32. ネットワークやフォルダのアクセス権の考え方

社内ネットワークの情報にアクセスできる人を限定するためには、共有するフォルダそれぞれに、アクセス権の設定をする必要があります。

社内ネットワークの管理者は、アクセス権の設定について適切なルールを策定し、運用できるように工夫しましょう。今回は、ネットワークやフォルダのアクセス権についてご説明します。

社内ネットワークのフォルダにはアクセス権を設定すべき

社内ネットワークを利用すれば、社員一人ひとりが、各自で会社の情報にアクセスできるようになります。しかし、会社には重要な情報資産があるため、社員全員に公開したくない情報もあるでしょう。そのような場合、情報によって閲覧したり編集したりできる人物を一部に制限するようにすると良いでしょう。

ネットワーク上で共有されているファイルにアクセスできる権限のことを、「アクセス権」と言います。ネットワーク管理者は、ファイルに対してアクセス権を設定することで、情報にアクセスできる人物を制限することができるようになるのです。

共有アクセス権とNTFSアクセス権の関係はどうなっている?

Windowsでアクセス権を設定する場合、まずは共有フォルダを作成します。フォルダを共有するには、フォルダのプロパティから「共有」タブをクリックし、「このフォルダを共有する」を選べば、共有することができです。

さらに、「共有アクセス許可」でフォルダにアクセスできる人物に制限をかけることができます。このようにして設定されたアクセス権を「共有アクセス権」と言います。

なお、アクセス権には、共有アクセス権以外に、「NTFSアクセス権」と呼ばれるものがあります。NTFSアクセス権は、NTFSというファイルシステムを利用しているフォルダに設定できるアクセス権です。NTFSアクセス権はフォルダの共有に関係なく設定できるので、ネットワーク経由のアクセスに限らず、ローカルアクセスについてもアクセス権を設定できます。

社内ネットワークで共有するフォルダにアクセス権を設定するには、共有アクセス権とNTFSアクセス権の両方を与える必要があります。複数のアクセス許可がある場合には、それぞれのアクセス許可が適用されることになりますが、アクセスの拒否設定があるときには拒否が優先することになります。

共有アクセス権の種類と実行可能な機能について

共有アクセス権として設定可能なアクセスの種類は、「フルコントロール」、「変更」、「読み取り」の3種類です。

・フルコントロール
「フルコントロール」の権限が与えられている場合、ファイルの読み取り、ファイルの作成と上書き、ファイルの削除、ファイルやフォルダの一覧表示、フォルダの作成と削除、ファイルやフォルダに対するアクセス権設定という全ての機能を実行できます。

・変更
「変更」の権限を持っている場合には、ファイルやフォルダに対するアクセス権の設定はできませんが、そのほかの機能についてはフルコントロールと同じ権限があります。

・読み取り
「読み取り」の権限がある場合には、ファイルの読み取り、ファイルやフォルダの一覧表示のみができます。

社内のフォルダを効果的に運用する方法

社内ファイルサーバーの情報を管理するときには、実際にどのような運用をしたら良いのでしょうか。

1つの方法として、社内ファイルサーバーの情報を、「全社で使用するデータ」、「各部門内の業務に関するデータ」、「それ以外のデータ」の3つのフォルダに分けるという方法があります。

さらに、部門ごとのデータは、年度ごとに分けると良いでしょう。年度ごとに新規フォルダを作成することで、組織変更にも対応しやすくなります。また、古い年度のフォルダは読み取りのみのアクセス権を設定することで、誤って書き換えられてしまうといったリスクを減らすができるでしょう。一定期間以上経過したフォルダは削除するという運用にすれば、不要なファイルがいつまでも残っていてサーバーに負担がかかるという状態も解消できます。

情報を知るべき人のみがアクセスできるように、アクセス権を設定することで、企業の情報資産を保全管理しやすくなるでしょう。社内ネットワークの情報にアクセス権を設定していない場合には、これから設定することの検討をおすすめします。

情報漏洩対策におけるログ管理

ログ管理とは?

「ログ管理とは何?」という人から、さらに活用したい人まで、ログ管理をわかりやすく説明します。 > ログ管理とは?