ある程度事業や組織(人数)が大きくなると、データの保存や共有の課題に直面します。事業形態にもよりますが、以下のような段階で課題が出てくるのではないでしょうか。
- 特定の端末以外でも参照できるようにしたい
- 複数の担当者が参照できるようにしたい
- 特定の担当者だけが参照できるようにしたい(担当者以外は参照できないようにしたい)
1や2は機器の増設、NASの設置で比較的簡単に解決が出来るのですが、3のような「アクセス制限」をかけることは、ある程度計画立てて進めないと、後に管理が煩雑となりかえってリスクを増やす可能性もあります。
本稿では「アクセス制限」をかける時に、やってはいけない事と、効率的に実施するためのアドバイスをご紹介します。
↓PCトラブルなど社内IT環境にお困りなら↓
アクセス制限をする際に「やってはいけない」ことを把握する
「特定の人だけにアクセスを付与したい…」と考える時に、ついやってしまいがちな施策についてお伝えします。もちろん一時的には有効な施策になることもありますが、長期的な運用では手間やリスクにつながる場合が多いです。
やってはいけないこと①ファイル単体のパスワードで制限する
ZIPファイルやOfficeファイルのパスワードでアクセスできる人を制限できるが、デメリットも多い…
WordやExcelなどのOfficeファイルやPDFファイル生成時、あるいはZIPファイル圧縮によってパスワードを設定し、そのパスワードを知っている人だけが中身を見れるようにすれば疑似的なアクセス制限ができます。
この機能自体は使いようによって有効なこともありますが、アクセス権を制限する意図で使うことはお勧めしません。
- 複数人で同じパスワードを使うリスク→パスワードが簡単に漏れる、担当者が変わる時の対処方法の難しさ
- 誰でもパスワードを変えられるリスク→リセットする手段がない
- 間違ったパスワードを入れてしまうリスク→リセットする手段がない
- 時間が空いてしまうとパスワードを忘れるリスク→リセットする手段がない
やってはいけないこと②同じアカウントを共有して制限する
特定の保存先にアクセス制限をかけるために、複数の人が同じアカウントを持ち、そのアカウント(パスワード)を知っている人だけがアクセスできる環境を作ることは避けましょう。これも①同様、同じパスワードを使うことで、パスワードが漏れるリスクがあります。特に、異動等により今まで使えていた人からアクセスさせないようにする時の手間が非常に大きいです。
そもそも、基本的なIT施策としても、同じアカウントやパスワードを複数人で利用する運用は極力避けましょう。
やってはいけないこと③アクセス先を知っている人で制限する(機器を増やす)
例えば、NASそのものを増やし、NASのアクセス先を知っている人だけがアクセスできるようにすることで、アクセス制限するという方法があります。これもアクセス方法(そのNASのパスワード)が漏えいする・担当者が増える時のリスクはありますが、それ以上に、管理機器が増えることによる煩雑さやコスト増、バックアップ対策の複雑化など、管理面での負担が大きくなります。
↓PCトラブルなど社内IT環境にお困りなら↓
留意事項:Windows11 24H2ではゲストアクセスが許可されないため、ユーザアカウントの設定が必須!
2025年10月14日にWindows10のサポートが切れることから、Windows11導入や入替が進んでいる場合が多いと思います。
Windows11 24H2からデフォルトでゲストアクセス(匿名・ログインなし・パスワードなしでのNAS利用)ができなくなります。
少し前のNASでは、共有フォルダを作成すれば「everyone」というグループに権限が最初に付与され、誰でもすぐにアクセスできるような仕組みでしたが、Windows11 24H2以降ではそれが許されず、適切にユーザへ権限を与えるところから始めないといけません。
従来通りゲストアクセスを許可する設定に変更することも一応可能ですが、ゲストアクセスはランサムウェアなどのサイバー攻撃に悪用されることが多いため、今後NASアクセスにはユーザ設定することが必須と考えたほうが良いでしょう。
↓PCトラブルなど社内IT環境にお困りなら↓
これからアクセス権を設定するための基本アドバイス
ここでは、これからアクセス権を設定しようとする際の基本的なアドバイスとなります。
なお、弊社ではNASや共有フォルダを構築する際には、弊社では設定表のテンプレートを用いながら設定を検討します。テンプレートをご希望の方はお問い合わせください。
NASや共有フォルダは導入最初期である程度のルールを作らないと、すぐに散らかってしかい管理しにくくなっていきます。ルールは組織や業務によって適切に定めていく必要があります。
ここでは、概ねどのような組織でも通じる基本的なアドバイスをご紹介します。
最小単位は「1ユーザ(利用者)1アカウント」。複数人の利用や使いまわしは厳禁。
アクセス権を設定するためには、利用者毎にアカウントを作成する必要があります。もし5人の利用者がいるなら5つのアカウントを作成しましょう。
該当のNASへアクセスする予定がなければ、そもそもアカウントを作成する必要はありません。しかし、一時的にでも利用するのであればアカウントが必要となります。全社で利用するNASであれば、入社(異動)のタイミングでまずユーザを追加しておくとよいです。
1つのアカウントを複数人で使いまわすことは、正しくアクセス制限をする目的に反するのでそのような運用は許可しないようにしましょう。また、異動や退職した社員が使っていたアカウントをそのまま別担当者で使いまわして運用するケースも不適切です。
将来的には「グループ」を使ったほうが運用は楽、ただし初期段階ではユーザ直接付与でOK
ユーザグループを使うと管理は楽(ただしルールの明確化が必要)
ある程度組織として人数が集まった場合は、ユーザ単位でアクセス権を割り振るのではなく、ユーザの集まりの「グループ」として権限を付与したほうが管理面では楽になります。
一般的にはグループには部署・部門を想定し、このフォルダにアクセスできる部署をグループとして指定するといった使い方です。担当者の異動があったとしても、グループに所属するユーザを入れ替えればよいだけで、各共有フォルダへのアクセス権変更自体は不要です。
ユーザは、複数のグループを設定することが可能です。
例えば複数の部署を兼任するような上司がいる場合、両方の部署のアクセス権が必要というケースが考えられます。また、部署とは別に、部門横断プロジェクトとしてのグループを作る場合もあります。
NASへのアクセス権はユーザ単位・グループ単位どちらでも付与することが可能です。グループで運用する場合は管理や付与ルールが明確になっていないと複雑化するため、人数や管理するフォルダがそれほど多くない間はグループを作成せずユーザへの直接付与でも問題ありません。
原則、トップフォルダ(最上位)でアクセス権を指定する
原則、最上位のフォルダでアクセス権を制御する
共有フォルダは階層立てて作ると思いますが、運用をする中で、一部フォルダにだけ特別なアクセス権をつけたくなる場合が出てきます。技術的に可能ではありますが、運用ルールが明確に固まるまでは極力避けて、最上位のフォルダでアクセス権を制限し、異なる権限でアクセスしたい場合は、必要なアクセス権をもつ新規フォルダを作るようにしましょう。
運用が複雑になる場合や、そもそもNASによっては特定のフォルダにだけ違うアクセス権を付与することが出来ないケースもあります。設定を間違えると、本来見せたくなかったユーザに見えてしまう/見たいユーザが見れなくなるなどのトラブルになる場合もあります。
アクセス権の種類「拒否」は使わない
NAS製品によって表現に多少の違いはありますが、アクセス権には概ね以下の種類があります。
- フルコントロール:フォルダに対するすべての変更ができます。管理者権限やフォルダの所有者(作成者)は最初からついている場合がほとんどです。アクセス権の指定として選べない場合もあります。
- 変更:フルコントロールから「所有権の変更」だけ出来ない権限です。アクセス権の指定として選べない場合もあります
- 書込:フォルダ内のファイルの新規作成・実行(開く)・編集・名前変更・削除ができる権限です。
- 読取(読取専用):フォルダ内のファイルを開くことが出来ますが、上書き保存することはできません。ファイルによっては開くこともできない場合があります。
- 拒否:そのフォルダやファイルにアクセスすることが出来ません(使わない)
「拒否」は複雑な設定が可能なWindows Serverなどの一部の共有サーバー, NASでのみ設定可能で大半のNASではそもそも設定できるようになっていないかもしれません。
特殊なフォルダ構造・アクセスルールを使う時に用いるもので、かなり上級者向きの設定となります。「付与されていればアクセスできる、付与されていなければアクセスできない」のシンプルな構造を心掛けましょう。
↓PCトラブルなど社内IT環境にお困りなら↓
(参考)アクセス権設定の流れ~ASUSTORでの設定例~
実際にNASの設定画面からアクセス権を設定する流れとなります。多くのNASではブラウザを使って設定を行うことが出来ます。今回はASUSTORというメーカーの管理画面を用いていますが、操作性はメーカーや機種、あるいはバージョンによっても異なる場合もあります。アクセス権に関する基本的な流れはほぼ同じです。
ユーザ(利用者)を登録する
まずユーザを登録する(IDとパスワードが必要)
まずは実際に利用するユーザを登録します。ユーザ名は半角英字・数字・記号の組み合わせです(記号が使えない場合もあります)。識別しやすいように利用者の氏名をつかう場合もあれば、同姓同名による重複などを考慮して社員番号を使うケースもあるでしょう。
パスワードは必須となります。
ユーザを登録しただけでは、まだ共有フォルダにアクセスすることはできません。
共有フォルダを作成する
共有フォルダを作成しても、アクセス権を指定するまではアクセスできない
実際にユーザがデータを保存するための共有フォルダを作成します。
以前のNASであれば、作ればひとまずは誰でもアクセスできるフォルダ(everyoneグループ、everyone権限)となっていましたが、Windows11 24H2ではこうしたNASアクセスを許可しないため、この共有フォルダに対して、アクセス権を付与しなければいけません。
通常は共有フォルダを作成した直後はアクセスできる人がいません(管理者権限ならアクセスできる場合もあり)。
アクセスできるようにするために、利用したいユーザ(またはグループ)を共有フォルダへ登録する必要があります。
アクセス権を付与する
書込(RW)または読取専用(RO)にチェックをつけ、許可しない場合は何もつけない
作成したユーザに対して、作成した共有フォルダに権限を付与します。このシステムでは「DA(DenyAccess:拒否)」「RW(Read/Write:書込)」「RO(ReadOnly:読取専用)」の3タイプのいずれか、もしくはどれにもチェックしないの4パターンから選びます。
アクセス権を付与するなら「RW」にチェック、読み取りのみ許可する場合は「RO」にチェック、アクセスを許可しない場合は何もチェックをつけません(拒否:DAは必要な場合以外は使わない)。
(参考)グループを設定する
登録したユーザをグループに所属させる
グループを作成し、その中に作成済みユーザを追加(または削除)します。
ユーザではなく、グループを共有フォルダの権限に設定しておけば、一人一人にアクセス権を付与しなくても、グループに属する人一括で同じ許可にすることが出来ます。
↓PCトラブルなど社内IT環境にお困りなら↓
どうしても上手くいかない時は
インターネットで検索して色々な方法を試してみたけどうまくいかない…
とげおネットまで
お気軽にご相談ください!!
電話・メールフォームから
お問い合わせください!
▼ ▼ ▼
とげおネットでは
出張サポートにて
お力になれます!
インターネットで検索して色々な方法を試してみたけど上手くいかない場合はとげおネットまでお気軽にご相談ください。出張サポートにてお力になることが可能です。
まとめ
NASのアクセス権について基本的なアドバイスについてご紹介しました。
アクセス権を適切に設定することは、業務効率化だけではなく、セキュリティやコンプライアンスにも重要な役割を果たします。
アクセス権は組織が大きくなるほど複雑化していきます。高度なシステムだと複雑なアクセス権付与も可能になりますが、できるだけルールはシンプルになるように心がけたほうが良いでしょう。
NASの導入やアクセス権の設定についてお悩みがありましたら、とげおネットまでお気軽にご相談ください。
