ファイルサーバーの運用と移行
ファイルサーバーのアクセスログ監査
ファイルサーバーへの不正アクセスや情報漏洩の早期発見には、監査ログの設定が不可欠です。「誰が」「いつ」「どのファイルに」「何をしたか」を記録することで、インシデント発生時の調査や内部統制の証跡として活用できます。
監査ポリシーの設定手順
- GPOで監査ポリシーを有効化:コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → 監査ポリシーの詳細な構成 → オブジェクトアクセス → 「ファイルシステムの監査」を有効化
- フォルダに監査設定を適用:対象フォルダの「プロパティ」→「セキュリティ」→「詳細設定」→「監査」タブで、監視対象の操作(読み取り、書き込み、削除など)を指定
- イベントビューアーで確認:Windowsログ → セキュリティ に監査イベント(イベントID 4663など)が記録される
| イベントID | 内容 |
|---|---|
| 4663 | オブジェクトへのアクセス(読み取り、書き込み、削除) |
| 4656 | オブジェクトへのハンドル要求 |
| 4660 | オブジェクトの削除 |
| 5140 | ネットワーク共有オブジェクトへのアクセス |
⚠️ 注意
監査ログをすべてのファイル・すべての操作に対して有効にすると、膨大なログが生成されディスクを圧迫します。機密情報フォルダや重要データフォルダに限定し、特に「削除」「権限変更」「書き込み」を重点的に監査しましょう。ログの保管期間と自動アーカイブの仕組みも合わせて設計してください。
ディスク容量管理
ファイルサーバーの容量管理は、ひとり情シスの日常業務のひとつです。
- 定期的な容量チェック:月1回、ディスク使用率を確認。Zabbixなどの監視ツールで閾値アラートを設定
- 大容量ファイルの特定:
TreeSize FreeやWinDirStatなどのツールでディスク使用状況を可視化 - 不要ファイルの棚卸し:年1回、各部署に不要ファイルの整理を依頼
- 重複ファイルの検出:重複ファイル検索ツールで無駄な容量消費を削減
📋 具体例
PowerShellで大容量ファイルを検索する方法:
Get-ChildItem -Path "D:\Share" -Recurse -File | Where-Object {$_.Length -gt 100MB} | Sort-Object Length -Descending | Select-Object FullName, @{N='SizeMB';E={[math]::Round($_.Length/1MB,1)}} | Format-Table -AutoSize
100MB以上のファイルを一覧表示し、容量順にソートします。定期的に実行して大容量ファイルを把握しましょう。
データ分類とライフサイクル管理
ファイルサーバーのデータを適切に分類し、ライフサイクルを管理する仕組みを構築しましょう。
| 分類 | 保管期間の目安 | 保管場所 |
|---|---|---|
| アクティブデータ | 日常的に使用(直近1年) | 高速ストレージ(SSD/高速HDD) |
| ニアラインデータ | まれに参照(1〜3年) | 大容量HDD/NAS |
| アーカイブデータ | 法定保存義務等(3年以上) | バックアップ媒体、クラウドアーカイブ |
| 削除対象データ | 保存期限切れ | セキュアな廃棄 |
ファイルサーバーの移行
サーバーリプレースや統合の際に、ファイルサーバーの移行が必要になります。
移行ツールと手法
| ツール/手法 | 特徴 | 適している場面 |
|---|---|---|
| Robocopy | Windows標準のコピーツール。NTFS権限を保持してコピー可能 | Windows間の移行。最も汎用的 |
| 記憶域移行サービス | Windows Server 2019以降の機能。GUIで移行可能 | サーバー名やIPも引き継ぐ場合 |
| DFS名前空間切り替え | DFSのターゲットを新サーバーに変更 | DFS導入済みの環境 |
📋 具体例
Robocopyによるファイルサーバー移行の手順:
1. 事前コピー(業務時間中に実行可):
robocopy \\OldServer\Share D:\NewShare /MIR /COPY:DATSOU /R:3 /W:5 /LOG:C:\Logs\robocopy_pre.log /NP
2. 差分コピー(メンテナンス時間に実行):
旧サーバーの共有を読み取り専用にしてから再度同じコマンドを実行
3. 共有設定の再作成:新サーバーで共有を作成しABE等を設定
4. DNS/DFSの切り替え:クライアントのアクセス先を新サーバーに変更
オプションの意味:
/MIR = ミラーリング(完全同期)
/COPY:DATSOU = データ、属性、タイムスタンプ、セキュリティ、所有者、監査情報をコピー
/R:3 = リトライ3回 /W:5 = リトライ間隔5秒
/LOG = ログファイル出力 /NP = 進行状況非表示
OneDrive / SharePoint Onlineとの連携
近年はオンプレミスのファイルサーバーからクラウド(Microsoft 365のOneDrive/SharePoint Online)への移行や併用が増えています。
| サービス | 用途 | 容量 |
|---|---|---|
| OneDrive for Business | 個人用ファイル保存。PC間同期 | 1TB/ユーザー |
| SharePoint Online | チーム・部門の共有ファイル | 1TB+10GB×ユーザー数 |
併用パターンとして以下が一般的です。
- 個人ファイル→OneDrive for Business(PC紛失時もデータ保全)
- 部署の共有ファイル→SharePoint Online(またはTeamsのファイル機能)
- 大容量データ・レガシーアプリ連携→オンプレファイルサーバー(継続運用)
⚠️ 注意
クラウドへの完全移行を急ぐと、パス長制限(SharePointは400文字)、同期クライアントの負荷、社内アプリとの互換性などで問題が発生します。まずは一部の部署やファイルからパイロット移行し、課題を洗い出してから本格展開しましょう。また、SharePointの権限モデルはNTFS権限とは異なるため、権限設計を一から見直す必要があります。
ひとり情シスの視点:ファイルサーバーの運用は「設計8割、運用2割」です。最初の権限設計とフォルダ構造を丁寧に作れば、日常運用の負荷は大幅に軽減されます。逆に、設計が曖昧なまま運用を始めると、権限の修正依頼や容量不足対応に追われることになります。移行の機会を捉えて、権限設計の見直しとデータの棚卸しを同時に実施するのが効率的です。
✅ 完了済み