管理者がアクセスできないフォルダ

管理者がアクセスできないフォルダの特定とその権限の還元

Technology Services、Information Security、Records Management、Internal Auditなどの管理グループは、ファイル、フォルダ、ライブラリなどへの継続的なアクセスを必要とします。これらのグループがファイルシステムの一部から誤ってロックアウトされている場合、その責任を果たすことができません。 このような状態になると組織は不必要なリスクとコストにさらされます。

Northern Software Solution(NSS)は、管理グループがアクセスできないフォルダを特定し、これらのオブジェクトの再許可をガイドするようにすばやく情報を提供します。 Northernは、地理的に離れた地域全体で、複数のプラットフォーム(従来のオンプレミスファイルストレージ、クラウドやExchange Onlineなど)を含む、非常に大規模なデータフットプリントを解析できます。

管理者がアクセス権を保持しているはずなのに、保持になっていないフォルダを特定し、再度アクセス許可を付与することで、次のようなメリットがあります:

  • 管理者の想定通りにすべてのデータを移行、管理、保護、監査などすることが可能に
  • データ移行プロセスを簡素化:ファイルを移動できないことで突然脱線することはありません
  • すべてのデータが網羅されているため、監査プロセスでのコンプライアンスを改善
  • 組織全体に機密データをマッピングし、必要に応じて機密データの保護が可能に
  • 権限構成を変更しているユーザを特定し、調査する
  • 以前からの権限構成の背後に隠れている不要なアクティビティを明らかにして対処
  • 権限について問題にならないこと確信し、管理タスクの計画が可能

Northernは現在、このようなソリューションを、いくつかの世界トップクラスの組織に提供し、これらの価値実現を可能にしています。 お客様の環境で構成をスケジュールするには、アカウントマネージャまたは プロフェッショナルサービス チームへお問い合わせください。

このユースケースの詳細(解決方法、その効果、実施方法など)については下記に説明いたします。ご興味を持った方はぜひお読みになってください。


現状

サイト管理者、ファイルおよびフォルダの所有者は、所有するオブジェクトへのアクセスを制御できる場合があり、これらの権限を持つユーザは、重要なアクセス構成を削除することができます。この変更は無実または悪意のある理由で変更される可能性があります。

問題

  • 全てのデータにアクセスできないと、担当者が自分の責任を果たすことができない
    • ITインフラ部、情報セキュリティー部、レコード管理部、データガバナンス部等々
  • 十分な権限がないと、ファイル操作の中断や失敗によってマイグレーションプロジェクトが長引く可能性がある
  • アクセスできないデータが監査プロセスから除外されるため、コンプライアンスリスクが高まる
  • 安全な領域外であるため、機密データは危険にさらされる可能性があります。
  • 権限の問題によって追加の作業が必要になり、プロジェクトのタイムラインを予測できない

解決・改善方法

  • 大規模ファイルシステム全体で、管理者がフルコントロールを持っていないフォルダを識別する
  • 関係者に提示して、さらに必ず彼らがこれらのフォルダを見直すよう行動させる
  • 定期的な見直しと都度軽減していくようなプロセスの作成

Northernでは、NSSを利用してこれらの間違った権限を持ったフォルダを発見し、整理が可能になります。

想定されるNorthern効果

このソリューションの実施はお客様の最低限の努力で実施でき、以下の効果が想定されます。

  • 各部署は途中で中断せず、業務の計画を立てて最後まで果たすことが可能に
  • データマイグレーションの際に全てのデータが移行可能になり、単純化
  • 監査プロセスが行われることによりコンプライアンスの向上
  • 機密データの充分な保護
  • 悪意での権限変更が明確に

実施方法

以下の図面にはNSSを使用して、「管理者がアクセスできないフォルダの特定とその権限の還元」のワークフローを表示いたします。

  1. NSSはファイルシステムをスキャンし、結果がSQLデータベースに保存されます。
  2. スキャンが終われば、IT管理者に通知が送られます。
  3. IT管理者がNSSコンソールにログインし、 スキャン結果を確認します。
  4. スキャン結果の元にアクセス権を変更する必要があるかどうかを判断できます。

KPI・KRIも導入

条件にマッチしたフォルダ数の追跡機能がパッケージに含まれます。これらはKPI・KRIとして使用し、しきい値が超えるとメール通知が自動的に送られるなど設定することが可能です。さらに、時間と共に効果を比較することができます。

実施の項目

以下のテーブルでは、目的を満たすために行う項目、各項目にかかる目安時間と担当する者が書いてあります。

項目 かかる時間 担当
1 スキャン設定の設置 0.5時間 Northern
2 スキャンの実行とその結果確認 異なる* 自動的
3 不適切なアクセス権の定義を付ける 1~4時間 お客様とNorthern
4 不適切なアクセス権を変更する 異なる** お客様
5 変更した権限の量を図り、業績評価を行う 1時間 Northern
* 1秒毎に約2000フォルダがスキャンされます。1億フォルダがある環境では約14時間がかかります。
** このような権限を持つフォルダが多ければ、手動よりスクリプトを使用してアクセス権を変更することをお勧めします。

実施要件

コンポーネント 要件
NSS バージョン9.91以降
SQLデータベース SQL Server 2012以降
ソリューションエリア 情報ガバナンスとコンプライアンス(IGC)

次のステップ

こちらのソリューションをご希望のお客様はアカウントマネージャまたはプロフェッショナルサービスチームにお問い合わせください。