Active Directory

企業ではほぼデファクトスタンダードとなったActive Directoryですが、SECUDRIVE File Server(以下FS)およびSECUDRIVE NAS(以下NAS)とどう違うのかとご質問を受けることがあります。

まずご理解いただきたいのは、Active DirectoryとFS/NASは競合する製品ではありません。FS/NASをActive Directoryを使用していない環境でご利用いただくこともできますし、Active Directoryと共存させてご利用いただくこともできます。

Active Directoryはユーザーやファイルなど、コンピュータ上のリソースを管理するもので、一般的にはコンピュータ(サーバやクライアントPC)、ユーザ(グループ)などの数が多い場合にそれらを一元管理できることから、ある程度の規模のネットワーク環境を構築している環境でよく利用されています。

また、Active Directoryを使用している環境では、Windowsのファイルアクセス制御の設定をActive Directoryのドメインモデル上で行います。そこで、人々が一般にActive Directoryというときには、このWindowsのファイルアクセス制御も含めた意味として表現されることが多いようです。

下図のように、サーバが1台しかないネットワーク環境においては、そのサーバにアカウントを登録しておけばよいだけなので、Active Directoryを入れてもあまり意味はないといえます。

しかし、下図のようにサーバが増えた場合、アカウント情報をそれぞれのサーバに管理しなければならないので管理が大変になります。管理の手間は(サーバの数 × ユーザーの数)の2乗といった感じでしょうか。パスワードの期限切れを迎えるたびに、ユーザーはそれぞれのサーバでパスワードを更新しなければなりません。

そのような環境では、下図のようにActive Directoryを導入すると、アカウント情報の管理が一元化できるので、管理コストが削減できます。

Windowsのファイルアクセス制御とFS/NAS

Windowsのファイルアクセス制御は、ユーザーやグループが特定の資産(PCやファイルフォルダ)に対してアクセスする、つまりファイルなどに対して参照を許すのか、参照+編集まで許すのか、それとも一切アクセスを拒否するのか、といったことを細かく管理できるものです。

Windowsには以下の2種類のアクセス制御機構があります。

  • 共有レベルアクセス権
    ネットワーク接続でログインするユーザーに対して適用されます。
  • ファイルアクセス権
    NTFSファイルシステムに対するセキュリティ機構。セキュリティを考慮する場合、NTFSフォーマットは必要不可欠です。本説明では、NTFS以外の環境(FATなど)については対象外とします。
    ネットワーク接続のユーザー、ローカル(直接)ログインユーザ、リモートデスクトップ接続ユーザー、これらすべてのユーザーに対して適用されます。NTFSファイルシステムレベルアクセス権などともいいます。

SECUDRIVE FS/NASは、ネットワーク上で共有されているフォルダに対して、その中に保存されているファイルについて漏えいを防止するものです。

したがって、サーバに直接ログインできるユーザー、リモートデスクトップ接続でログインするユーザーに対してはSECUDRIVE FS/NASの保護機能は働きません。ですから、秘密情報を保存しているサーバについては、以下のように基本的なセキュリティが保たれた状態で運用する必要があります。(至極当然ですが)

  • サーバに直接ログインできるユーザーは特定の管理者だけに限定する。
  • リモートログインは許可しない。(許可しても権限を限定する)
  • サーバはサーバルームなど一般の人間が立ち入れない場所に保管する

なお、共有レベルアクセス権でアクセス権限を与えていても、ファイルアクセス権が正しく付与されていないと思ったようなアクセス制御はできません。ただ、ファイルアクセス権については本題から外れるのでここでは言及しません。

共有レベルアクセス権の単純化モデル

A:ドキュメントは読み取り専用です。
B:ドキュメントは読み書き可能です。
C:ドキュメントにはアクセスできません。

Windowsのアクセス制御は複雑ですが、小規模から大規模な様々な組織の形態にマッチするように細かく設定することが可能です。例えば、あるドキュメントに対して関わりのない部署の人間からのアクセスを拒否したり、読み取り専用にしたりすることが可能です。

しかし、ここで注意が必要なのは、上図においてAまたはBの人間はドキュメントをローカルPCに保存することが可能だということです。つまりAまたはBが何の気なしに、あるいは悪意を持ってデータを持ち出すことまでは、Windowsのファイルアクセス制御では防げないということです。

FS/NASの働き

FS/NASは、共有フォルダにアクセスが許可されているユーザーに対してそのファイルを持ち出すことをブロックする機能を提供します。

Active DirectoryおよびWindowsファイルアクセス制御とは守備範囲が違いますし、「レイヤーが違う」ともいえます。

以下のFS/NASの単純化モデルでは、流出制御によるプロテクトがかけられているフォルダ(DRM適用)と、プロテクトがかけられていないフォルダ(DRM適用なし)を図式化しています。

FS/NASの単純化モデル

ケース1:
User1はフォルダAのファイルを読み書きできます。(ローカル保存不可)

ケース2:
User2はフォルダAのファイルを読めますが書き込めません。(ローカル保存不可)

ケース3:
User1はフォルダBのファイルを読み書きできます。(ローカル保存可)

ケース4:
User2はフォルダBのファイルを読めますが書き込めません。(ローカル保存可)

ケース5:
このPCにはSECUDRIVE CLIENTがインストールされていないので、全てのユーザーはこのPCからサーバにアクセスできません。

AD + FS/NAS

これまでの説明で以下のことがお分かりいただけたと思います。

  • ファイルやフォルダに対するユーザーやグループごとの「読み取り」、「変更」、「拒否」などのアクセス制御は、Windowsの機能を使用する。
  • SECUDRIVE FS/NASは、ファイルに対してアクセス権を与えられたクライアントが、そのファイルをローカルPCなどにコピーすることを防ぐ。

ここでは、Active Directory環境でFS/NASをご利用いただくケースについて説明します。

下図の通り、「場所」のドロップダウンをクリックすると、ネットワーク上のサーバのワークグループ、ドメインが表示されます。

ここでドメインを選択すると、右側にそのドメインに所属するグループが一覧表示されます。さらに、このグループを選択すると、グループに所属するユーザーが表示されます。このユーザーに対して自由にポリシー設定ができます。

ユーザーが多くて設定が大変であればデフォルトのままでも運用は開始できます。デフォルトでは、流出防止、印刷禁止、キャプチャー禁止、ネットワーク流出防止という、最も安全なセキュリティレベルに設定されています。

 

mautic is open source marketing automation