必要最小限の権限のみを付与し、それ以上の操作は制限するという考え方です。必要以上のアクセス権を与えると、意図しない閲覧や改ざん、さらには情報漏洩のリスクを高めることになってしまいます。
特に、部署や役職によって業務内容や情報の機密度は大きく異なります。たとえば、総務部は社員情報を扱い、営業部は顧客情報を管理しますが、これらの情報が他部門から閲覧できる状況では、セキュリティ事故の温床となりかねません。したがって、部署・役職に応じて適切なアクセス設計が求められるのです。
部署・役職別のアクセス権を設計する際の基本的なステップ
1. 利用者の洗い出し
まず初めに行うべきは、共有フォルダーを利用する全ユーザーを部署ごと、さらには役職ごとに分類することです。例えば、「営業部・一般社員」「設計部・部長」といった具合に整理します。
これにより、「誰が」「どの情報に」「どのような操作が必要か」を明確にすることができます。この段階を丁寧に行うことで、以後の設計作業がスムーズになります。
2. フォルダ構造の設計
次に、共有フォルダーの階層構造を情報の機密度に応じて設計します。部署単位でトップフォルダーを作成し、その下層に役職別、あるいはプロジェクト別のサブフォルダーを設けることで、きめ細やかなアクセス制御が可能になります。 たとえば「営業部」フォルダー内に、「営業部_全体共有」「営業部_課長以上」「営業部_部長専用」などのサブフォルダーを作れば、情報の粒度に応じたアクセス管理が実現できます。
3. グループ管理の導入(Active Directoryの活用)
アクセス制御の実装においては、Active Directory(AD)を活用したグループ管理が推奨されます。AD上で「営業_一般」「営業_課長」などのセキュリティグループを作成し、そこに該当するユーザーを割り当てます。
これにより、ユーザーの異動・昇進時にも、グループの変更だけで権限を適切に維持・更新することが可能です。フォルダーに対しては、このグループ単位でアクセス権(読み取り・変更・フルコントロールなど)を設定します。 (ADについては、次章で詳しく説明します。)
4.アクセス権の設定方法
アクセス権の設定は以下の手順で進めます:
1. 該当フォルダーを右クリック→プロパティ→セキュリティタブ→編集
2. グループを追加し、読み取り・変更・フルコントロールなど権限を割り当て
3. 必要に応じて「継承の無効化」を実施し、上位フォルダーからの影響を防止
以上が部署・役職毎のアクセス権の設定手順になります。
これらを通じて、一般社員には読み取りのみ、管理職には編集権限を、部長クラスにはフルコントロールを、といった段階的な制御が可能になります。ただローカル環境だけでこれらの設定を行うと、ユーザーやグループの管理が煩雑になり、誤設定や管理漏れが発生しやすくなります。特に複数の拠点や部門をまたぐ場合、個別PCやNASでの設定には限界があり、統一されたポリシー運用が困難になります。
こうした課題を解決するには、ユーザー情報と権限を一元管理できる仕組みが必要です。そこで重要な役割を果たすのが「Active Directory(AD)」です。
Active Directoryの機能と注意点
Active Directory(AD)は、Windows Serverに搭載されたユーザー・グループ管理の基盤機能です。ADを使うことで、以下のことが可能になります
・ ユーザーを一元管理し、部署や役職ごとにグループ化
・ GPO(グループポリシー)を使って、USB利用制限やアプリ使用制限を一括適用
・ 退職者のアカウントを即時無効化
・ ログオン履歴やファイルアクセスの履歴を管理
ADを活用することで、管理者は社内のユーザー権限を全体的に可視化し、ミスや漏れを防止できます。その一方で、AD単体ではできないこともありますので注意して下さい。たとえば、以下のような機能はAD単体では完全に制御できません
・ ファイルの暗号化と復号管理
・ 画面キャプチャーの抑止
・ コピー&ペーストの禁止
・ 詳細なファイル操作ログの取得
安全性と利便性の高い運用に向けて
Active Directoryは企業のIT管理基盤として非常に強力ですが、すべてのセキュリティ要件を満たすわけではありません。そこで有効なのが、ADと併用可能なセキュリティソリューションです。
その一つに、弊社の提供するコプリガードがあります。
コプリガードは内部不正による情報漏洩対策に特化した製品で、ADでは対応できない次のような機能を実現することができます。
・ 画面キャプチャーを防止
・ コピー&ペーストの防止
・ USBなど外部デバイスへの持ち出しを防止
・ 詳細なファイル操作ログの取得
・ ファイル印刷時に透かしを挿入
これらの機能により、たとえADでユーザー認証やGPO制御がなされていても、それをすり抜ける操作を防ぐことができます。特に機密性の高い設計図面、財務資料、顧客データなどを扱う企業では、ADとコプリガードの併用により、より安全かつ実用的なファイル管理環境を構築できます。
以下にADとコプリガードの機能比較をまとめておきます。
Active Directory と コプリガードの機能比較
| 比較項目 | Active Directory | コプリガード |
| 画面キャプチャー制御 | × OS標準機能やツールの制御は困難 | ◎ printscreenキー・ソフトによる画面キャプチャーを防止 |
| 印刷時の透かし挿入 | × 対応不可 | ◎ ファイル印刷時にユーザー名・日時など透かし表示が可能 |
| コピー&ペースト制御 | △ レジストリやGPOで一部制限可能 | ◎ 文書内のデータやファイルコピーを防止 |
| USBデバイス制御 | △ GPOで一部制限可能 | ◎ USB/スマートフォン/CDドライブなど外部デバイスへの持ち出しを防止 |
| ログ・監査機能 | ◯ OSレベルのイベントログのみ。操作単位までは追えない | ◎ ファイル操作ごとに詳細なログを記録 |
| アプリケーション制限 | ◯ GPOで一部制御可能 | ◎ アプリケーション・操作単位での利用制御が可能 |
以上、情報セキュリティの観点から共有フォルダーのアクセス権を、部署・役職ごとにきめ細かく管理する方法について、ご説明しました。
最後までお読みいただき、ありがとうございました。
●画面スクリーンショットを禁止!
●リモート先PCにポリシーをインストールして制御!
●その他、コピーなど持ち出しにつながる操作も禁止!
本記事の作成者:村澤
所属:株式会社ティエスエスリンク / 営業部
企業と個人のための「情報漏洩対策ソフト」:基礎から高度な選択まで
「情報漏洩対策ソフト」は、多様なニーズに対応しています。ファイルの持ち出し制限、USB管理、ファイル交換ソフトの制限など、基本的な機能から高度なセキュリティ要件まで、限られた予算内で、最適なソフトの選定方法と、導入の流れをこの記事で解説します。
