トレンド解説

ファイルサーバーのセキュリティ ~ランサムウェア感染への対策も~

アイキャッチ
目次

知っておきたいサイバー攻撃の種類と効果的な対策

サイバー攻撃は、以前であれば愉快犯的な犯行が多かったのですが、近年では明確に情報や金銭を盗み取ることや、特定の企業や団体、組織を窮地に追い込むことを目的とするものが増えています。サイバー攻撃の種類と効果的な対策について解説します。

サイバー攻撃とは

サイバー攻撃とは、ネットワークなどを通じて情報システムやサーバー、パソコン、スマートフォンなどに攻撃を仕掛けることをいいます。攻撃の内容はデータの破壊や改ざん、窃取(盗み取ること)、あるいは他のサイバー攻撃のための踏み台としての利用などです。

サイバー攻撃の対象は企業や団体、政府機関などが挙げられますが、一般家庭や個人が標的とされることもあり一様ではありません。最近ではIoT製品を対象としたサイバー攻撃も警戒されています。インフラや国家を狙い、重大な被害をもたらす可能性のあるサイバー攻撃はサイバーテロとも呼ばれます。

ちなみに、サイバー(Cyber)はもともと「コンピューターの」、「ネットワークの」という意味を持つ接頭辞です。コンピューターネットワークによって作り出される仮想的な空間のことはサイバースペースと呼ばれます。

サイバー攻撃の目的

サイバー攻撃は目的も多岐に渡ります。

不正侵入などのクラッキング技術があることを誇示するため、悪ふざけやある種のゲームとして楽しむためという愉快犯的な動機によるものもあれば、明確な悪意や私怨による攻撃もあります。

企業や企業が運営するサイトがターゲットとなる場合は、個人情報や機密情報を盗み出すことを目的とするケースが目立ちます。またクレジットカードやネットバンキング、仮想通貨などストレートに金銭を目的とした攻撃も増えています。

さらに、政治的な主張や抗議のための政府機関などへの攻撃、原子力発電所などの産業用システムを破壊しようと試みるもの、あるいは政治・経済・軍事情報の窃取(サイバースパイ)などの事例も報告されています。

サイバー攻撃の種類

サイバー攻撃には次のような種類があります。

マルウェア

マルウェアはコンピューターウイルス、ワーム、トロイの木馬、ランサムウェアなど悪意のあるソフトウェア全般を指す言葉です。不正プログラムなどとも呼ばれます。

ウイルスは他のファイルに寄生して増殖するのが特徴です。ファイルの消去、遠隔操作によるデータの盗み見、他のコンピューターへの自己拡散などの動作をします。

ワームは他のファイルに寄生する必要がなく単独で行動します。そして自身の複製を作って増殖していきます。以前はひたすら増殖を続けてハードディスクを圧迫するようなタイプが多かったのですが、近年は静かに潜んでいて目的の情報を見つけて送信するタイプ、攻撃者が侵入するためのバックドアを仕掛けるようなタイプが増えています。

トロイの木馬も宿主を必要とせず、さらに自己増殖もしません。有用または無害なソフトウェアやプログラムだと偽装してインストールや実行を促し、コンピューターに侵入するのが特徴です。そして何らかのトリガーによって動作を開始し、パスワード窃取、バックドア設置、他の悪意あるプログラムのダウンロードとインストールなどを試みます。

ランサムウェアの多くはトロイの木馬として入り込みます。感染した場合、PCはロックがかけられてしまったりファイルが暗号化されたりし使用できなくなります。そして画面上に、もとに戻すことを条件として身代金を要求するという内容のメッセージが表示されます。初期は個人ユーザーを対象としていましたが、近年は企業や公的機関を攻撃するものが増えています。

標的型攻撃

サイバー攻撃の中でも、攻撃者が明確な意志と目的に従って特定の企業や団体、組織、個人などをターゲットに定めて実行するものを標的型攻撃と呼びます。メールに添付したマルウェアなどさまざまな方法を駆使して端末やシステムへの侵入を図り、組織的・持続的に攻撃を行って、情報窃取や破壊を行おうとします。

DoS攻撃

DoS攻撃はターゲットとなるサイトやサーバーに大量のデータを送りつけることで過剰な負荷をかける、あるいは脆弱性を突いて不正処理を行わせることでサービスを妨害するサイバー攻撃です。また、トロイの木馬などのマルウェアを使って複数のマシンを乗っ取り、Dos攻撃を仕掛ける手法はDDoS攻撃と呼ばれます。

水飲み場型攻撃

水飲み場型攻撃はターゲットとなる企業の社員などが普段よくアクセスするWebサイトを特定し、そのサイトを改ざんしてユーザーがアクセスした際にマルウェアをダウンロードさせてPCを感染させるという攻撃方法です。直接ではなく、水飲み場のようによく利用しているサイトで待ち伏せする手法であることからこの名が付きました。

サイバー攻撃に効果的な対策

サイバー攻撃を防ぐまたは回避するには、PCやサーバーへのセキュリティソフトの導入、OSやソフトウェアを最新の状態にアップデートすることが欠かせません。

また、社員やユーザーがセキュリティに関する知識を持ち、リテラシーを高めることで、メールの添付ファイルを安易に開かない、URLのリンクを踏まない、疑わしいサイトを開かないなどの回避行動を取れるよう習慣づけることも大切です。

ただし、サイバー攻撃は常に巧妙化し悪質化し続けています。近年はサイバー攻撃を完全に防御することは不可能だという前提に立ち、実際にマルウェア感染や情報漏えいなどが発生したときのことを想定して、被害を最小限に抑制するための手順を用意するという考えも注目されています。

インシデント発生の検知から状況把握、インターネットとの通信遮断やPC・サーバー・システムの停止、企業内の各部署や取引先への連絡などを速やかに行うことで、少なくとも被害の拡大を食い止めることが可能です。企業内などでこうしたセキュリティに関する問題を専門に取り扱う組織はCSIRT(シーサート)と呼ばれます。

サイバー攻撃の種類は増え続けています。そしてどのような企業であれ、団体であれ、個人であれ、攻撃対象となる可能性は常に存在します。どのような攻撃方法があるのかを知り、組織として対策を立て、従業員一人一人もサイバー攻撃から身を守る術を知っておくことが重要です。

ファイルサーバーのセキュリティ対策

もしもファイルサーバーが悪意ある者に狙われたら、情報漏えいなどによって企業は深刻なダメージを受けてしまいます。ファイルサーバーに収められた重要なデータを守るには何をすべきなのか、ファイルサーバーのためのセキュリティ対策について解説します。

ファイルサーバーのセキュリティ対策が必要な理由

ファイルサーバーには日常業務に必要なさまざまなデータが蓄積されていきます。一方で、製品やサービスに関する機密情報、あるいは社員・顧客の個人情報などの重要データをファイルサーバー上のアクセス制御の厳しいフォルダに格納し、保存・管理している企業も少なくありません。

また、例えば顧客のクレジットカード情報が記載されているファイルを、運用上、多くの社員がアクセスできるファイルサーバー上のフォルダ内に保存するようなケースも考えられます。あるいは、保存したファイルの中に、意図せず重要なデータが含まれていることもあるでしょう。ファイルサーバーに蓄積されるファイル数が多くなればなるほど、たとえ一時的であったにせよ、そのどれかに重要データが含まれている確率は高くなります。

もしも悪意ある者がいて、そのようなファイルサーバー内のファイルを狙ったとすれば、重要なデータが盗まれたり漏えいしたりするかもしれません。また、ランサムウェアの中にはPCだけではなくファイルサーバーのファイルにも攻撃を仕掛けるものが報告されています。ランサムウェアはファイルを勝手に暗号化するなどしてアクセスできなくした上で、金銭を要求する身代金要求型ウイルスとして知られています。

ファイルサーバーのセキュリティリスク

ファイルサーバーが抱えるセキュリティリスクは、上述したようなランサムウェア感染によるものだけとは限りません。

ファイルサーバーに接続しているPCにマルウェアが感染すると、ファイルサーバーのユーザIDとパスワードが窃取されてしまう可能性があります。ユーザIDとパスワードが盗まれれば簡単にファイルサーバーにアクセスされることになり、機密情報や個人情報の漏えいなどのインシデントに直結してしまうでしょう。

サイバー攻撃の中でも標的型攻撃と呼ばれるものは、攻撃者が明確な意志と目的に従って特定の企業などをターゲットにし、組織的・持続的に攻撃を行って情報窃取や破壊を行おうとするものです。標的にされるとメールに添付したマルウェアなどさまざまな方法を駆使して攻撃が繰り返され、ファイルサーバー内の情報も狙われます。

さらに注意が必要なのは、内部犯行が行われるケースです。残念なことに、退職が決まっている社員などがファイルサーバーから重要な情報を持ち出す、盗み出すという事例が急増しています。自身がアクセスできないフォルダにアクセスするためにショルダーハックなどでIDとパスワードを取得し、不正なアクセスや操作によって犯行に及ぶというリスクを想定しておく必要があります。

ファイルサーバーに必要なセキュリティ対策

以上を踏まえて、ファイルサーバー必要なセキュリティ対策にはどのようなものがあるのかを見ていきましょう。

セキュリティソフトの導入

ファイルサーバーに接続するPCにマルウェア対策用のセキュリティソフトを導入することはもちろん、ファイルサーバー保護に特化したセキュリティソフトの導入も検討しましょう。ファイルの暗号化、フォルダへのアクセス制限、エンドポイントセキュリティなどの対策ができるソフトが用意されています。

また、ファイルサーバーからアクセスするPCを制限し、ファイルサーバーから外部にファイルをコピーすることを禁止する機能を持つソフトもあります。さらに、ファイルサーバー上のすべてのファイルを検索して、個人情報などが含まれたファイルの有無を確認できるソフトもよく利用されています。

アクセス権の設定と管理

ファイルサーバー上のフォルダに対するアクセス権の設定は必須です。日常業務で使用するファイルを蓄積していくフォルダとは別に特別なフォルダを用意し、重要なデータはそのフォルダにのみ保存することを徹底します。またそのフォルダを安全に保護できるよう厳格なアクセス権制御を行いましょう。さらに、管理者以外がそのフォルダにアクセスする場合は申請を義務付けるなどのルールを設けることも必要です。

さらに付け加えるなら、最重要なデータに関してはファイルサーバーではなく、LANと完全に切り離されたシステム内に保存・保管することが原則です。

IDとパスワードの管理

IDとパスワードを社外などに漏らさないことも非常に重要です。ファイルサーバーを利用する社員全員が、高いセキュリティ意識を持ってIDとパスワードを管理する必要があります。そのためのセキュリティ教育や周知活動を定期的に実施しましょう。

アクセスログの取得および監視

ファイルサーバーのアクセスログの取得と監視も必須事項です。ファイルサーバーのOSの機能を利用してアクセスログを記録することも可能ですが、複雑なアクセスログを可視化して不正な利用などを簡単に見つけ出すには、市販されているアクセスログ管理ソフトが役に立つでしょう。

ファイルサーバーの利活用においては、セキュリティ対策が欠かせません。ファイルサーバーを監視してランサムウェアの攻撃をブロックしてくれるセキュリティソフトやアクセス管理ソフトなどを賢く取り入れ、運用の負担を抑えながらセキュリティを強化すると良いでしょう。情報漏えいのリスクが大きくなっていないか、今一度確認しておくことをおすすめします。

ファイルサーバーにおけるウイルス対策の必要性

社内で使用するPCについては、セキュリティソフトをインストールするなどしてウイルス対策を行っているという会社が大半でしょう。しかし、ファイルサーバーに対しては、それができていない会社もあるようです。現実にはファイルサーバーもウイルスの脅威にさらされており、セキュリティが甘ければ重要なデータの消失あるいは流出を招いてしまいかねません。ファイルサーバーにおけるウイルス対策の必要性について、まず知っておくべきことを整理してご紹介します。

ファイルサーバーがウイルスに感染した場合の被害

社内の多数のPCからアクセスしてデータの共有や交換を行うことができるファイルサーバーは、その便利さと引き換えにウイルス感染のリスクも抱えています。

最も気をつけるべきなのは、社員が使用するPCがウイルスに感染し、その影響がファイルサーバーにまで及ぶケースです。Windowsだけではなく、Linuxの場合もウイルスに感染する危険性はあります。

例えば社内のPCがランサムウェアに感染すると、ファイルサーバーの共有フォルダ内のデータが暗号化されて使用不能になることがあります。その後、暗号化されたファイルを元に戻すためには「身代金」を支払うよう要求されますが、仮に要求どおりにしたとしても暗号化されたファイルが元どおりになる保証はどこにもありません。

また、ファイルサーバー内のexeファイルがウイルスに感染した場合には、ファイルサーバー経由でさらに多くのクライアントPCへとウイルスを拡散してしまう危険性があります。ファイルサーバーが被害を広げる踏み台に利用され、各拠点のPCや、場合によっては外部へも被害を広げてしまうかもしれません。

ファイルサーバー、またはファイルサーバーに接続されたPCがウイルスに感染したときに危惧すべきもう一つの問題は、データファイルの消失や流出です。とくに顧客情報や個人情報、機密情報などの重要なデータの漏えいは会社経営に対する大きなダメージに結びつきかねません。情報を悪用されれば取引先や顧客の信頼を失い、企業としての責任問題や賠償問題に発展するケースも考えられます。

ファイルサーバーに必要なウイルス対策

クライアントPCだけではなく、ファイルサーバーにもセキュリティソフトの導入が必要です。ファイルサーバーがウイルスによる感染を防ぐのはもちろん、異常なアクセスがあった場合にその経路を検知して、どのPCがウイルスに感染しているかを特定する機能などを持ったファイルサーバー用セキュリティソフトが市販されています。

またランサムウェア対策として、ファイルサーバーの定期的なバックアップを実施し、万一のときにいつでも重要データを復旧できる体制を整えておくことも重要です。

OS、ハードウェア、ソフトウェアの脆弱性をカバーするための作業も欠かせません。各ベンダーから提供される修正プログラムを適用するなどのアップデートを欠かさず、常に最新の状態を保つようにしましょう。

他にもファイアウォールを設定することや、ファイルサーバーを運用するにあたって不要なサービスや補助機能などをオフにしておくことなどもウイルス対策として効果があるでしょう。

サーバーに接続するPCのウイルス対策も万全に

ファイルサーバーがウイルスに感染する原因の多くは、サーバーに接続するPCのウイルス感染です。そのためこれらのクライアントPCのウイルス対策も万全にしておく必要があります。当然ながらPCにもセキュリティソフトをインストールし、なおかつウイルス定義ファイルを最新の状態し、セキュリティアップデートを実行しておきましょう。OSや常用しているソフトウェアについてもアップデートを行い、最新状態を保っておくことが欠かせません。

PCのウイルス感染は、メールの添付ファイルや本文に記されたURLリンクを不用意に開いてしまったり、信頼できないサイトで配布されたプログラムをインストールしてしまったり、ウイルスを仕込んだUSBメモリを接続したりということが原因で起こります。また、通常ファイルサーバーにアクセスしている業務用PC以外の、個人使用のPCをファイルサーバーと接続することも非常に危険です。

こうしたことを踏まえ、PCを使用する社員に対してはこれらの行動に気をつけるよう周知しなければなりません。社員に対するセキュリティ教育を徹底することが、結局はウイルス感染を防ぐ最も有効な方法となります。

さらに付け加えるなら、もしもPCがウイルス感染していることが分かった場合は、すぐにPCをネットワークから切り離すことが重要です。LANケーブルを取り外すだけではなく、Wi-Fi機能がある場合はそちらも切断してください。

ファイルサーバーがウイルスに感染すると会社経営に支障をきたすなど甚大な被害を受ける可能性があります。ウイルス対策、セキュリティ対策をしっかりと確立し、ウイルスからファイルサーバーと重要なデータを守ってください。

ランサムウェアの感染経路と感染時の対処法

マルウェアの一種であるランサムウェアに感染すると、PCがロックされる、ファイルが暗号化されるなどの被害を受けて使えなくなり、再度利用するためには金銭を支払うよう促すメッセージなどが表示されます。企業がこのランサムウェアに狙われるケースが増えています。ランサムウェアはどのようにして感染するのか、そして感染時にはどのように対処すべきなのか、ランサムウェアについて知っておくべきことをご紹介します。

ランサムウェアとは

ランサムウェアとは、感染することでPCやスマートフォン、企業の情報システムなどを使用不能な状態にし、もとに戻すことを条件として金銭を要求するマルウェア(不正プログラム)です。ランサム(Ransom)とは身代金のことです。

ランサムウェアにはPCをロックするものやハードディスク内のファイルを暗号化するものなどがあります。初期のランサムウェアは主に個人ユーザーを対象としていましたが、近年は企業や公的機関を狙うものが増えています。

ランサムウェアに感染するとどうなるのか

ランサムウェアに感染すると画面がロックされてPC自体が使えなくなったり、PC内の特定のデータにアクセスできなくなったりします。そして画面に警告が表示され、もとに戻すためには一定時間内に金銭を支払うよう要求されます。支払い方法には銀行振込やクレジットカード決済のほか、仮想通貨のビットコインやオンライン決済できる商品券なども用いられます。

ランサムウェアの中には感染したPCから他のPCへ自動感染したり、アクセスしたサーバーに攻撃を加えたりするものもあります。そのため企業がランサムウェアに感染した場合、ファイルサーバーの中の重要なデータが暗号化され、長時間に渡って業務がストップさせられるようなケースに発展することも考えられます。そうなれば身代金を支払ったとしてもデータが復元される保証はなく、自力で復旧を目指すにも多大なコストを費やすことになってしまうでしょう。

ランサムウェアの感染経路

ランサムウェアの感染経路はさまざまです。

多くはメールの添付ファイルやURLリンク、SNSやメッセージソフト上のURLリンク、不正なまたは改ざんされたWebサイト、ダウンロードしたファイル、USBメモリなどから感染します。悪意あるWebサイトに誘導されるとPC内のOSやソフトウェアの脆弱性を探索して攻撃するハッキングツールが実行され、脆弱性が見つかるとランサムウェアに感染させられるという例が典型的です。

特定のWebサイトに誘導する手口も巧妙化しています。ブラウザを使っていくつかのサイトを閲覧していると、文字化けが発生しているためにフォントのインストールが必要という趣旨のメッセージが表示され、指示に従うとランサムウェアがインストールされるというケースもあります。

これらを防ぐには、OSやソフトウェアのアップデートを徹底し、最新の状態にして脆弱性を修正しておくことが第一に必要です。また、セキュリティソフトを導入することで、ランサムウェア本体の検出や、ランサムウェアを呼び込む不正プログラムの活動の検知が可能になります。

さらに、PCを使用する個人の防御意識を高めておくことも求められます。添付ファイルを安易に開かない、URLを踏まない、怪しいサイトにアクセスしないなどの基本的なことを徹底するだけでも、ランサムウェア感染のリスクは軽減します。

感染したときの対処法

対策を講じていてもランサムウェアに感染してしまうケースはあります。実際に画面にメッセージが表示され、感染したことが分かったときの対処法は次の通りです。

原則として、金銭は支払うべきではありません。金銭を支払っても実際に暗号化されたファイルの解除などが行われる確率は低く、逆に金銭を支払ったことでその情報が広まり、今後も別のサイバー攻撃の標的にされることも考えられます。また成功例を作ることが、ランサムウェア攻撃を増やす契機になる可能性についても考慮すべきでしょう。

感染が発覚したら、まずは感染したPCをネットワークから切り離しましょう。ネットワークを通じて他のPCやファイルサーバーにまで被害が及んでしまうのを防ぐためです。

次にセキュリティソフトによるランサムウェアの駆除を試みましょう。セキュリティソフトベンダーからは、ランサムウェアで暗号化されたファイルの復号ツールなども提供されています。すべてのファイルがもとに戻るとは限りませんが、試してみる価値はあります。

ファイルの復号やPCの復旧がうまくいかなかった場合には、ハードディスクを初期化し、バックアップから復旧する方法を試してください。もちろん、前もってバックアップを取っていなければこの方法を実行することはできません。つまり、日頃から定期的にバックアップしておくことがランサムウェア対策には非常に有効です。ファイルサーバー上の重要データなども同様です。必ずネットワークに常時接続されていない記録装置にバックアップを取っておくことをおすすめします。

ランサムウェアの感染は、企業にとって大きなダメージとなることが少なくありません。普段から警戒を怠らないことと併せて、感染した場合に備えてマメにバックアップを取るなどの対策をしておきましょう。

ウイルス対策だけでは不十分? エンドポイントセキュリティとは

近年、サイバー攻撃の巧妙化・複雑化によって、従来のウイルス対策ソフトだけではウイルスの侵入を防ぎきれないという状況が現実のものとなっています。そのため、新たなセキュリティ強化に有効とされているのが「エンドポイントセキュリティ」です。エンドポイントセキュリティの概要とその重要性について解説します。

エンドポイントセキュリティとは

エンドポイントセキュリティとは、サーバー、クライアントPC、スマートフォン、タブレットなどのネットワークに接続された端末をサイバー攻撃の脅威から守るセキュリティ対策のことです。エンドポイントとは終点、末端を表す言葉です。

エンドポイントセキュリティでは、端末と端末内の情報を守ることに重点を置いたセキュリティ対策を施します。また、端末自体がウイルスの感染経路となって社内のシステムに感染することを防ぐような機能も備わっています。

エンドポイントセキュリティとウイルス対策ソフトの違い

従来、PCにインストールするセキュリティソフトといえば「ウイルス対策ソフト」が中心でした。その目的はウイルスの感染やマルウェア(悪意のあるソフトウェア)の意図しないインストールを防ぐことにあります。そのためにはファイアウォール、IDS(不正侵入検知)・IPS(不正侵入防御)なども駆使しつつ、ウイルスの組織内ネットワークへの侵入を外部ネットワークとの境界(ゲートウェイ)で食い止めること、さらに感染した瞬間にそれを検知してウイルスを駆除・隔離する方法が有効だと考えられました。

しかしウイルス対策ソフトには限界があります。ウイルスを検知するにはそれぞれのウイルスの特徴を把握して作成するパターンファイルを用意しなければなりません。しかしパターンファイルの構築には一定の時間が必要であり、最新のパターンファイルが適用されるまでの間に侵入される可能性があります。これがゼロデイ攻撃と呼ばれる攻撃です。

これに対し、エンドポイントセキュリティは端末を守ることを主眼にしたセキュリティ対策です。ゲートウェイでウイルスの侵入が防げなかった場合も想定し、複数の機能を備えているのが一般的です。製品によってその内容は異なりますが、主な例は次の通りです。

  • 不正な挙動の検知
  • ウイルスに感染した後の迅速な対応
  • 端末に保存しているデータの暗号化
  • スパムメール対策
  • ID管理

これらのような機能によって端末の安全を守ります。ウイルスの検知だけではなく、検知した後の封じ込めや調査、復旧を行うための機能、またデータを盗まれたとしてもその悪用を防ぐための暗号化機能などを備えているということです。

それゆえ、ウイルス対策ソフトは入口対策、エンドポイントセキュリティは出口対策だといわれることもあります。企業としてはその両方を導入することでセキュリティ対策をより強化することができます。

エンドポイントセキュリティの重要性

エンドポイントセキュリティが注目されるようになった背景には、近年のサイバー攻撃の狙いがピンポイントで端末や端末内のデータを狙うものに変化してきたという事情があります。

具体的には端末内の重要データを盗み出すものや、ランサムウェアと呼ばれるマルウェアを仕掛けて端末をロックする、またはファイルやフォルダを暗号化して使用不能にし、その復旧と引き換えに身代金を要求するという類いのものが増えています。

これは、以前のサイバー攻撃の傾向がクラッキングの技術を見せつけるものだったり、愉快犯的な動機だったり、単にサービスやシステムを停止させるもだったりしたのに対し、現在は明確に実利を得るための攻撃が多くなっているということでもあります。

また、そのための方法も念入りで執拗なものに変わってきています。標的を定めるとその標的を攻略するための作戦を立て、関係者になりすましたり、ある程度の時間をかけて信頼関係を築いてから攻撃を開始したりする手法も見られます。これらは標的型攻撃と呼ばれ、完全に防ぐことは難しいといわれています。さらに、標的型攻撃で使用されるようなウイルスやマルウェアは、感染したこと自体が分からないものが増えています。

こうした巧妙化・複雑化した攻撃に対しては、ゲートウェイで防御するだけでは不十分と言わざるを得ません。万一、ゲートウェイを突破された場合、つまり攻撃に気づかなかった場合には、自由に攻撃者がデータを操作できる状況が生まれてしまいます。もし端末が乗っ取られてしまえば、外部のサーバー内のデータも盗まれたり改ざんされたりという危険にさらされることとなります。ゲートウェイでできるだけ防御することはもちろんですが、同時に端末と端末内の情報を守ることも重要です。どちらが欠けてもセキュリティは万全とはならないでしょう。

今後、さらに多くの企業でエンドポイントセキュリティの導入が進んでいけば、導入していない企業が攻撃対象として狙われやすくなるという状況になることも考えられます。社内の重要なデータを守るために、エンドポイントセキュリティによるセキュリティ強化を検討してみてはいかがでしょうか。

ファイルサーバーのアクセスログ取得方法

ファイルサーバーを導入する上で考えておきたいのがアクセスログの取得です。アクセスログにはどのような役割があり、またどのような方法でアクセスログを取得すればよいのかなど、ファイルサーバーのアクセスログについて解説します。

ファイルサーバーのアクセスログ取得・監視はセキュリティ対策に効果的

ファイルサーバーのアクセスログとは、ファイルサーバーに対するクライアントPCなどの端末からの接続や操作の履歴のことを指します。アクセスログには通常、日時や送信元・送信先のIPアドレスや命令の内容などが記録されます。すなわち、いつ、どの端末を使って、どのような操作がなされたかなどが分かります。

ファイルサーバーは多くの企業で業務に必要なデータの共有や交換、管理に利用されています。しかし、便利な半面、重要なデータの流出というリスクを常に抱えているともいえます。とくに近年では、内部犯行ともいえる関係者などによる重要データの不正持ち出しや情報漏えいが発生し、大きな問題となっています。つまり、社内の人間によるファイルサーバー内の情報の持ち出し、あるいは外部からの不正操作による情報の剽窃によって、企業経営に深刻なダメージが及ぶ危険性が高くなっています。

アクセスログの取得・監視は、これらファイルサーバーからの重要データの流出を抑制するために役立ちます。また、被害が発生したときの原因究明にも効果が期待できます。例えば従業員などが不正にファイルサーバーからデータを持ち出した場合はアクセスログをその証拠として提出することができるでしょう。あるいは外部からの不正アクセスがあった場合も、アクセスログによってその事実を証明することが可能です。

ファイルサーバーのセキュリティ対策としては、サイバー攻撃を防御するためのウイルス対策ソフトや、サーバー、クライアントPC、スマートフォン、タブレットなどのネットワークに接続された端末をサイバー攻撃から守るエンドポイントセキュリティなども有効です。それらに加えて、ファイルサーバーのアクセスログを取得・監視することで、より強固なセキュリティ環境を作り上げることができます。

アクセスログを取得する2つの方法

アクセスログを取得するにはいくつか異なる方法があります。ここでは代表的な2つの方法をご紹介します。

パケットをキャプチャする方法

ファイルサーバーと端末間のネットワーク上でやりとりされるパケットを取得し、その情報を解析してアクセスログを生成する方法です。ファイルサーバーに対するすべてのアクセスを高い精度で監視可能です。また、Windowsだけではなく、Linuxなど他のOSで動くファイルサーバーでもログ取得できます。

取得できる情報は、アクセスの発生日時、クライアント・サーバーのIPアドレス、クライアントOS、ユーザーアカウント名、ログオン・ログオフ・リード・コピーなどのメッセージ、対象リソース・オブジェクト名、接続中の共有名などです。また、使用するツールにもよりますが、稼働状況のモニタリング、ファイルやフォルダに設定されているアクセス権の設定変更監視、異常なログを検知したときのアラート通知などの機能が備わっている場合もあります。

Windowsのイベントログを収集する方法

Windowsに備わっているイベントログ機能を使ってアクセスログを収集する方法もあります。例えばファイルアクセス関連ではログイン、ファイルオープン、ファイルアクセス、ファイルクローズ、ログオフなどの情報をイベントログに残すことができます。

イベントログにはアクセスログ監視のために必要のないデータも含まれるため、ログのサイズが大きくなるなどの問題もあります。しかし、その中から必要な情報のみを抽出してアクセスログとして収集するものなど、イベントログをファイルサーバーのアクセスログとして利用するためのツールも存在します。

アクセスログを管理するときの注意点

アクセスログを管理する際は、まずシステムの時刻を同期しておく必要があります。同期が取れていないとログファイルの正確さが損なわれ、検査や監視にも支障をきたすおそれがあります。

また、取得したアクセスログは定期的に確認することが必要です。当然ながらログを取得するだけでは意味がなく、問題があったときにそれに気がつく必要があるからです。問題を検知してアラートを発するようなソリューションの活用も有効でしょう。

その他には、アクセスログのバックアップを取っておくこと、そして何か問題が起きたときにいつでも見直せるように長期間、保存しておくことも必要です。保存期間は各企業で決めるべきですが、不正が起きてしまった場合はその事実が数年後に発覚するケースもあります。ファイルサーバーのアクセスログを監査証跡の一種と考えるなら、3~5年分は保存しておくべきでしょう。

ファイルサーバーを運用するにあたり、アクセスログの取得は必須といってよいほど重要度を増しています。自社にとって最もマッチする取得方法を選び、有効に活用してください。

記事を書いた人

ソリトンシステムズ・マーケティングチーム