人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

社内LANファイルのセキュリティについて。

社内の共有サーバー上にあるファイルの、不正コピーを防ぐ方法を探しています。

だいたいはWindowsやsambaで共有フォルダをつくって
ファイルをそこに置いて、みんなで自由に削除やコピーができると思います。

これを、USBへの保存やFTPやヤフーメールなどへ添付して送信などの、
外部へファイルを持ち出せない仕組みを希望しています。

社内LANで使う分には削除や移動・コピーなどを自由にできないと不便なので、
外部へ持ち出せない方法、としてアドバイス頂けますと助かります。

以前、某大企業(非IT系)で働く人が、
やめる際に重要なデータをしこたまとってやめたというのを聞いたことがあり、
セキュリティ対策をしっかりしておこうと思っています。

特にIT系は比較的自由にファイルアクセスができないと
いろいろ不便なので、どうしているのか気になります。

よろしくお願いします。

●質問者: onigirin
●カテゴリ:コンピュータ
✍キーワード:samba Windows アクセス アドバイス コピー
○ 状態 :終了
└ 回答数 : 8/8件

▽最新の回答へ

1 ● kaz0419
●17ポイント

こんばんわ。

やりたい事をファイルサーバ上の設定だけではおそらくきっと無理です。

実現方法は次の通りです。

1.USBストレージへのコピー

・端末がActive Directory(以下、AD)環境下にあるのであれば、端末がUSBストレージの使用を禁止する

セキュリティルールをAD上で設定する

http://www.atmarkit.co.jp/fwin2k/win2ktips/629usb2/usb2.html

2.FTPの利用

・社外にFTPされないように、社内のファイアウォール上でFTPの通信は、インターネット上と

通信できないように設定する

→通常、通信可能にはしませんが・・・。

・仕事上、企業同士でデータのやりとりにFTPを利用したりしますので、

FTPができる端末を特定しておくのも方法の一つだと思います。

3.Yahooメール(Webメール)の添付

・様々なWebメールがありますが、ファイアウォール上で各WebメールのURLを接続禁止サイトとして登録。

・使用されているファイアウォールのメーカに問い合わせて、メーカが提供しているリストファイルを

読み込む事が可能か確認してみてください。

以上、よろしくお願いします。

◎質問者からの返答

どうもありがとうございます。

一つずつ対策が必要そうですね。

FTP禁止にしても、ファイルアップロードサイトにされると意味ないですねぇ。

アップロードもFTPも使えないと、

今度は簡単な画像アップなどの作業も不可能になるので、悩みどころです。

はてなのようなプログラマーベースのIT系の場合、

多くの人がある程度重要なデータにアクセスしてコピー可能な気がしますが、

だいたい良心に頼るしかない状況なんですかねぇ・・・。


2 ● ねこまじん
●17ポイント

本当に厳しいセキュリティを施すのであれば、USBは殺します。(使えないようにする)

PCも書き込み可能なドライブを持ったPCは導入しません。(フロッピーも不可)

顧客情報などの重要な情報は、物理的にも隔離された部屋に設置します。

顧客情報などの重要な情報は特定の人間だけしかアクセスできないようにします。

さらに重要な情報はイントラネットからも遮断して守ります。

プライバシーマークを取得しようとすると、これぐらいは当たり前って感じで求められます。

http://privacymark.jp/


不便で不便でしょうがないんですが、

人が本気で不正行為を働こうとするのを防ぐには、これぐらいしなければダメなのだと思います。

◎質問者からの返答

どうもありがとうございます。

プライバシーマーク、かなり厳しいのですね。

確かにここまでやれば、流出確率は激減しますね。

ただ、IT仕事の場合、とてつもなく不便で技術者はいやがりそうですねぇ。。。


3 ●
●16ポイント

USBはグループポリシーで規制できます。

http://www.microsoft.com/japan/windowsserver2003/activedirectory...

完全禁止でなく、ログを取りたいという場合には有料ソフトが必要でしょう。

http://hitachisoft.jp/products/hibun/


FTPはハードウェアのファイアウォールでポートを塞ぎましょう。

どうしても外部と通信が必要という場合には申請ベースで穴開けしてやればいいです。


メールは添付ファイルの種類や容量の制限を行い、フィルタリングしたりログを採取するシステムを導入。

http://www.hitachijoho.com/wiseaudit/product/index.html?banner_i...

http://www.logcube.net/function/deterrent1.html

と、ここまでやっても、最近はhttpsで外部と通信するようなソフトなどもあります。

あとはPCモニター監視ソフトなどを入れたり、シンクライアントを導入してローカルPCには

一切データを置かないようにするなどの処置が必要になります。

予算次第ですが掛けようと思えばきりがありません。

結局は人心に頼るところが多いので、セキュリティ・コンプライアンス教育をしっかり行うことが重要です。

◎質問者からの返答

どうもありがとうございます。

FTPはけっこう簡単な更新で常時使うので、そのあたりが悩みどころです。

FTPパスを盗られても、サーバー側でIP制御すればいいのですが、

よそのFTPへファイルを送られるのだけを阻止するのは難しそうですね。

ローカルPCにはデータはありませんが、共有ファイルサーバーのデータを

持って行かれると面倒だなあとちょっと感じてます。

やっぱりIT系はどこも、人心に頼ってるんですかねぇ。


4 ● yofukaci
●16ポイント

>これを、USBへの保存やFTPやヤフーメールなどへ添付して送信などの、

>外部へファイルを持ち出せない仕組みを希望しています。

USBはすべて閉鎖

WEBメールもすべて禁止

FTPも中止(FTP更新できる端末を1台とかにする)

インターネット接続も禁止(ネット端末と作業端末を分ける)

>以前、某大企業(非IT系)で働く人が、

>やめる際に重要なデータをしこたまとってやめたというのを聞いたことがあり、

どんなに厳しくしても、そういう人が出てきます。

誓約書を書かせて、何か起きたときの責任をとってもらう(懲戒解雇とか)とか

そういう心理面でもプレッシャーをかけないと無理です。

http://www.daj.jp/bs/if7/price.htm

◎質問者からの返答

どうもありがとうございます。

大変素晴らしいセキュリティですが、

ネットをしてFTPをいじる人間が複数いるため、

日々の作業が一切不可能になるので、参考にできないのが残念です。


5 ● noface
●16ポイント

1. 予算がある企業であれば、CWATのようなPC操作のログ取得・操作抑制ソフトを使うのが確実です。(それでも細かい所に不都合はありますが)

2. USBの禁止であれば、ADのグループポリシーで対応可能です。

3. Yahooメール等は、Proxy等サーバ等でのコンテンツフィルターを導入する

4. FTPは通信の制限、もしくは申請のあったIPアドレス(送信元、宛先)にのみ通信を許可等の対策になります。

お金をかけずに希望のことを実現するのであれば、

基本的には、関連するポリシーを禁止として、

必要性のある人にのみ、許可する環境を与えるのが良いと思います。

1台だけ、全操作ログ取得PCを用意して、そのパソコンでのみFTP操作可能とか。

(アップロードについては、POSTメソッドで一定ファイルサイズ以上の

送信を抑止する等 フィルタリングソフトで対応できるものもあります)



以下の3つで、優先順位はどうなりますでしょうか。

1. ユーザ業務を優先したい

2.セキュリティ対策を優先したい

3.コストを優先したい

もちろんそれぞれ、いずれも無視できないと思いますが、

ある程度、順位をつけないと 適切な回答が得られないと思いますよ。

◎質問者からの返答

どうもありがとうございます。

プロキシサーバーは興味を持っていますが、

ブラックリスト形式でNGサイトを指定する方法だと、

自分でドメインを取ってアップローダーを設置されるとダメなので、

どうなっているのか詳しく気になるところです。

POSTメソッド制限のフィルタリングがあるようなので、併用になりそうですね。

ログ取得に関しては、暗黙のプレッシャーとして抑制効果は高そうですね。

優先としては、3,2,1です。

大きなコストはかけられないので、

仕組みとしてうまくセキュリティをあげて、

日常業務にも支障がでないような方向で模索しています。


1-5件表示/8件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ