ユーザーアカウントをチェックしよう

　現在、NASに登録されているユーザーをきちんと把握できていますか？

　もちろん今、NASが普通に運用されている状態なら、オフィスにいるユーザーのアカウントが全て登録されていることは、設定画面を開かずとも分かるでしょう。

余計なアカウントを無効化しよう

　しかしその中に、すでに退職した人のものや、NASの機能をテストするときに使ったものなど、不要なアカウントは残っていませんか？

　こうしたアカウントは、テレワークでNASを外出先からアクセス可能にする際、セキュリティ上の欠点となってしまう可能性があります。

　中でも、テスト用のアカウントは「testuser」や「user001」など、シンプルかつ想像しやすい文字列で構成され、しかも「password」や「123456」など推測しやすいパスワードのままで放置されている可能性があります。

　もちろん、テスト用のアカウントを継続して使うのであれば、パスワードの変更を前提に残しておくことを検討しても構いませんが、基本的には以下で述べるadminアカウントと同じことを心掛けるべきです。

　標準で登録されているadminアカウントの無効化も検討しましょう。もちろん、何も考えずに無効化してしまえばNASを管理できなくなってしまうので、管理者用に別のアカウントを作成し、そのアカウントをadministratorsグループに所属させます。そして、普段の管理には、このアカウントを利用し、その後、標準のadminアカウントを無効化するといいでしょう。

QNAP製NASの場合、ユーザーのアカウントプロファイル画面で無効化できる

ユーザーグループも再確認しておこう

　続いてユーザーグループをチェックします。

　グループは、複数のユーザーをまとめることで、共有フォルダーへのアクセス権をまとめて設定するときなどに使うものです。このため、通常は部署単位で設定されることが多いでしょう。

　しかし、組織変更などが繰り返し発生すると、このグループが実際の組織と合致しなくなる状況が多発します。

　この機会にもう一度グループをチェックして、適切なグループに適切なユーザーが含まれていることを確認しましょう。

　中でも要注意なのは、管理者権限が与えられた「administrators」などのグループです。場合によっては、前述したテストアカウントなどがadministratorsグループに含まれている場合もあるので、最低でも、このグループだけは必ずチェックをしておきましょう。

グループが実際の組織と合致しているか、administratorsグループに余計なユーザーが含まれていないか要チェック

ユーザーアカウントのパスワードも変更しよう

　アカウントの確認では、パスワードをチェックしておくことも重要です。

　クラウドサービスのパスワードは、外出先からのアクセスも可能なことから、比較的複雑なものが設定されていたり、2段階認証が併用されているのが一般的です。しかし、クローズドな環境での利用が一般的なNASにおけるユーザーアカウントのパスワードは、単純なものに設定されているケースもよくあります。

　管理者アカウントのパスワードを複雑に設定しておくことは当然ですが、問題はユーザーアカウントのパスワードです。

　管理画面から複雑なパスワードを強制することも可能ですが、基本的にパスワードはユーザー自身に設定してもらう必要があるので、社内のユーザーにパスワードの確認を呼び掛け、変更してもらいましょう。

　NASの場合、ユーザー自らがウェブブラウザーからNASにアクセスすることで、アカウントのパスワードを変更できるので、方法を説明する簡単な文書をあらかじめ作成しておくことをお勧めします。

　普段は、パスワードの変更を訴えても、なかなかユーザーが自ら行動してくれることはありませんが、“テレワーク”というお題目があれば、変更を強制するきっかけにしやすいでしょう。

　この際、パスワードを複雑にしないと、外出先からのアクセスを許可しないというルールにしてもいいでしょう。

　なお、ユーザーにパスワード変更をお願いする前に、パスワードのポリシーをあらかじめ設定しておきましょう。文字数や数字や記号の有無などを強制できます。

　NASによっては、定期的なパスワード変更を強制することもできますが、定期的な変更は必ずしもセキュリティ対策につながらないというのが昨今では常識になりつつあります。このため、定期的なパスワード変更はオフのままでいいでしょう。