クラウドストレージ利用の前にオンプレストレージとの違いを考えよう~その2

blog

最近のITとしては、Emotet などサイバー攻撃に関する話題が中心的ですがセキュアストレージの技術営業の私は、気にしながらも2023年度戦略に向かっております。

前回の続きですが、容量に関する違いをご説明しました。クラウドストレージを売る人間がいうことではありませんが、一旦利用をすると容量無制限の罠に嵌ってしまうので使う前にしっかり検討頂きたい気持ちがブログになっております。

今回は、アクセス制限の話をします。こちらも皆さんがお使いのオンプレファイルサーバと比較すると機能的には似ていますが、オンプレではあまり利用されない権限設定が重要になってきます。

先ずは、オンプレのファイルサーバの一般的な環境はこんな感じではないでしょうか?

実際にお使いのPC環境を見ながらチェック頂くと良いかと思います。

私が以前勤めていた企業のファイルサーバ環境は、どの企業でも利用しているWindowsファイルサーバです。

PCのローカルドライブへの書き込みが禁止されていることから、ネットワークドライブがいくつか割り当てられてしました。一つは、部専用のドライブでその中にグループ単位でフォルダーが作成され利用ルールにそって利用をするものです。

仮のそれがX:ドライブとすると同じドライブでも部が違うとリポジトリーが異なる感じでした。それ以外に標準で用意していたのが個人用のドライブでこれがローカルドライブの役割になります。この個人用ドライブも部が変わると同じドライブでも新しいものが割り当てられました。その理由は、異動によって継続でアクセスできない情報に対しての保護になります。これはコンプライアンスの情報管理の担当とかなりやりあった結果です。個人的には、入社して辞めるまで個人の人事情報などを持ち歩きたいわけもあり個人とした場合にどのように個人を考えるかがIT担当だった自分とコンプラの担当者で見解が異なったということです。

以上のような環境では、組織変更があると大変な作業がIT側とユーザ側で発生します。ゆわえるファイルの引っ越し作業です。組織変更では、分割と統合が部レベルや課レベルで発生します。

アクセス制限いう意味では、シンプルです。だれがどのリポジトリー(親ファルダ)へのアクセスが可能かを人事情報とWindowsのAD(Active Directory)で連携をして組み換えを一括で行います。組織変更以外の人事異動では、各部の管理者がユーザの追加・削除・変更を行うことで反映がされます。

これが一般的にWindows ファイルサーバでのストレージ利用としてのアクセス権になりますが、皆さんも同じような環境ではありませんか?

同じことは、クラウドストレージでも行えます。但し、仮想ドライブでなく親フォルダへの割り当てとなります。その上でWindowsファイルサーバではフルアクセスにしていたものを様々な操作制限をかけることもできるということです。

これは、内部ユーザのみであればクラウドストレージであってもフルアクセスのままで問題ないと思いますが、外部ユーザのアクセスを考えると外部アクセスユーザにはフルアクセスでなくダウンロードの禁止(情報流出防止)などの制限が必要になります。

これ以外に管理者権限としてアクセス可能なメンバーの追加・削除・変更など管理者権限を部門単位で分散して運用がされています。

アクセス制限に関しては、Windowsやクラウドストレージでもほぼ同様になります。但し、クラウドストレージの場合は、ネットで検索していただくと分かりますが「多彩なアクセス権設定でセキュアなファイル共有を実現」ということを機能の一つとして紹介されています。

Microsoft のアクセス権限の考え方、クラウドストレージサービスでのアクセス権限を参考で示すと以下の図のような感じになります。

DRM (デジタル著作権管理) をサポートしているものは、Microsoftの IRM に準拠し、DRM機能を持たないものはMicrosoftに準拠しつつ独自の細分化がされています。

とはいえ、もとに返れば「誰がどこにアクセスが出来るか?」がポイントになります。ただこれは、社内専用が前提であり社外の方もアクセスをする前提になると「ダウンロードの禁止」などの制御の必要性が出てきます。これは社外だけでなくリモートワーク環境で社内とは違うアクセス権を与える必要があるケースでも適応されます。

自分がお客様にクラウドストレージの話をすると他社製品比較をよく聞かれますが正直、DRM のような機能は有無がありますがそれ以外を比較すると大きな差はないと感じています。

 

製品設定のポイントは、外部との共有(PPAPの代替など)を考えて必要なセキュリティ要件を整理してそれを実現可能な製品の絞りこみと将来の拡張性(DRM機能を利用したいなど)を加味した最終決定が成功への道と考えています。