明日からテレワーク! 最低限チェックしたいNAS&ルーター安心・便利設定
NAS編 第7回
アクセス権を確認しよう
2020年4月15日 11:02
これまでは主に外部からの不正アクセスを防ぐための設定を紹介してきましたが、今回は内部からの情報漏えいを防ぐために必要な設定を紹介します。
共有フォルダーのアクセス権
テレワークの場合、ユーザーが自宅や外出先からNASに保存されたデータへアクセスできるようになります。
周囲に第三者の目がない環境では、設定ミスによって他部署の共有フォルダーが表示されたとき、普段、オフィスで利用する場合と違い、興味本位でアクセスしてしまう人がいても不思議ではありません。
このため、共有フォルダーのアクセス権を再度チェックしておくことをお勧めします。
もちろん、共有フォルダーのアクセス権が正しくても、そのベースとなるユーザーやグループの設定にミスがあると、本来ならアクセス権がないユーザーが、特定の共有フォルダーを参照できてしまう可能性があるので、ユーザーとグループの設定が正しいことが前提条件となります。
アクセス権の設定で注意が必要となるのは、余計なグループが含まれていないかどうかです。中でも注意が必要なのが、次の2つのグループでしょう。
- everyone
- administrators
「everyone」は文字通り、NASに登録されている全ユーザーを指します。例えば、共有フォルダーにこのグループの「読み取り」権限が含まれている場合、特定のグループだけでなく、全ユーザーが対象の共有フォルダーにアクセスできてしまいます。
everyoneにアクセス拒否が設定されていれば問題ありませんが、読み取りや書き込みが許可されている場合は要注意です。
一方の「administrators」は、共有フォルダーの管理やバックアップを目的として、アクセスが許可されているケースがあります。しかし、administratorsに本来所属すべきでないユーザーが含まれている場合などに、全共有フォルダーへのアクセスが許可されてしまうことがあります。
バックアップに影響する場合があるので、一概に無効にするわけにはいきませんが、administratorsグループの設定は、再度確認しておくことをお勧めします。
アプリのアクセス権
海外製の多機能なNASの場合は、共有フォルダーだけでなく、アプリのアクセス権にも注意が必要です。
テレワークの際、ウェブブラウザーでNASへアクセスすると、画面上(もしくはメニュー内)に利用可能なアプリが一覧表示されます。ここにどのアプリが表示されるかは、ユーザーに設定されたアプリへのアクセス権によって決まります。
一般的なテレワークであれば、ファイルを操作するためのアプリ(QNAPの場合であれば「File Station」アプリ)のみが利用できれば十分ですが、写真を表示するためのアプリなどが表示されると、NASが想定外の使われ方をしてしまったり、意図しない画像データがリモートから参照可能になってしまう可能性があります。
QNAP製NASの場合、アプリのアクセス権はユーザーごとに個別に設定できますので、多少時間は掛かりますが、必要なアプリのみを許可するように設定を変更しておくことをお勧めします。