【必読】ファイルサーバーのセキュリティ対策と情報漏えいのリスク

インターネット上で、ファイルやデータの共有ができるファイルサーバーは利便性も高く、多くの人が利用しています。

しかし、ファイルサーバーはネットワーク上で共有しているため、ウイルスに感染したり、攻撃を受けてしまう可能性もあります。

ファイルサーバーを安全に利用するためには、セキュリティ対策は万全にしておく必要があります。

そこでファイルサーバーのセキュリティ対策について、また対策しないとどのようなリスクがあるかについても解説します。

なぜファイルサーバーのセキュリティ対策が必要なのか

情報処理推進機構（IPA）が発表した情報セキュリティ10大脅威2021の組織における被害を確認して見ると、ランサムウェアによる被害が最も多い結果になりました。

2位以下については、標的型攻撃による機密情報の窃取、3位テレワーク等のニューノーマルな働き方を狙った攻撃、4位サプライチェーンの弱点を悪用した攻撃という順位です。

要するに不注意によるデータ流出や内部でのデータ破損というよりも、外部から意図的に攻撃されてデータ流出したり、データ破壊される件数の方が多いのです。

これらの結果からも、セキュリティ対策を万全にしなければ、いつ狙われてしまうか分かりません。

ほかにも東京商工リサーチが行った「上場企業の個人情報漏えい・紛失事故」調査（2020年）によると、上場企業とその子会社で、個人情報の漏えい・紛失事故を公表した会社は88社にも及ぶことが分かりました。

事故件数でいうと103件、漏えいしてしまった個人情報は2,515万47人分になるようです。

これらの件数は年を追うごとに増え続け、最多を更新し続けています。

コロナウイルスの影響もあり急に広がりをみせるリモートワークですが、セキュリティ対策について早急に見直すべきであると言えます。

ファイルサーバーのセキュリティ対策を怠った場合のリスク

ファイルサーバーのセキュリティ対策を怠ることでどのような問題があるのか、またどのような危険に晒されることになるのか解説します。

セキュリティ対策を怠ることで、データが流出したり、企業としても信用問題など多くのことで損害がでてしまうことになります。

今一度、セキュリティ対策を怠るとどのような結果を招くのか確認しましょう。

データの紛失や流出

ファイルサーバーに接続したパソコンがウイルスに感染することで、データが流出してしまう危険があります。

顧客情報や会社の機密情報が流出してしまうと、会社の損失はもちろんのこと取引先や顧客にも迷惑をかけることにもなります。

データの流出によって会社の信用問題も問われます。失った会社の信用はなかなか取り戻せないでしょう。

また、流出してしまった情報を悪用される可能性もあります。データの紛失や流出は、会社にとってとんでもない痛手になります。

データが破壊され使用できなくなる

セキュリティ対策が万全でない場合、サイバー攻撃やウイルス感染などによって、ファイルサーバーのデータが破壊されてしまうこともあります。

ランサムウェアなどに感染してしまうとファイルサーバーやクラウド上に保存されているデータが暗号化され利用できなくなってしまいます。

また、クラウド上にあるデータだけでなく、デバイスの画面についてもロックされ利用できなくなることもあります。

もちろん一度暗号化されてしまったデータは元に戻せません。

上記に加えてデータを流出すると脅されたり、データの復旧を求めると、それと引き換えに金銭を要求されるケースもあります。

過去の情報だけでなく、現在使用しているデータなど全てのデータが破壊されることもあり得ます。

業務に支障をきたすのはもちろんのこと、データ内容によっては会社の信用にも関わるでしょう。

データの改ざんやサービスの乗っ取り

SNSなどのアカウントの乗っ取りや、Webサイトの内容が身に覚えのない内容に勝手に変更されているというような被害に見舞われることもあります。

要するに不正アクセスによってデータを改ざんしたり、サービス自体を乗っ取られてしまう可能性があるのです。

悪質なイタズラ心が動機である場合もありますが、お店や会社の評判を落とすために意図的にデータの改ざんをされてしまう場合もあります。

会社としての評判やブランドイメージも損なわれます。

これらブランドイメージは長年努力して培われてきたものですが、不正アクセスなどによって企業イメージも信用も一斉に失うことになるのです。

セキュリティ対策を行うことで、このような被害にあうリスクを下げることができます。対策できるがゆえに、対策せず放置してしまうと、社会的責任を問われることになります。

データ流出だけではないファイルサーバーの情報漏えいリスク

サーバー攻撃やウイルス感染によってデータが流出したり、改ざんされるリスクについてお伝えしました。ただデータ流出だけではありません。

データ流出の中でも特に問題視されるのが、情報漏えいです。

顧客情報や会社の機密情報など、もしそれらが情報漏えいしてしまったら、会社の社会的責任について問われることになります。

情報漏えいのリスクについて確認していきましょう。

損害賠償の請求

情報漏えいによってその情報に関わる企業や個人への謝罪費用も必要になります。

セキュリティ対策が万全であれば本来かからない費用になりますが、怠ったことでとんでもない額の損害賠償を請求される可能性もあります。

情報が漏えいしてしまうことによって社会的信頼や信用は失われます。

また、信頼を失うことで、売上や企業の業績も悪化するでしょう。

そんな過酷な状態で、謝罪費用や見舞金などを用意しなければなりません。

セキュリティ対策が万全でなければ、厳しい状況に見舞われる可能性があるということを覚えておきましょう。

行政指導と罰則

情報漏えいすると、行政から指導が入る場合があります。

指導が入ることで、業務の停止や免許の剥奪というような罰則を受けることになります。

また、情報漏えいの内容次第では、刑事責任や損害賠償を問われることもあります。

企業にとっても大変な痛手を背負うことになります。世間からも行政指導が入っている会社だという目線で見られます。

一度ついてしまったマイナスイメージを取り払うために、長い時間をかけ地道に対応していかなければならないことになります。

信用の失墜と取引停止

情報漏えいによって会社の機密情報、顧客の個人情報、取引先の情報が流出してしまうことになります。

これらの情報は、悪用される危険性もあります。また会社を信頼した上で、提供していた個人情報もあるでしょう。

情報を流出させた会社として、社会的信用はガタ落ちです。

大事な個人情報を扱っているにも関わらず、セキュリティについて万全に対策ができていなかった、無責任だったと信用が不信感に変わります。

サービスの利用者が減少したり、取引先については最悪の場合、取引停止になってしまうことも考えられます。

ファイルサーバーに必要なセキュリティ対策

社内のファイルサーバーやデータを安全に使用するためには、セキュリティ対策が必要不可欠です。

どのような対策が効果的であるのか確認してみましょう。

また、社内のセキュリティ対策に問題がないか改めてチェックすることも大切です。

ユーザーIDとパスワードの管理

セキュリティ対策の基本的な部分になりますが、IDとパスワード設定は必ず行いましょう。

利用者一人ひとりが各個人のIDとパスワードを入力しなければ、ファイルサーバーにアクセスできないという設定になります。

サーバー管理者からIDとパスワードを付与された利用者のみが、ファイルサーバーにアクセスできる権利を得られるため、誰が利用者であるのか一目瞭然です。

ただし、IDとパスワードがあれば他人でもアクセスできるため、厳重に保管し、人に見られないようにしましょう。

もし他人に見られたり、知られたりしてしまうとデータにアクセスされてしまう危険があります。

アクセスされると情報漏えいやデータの流出というトラブルが起きてしまいます。

アクセス権限の設定

アクセス権限を設定するのもセキュリティ対策として効果的です。

アクセス権限を設定するということはフォルダーやファイルにアクセスできるユーザーを制限することになります。

アクセス権にも下記のように種類があります。

• データへのアクセス権
• データを読み取りモードで閲覧できる権利
• データを編集、書き込みできる権利

データの閲覧のみが可能な権利や、閲覧だけでなくデータの編集もできる権利などがあります。

守秘性があり、そのデータの該当者だけに閲覧を制限したいような内容であれば、データへのアクセス権を制限することも可能です。

使用するユーザーごとに必要な権限を分けて付与することが可能です。

また、使用するユーザー毎にアクセス権を付与するため、セキュリティを強化することができます。

データの不正利用や流出を防ぐ方法としても効果的であると言えます。

アクセスログの取得と監視

アクセスログの監視もファイルサーバーのセキュリティに重要です。

いつだれがどのファイルにアクセスしたかという履歴を残してくれます。

もし、内部で情報漏えいがあったとしてもアクセスログを見たら、個人を特定することができます。

アクセスログや監視の簡単な方法であれば、ファイルサーバーのOS機能を使ってアクセスログを記録することも可能です。

ただ不正アクセスされることを防ぐという観点から考えると、アクセスログ用の管理ソフトを別に購入して対策する方がより効果的でしょう。

また、日頃から不正アクセスはないかアクセスログを確認することも大切です。

セキュリティソフトの導入

セキュリティソフトESETやNonCopy、NIASなどの導入もおすすめです。

ファイルへのアクセス制限や、ファイルの暗号化というようにファイルサーバーに特化したセキュリティ対策が施されています。

他にもクラウドストレージのセキュアSAMBAであれば、セキュリティ対策について標準で搭載しています。

通信とファイルの暗号化やアクセス制限の設定、端末認証、パスワードポリシーの設定などというように安心して利用できる対策やサポート体制についてもばっちりです。

自社サーバーの用意やLinuxサーバーでの運用が難しい場合、セキュリティ対策が万全なクラウドストレージを利用する方法もあるでしょう。

セキュリティに対する再教育と運用ルールの策定

セキュリティソフトの導入やアクセス制限を限定することも大切ですが、セキュリティに対する社内教育や運用ルールを定めることも必要不可欠です。

社内にはITスキルの高い人もいれば苦手な人もいます。

そのため、ファイルサーバーの利用やデータ共有は、どのような点に注意して利用すべきか勉強会や研修の時間を設けましょう。

他にも運用ルールを決める必要があります。

例えば業務が終わらずデータを持ち帰って自宅のパソコンで作業したい人がいるとします。

ただ、個人のパソコンは必ずしもセキュリティ対策が万全であるとは言えません。

自宅のパソコンからデータが流出する可能性もあり得ます。

セキュリティの面から考えるとデータを持ち出すことは危険です。

データが流出したら、取引先や顧客に迷惑をかけることになります。

このようにさまざまな場面を想定して、それぞれの会社に合った運用ルールを決めるようにしましょう。

ファイルサーバーならセキュリティが強固なセキュアSAMBA

ウイルス感染や不正アクセスによるデータ流出は、セキュリティ対策を万全にすることで防ぐことができます。

会社がデータ流出やデータ改ざんの被害を受けてしまうと業務がストップするのはもちろんのこと、多くの人に迷惑をかけてしまうことになります。

ファイルサーバーの利用は、利便性や企業活動の目線からも必要不可欠です。

セキュリティ対策を万全に行った上でファイルサーバーを使用するようにしましょう。

また、ファイルサーバーがオンプレミスであったり、ビジネス向けのサービスでなければセキュリティが強固な法人向けオンラインストレージのセキュアSAMBAのご利用をご検討ください。