テレワークの導入に伴い、急場しのぎとして部分的に導入したクラウドストレージ。なし崩し的にオンプレファイルサーバとクラウドストレージが混在する状況が続いている。管理が煩雑になっていることに加え、セキュリティ面でも、コンプライアンス面でも適切ではないため、再度オンプレミスの環境に戻したいものの、現場からは「VPNが遅すぎて仕事にならない」とクレームが来る。一方、勝手にクラウドストレージを使われると無法地帯のシャドーITともなりかねない……そんな悩みを抱えている情報システム部門は多いだろう。　コロナ禍でリモートワークが“新常識”の働き方となるなか、オンプレのファイルサーバと同じ使い勝手でそのままファイルをクラウドへ移行できるサービスが求められている。そこで注目したいのがFileforceだ。

便利なだけでは使えない――ビジネスに求められる要件とは

オフィスに人が集まって働く旧来のワークスタイルではオンプレミスサーバは圧倒的なアドバンテージがあった。セキュリティが物理的に守られている上に、ローカルネットワークによる高速アクセスが実現されていたからだ。しかし、テレワーク環境においては社内ネットワークとの通信速度が遅く、オンプレミスサーバのメリットの1つである高速性が失われてしまっている。

そこで、テレワーク導入に当たって急きょ、クラウドストレージの利用を拡大した企業も少なくない。セキュリティ面よりも早期導入を優先してユーザーの利用制限やルールを緩和したケースも多いだろう。

だが、オンプレミスサーバの延長線という感覚でクラウドストレージのセキュリティを維持することは難しい。どこでサービスされているのかを気にしなくてよいクラウドストレージは、どこからでもアクセス可能であることが特徴であるだけに、ネットワーク的には社内外問わず誰からもアクセス可能というところから考えていかなければならないからだ。

もちろん、適切に運用・管理していればセキュリティは維持される。だが、例えば、特定の相手との共有がうまくいかなかったときにあっさりと「全員に公開」を選んでしまう人は意外と多いのが実情だ。オンプレミスサーバであればいくら設定を間違えても全社公開止まりで済むが、クラウドストレージだと機密情報を全世界に公開してしまうユーザーが出る可能性もある。オンプレミスサーバとは影響の大きさが桁違いだ。

こうした情シス部門が抱える課題に対して、有力な回答の1つが国産のクラウドストレージサービス「Fileforce」だ。

ITmedia編集部で実際にFileforceを導入してみる

Fileforceはオンプレの管理のしやすさとクラウドの利用のしやすさを両立させたサービスだ。ブラウザからアクセスできるのは当然ながら、アプリケーションを導入することでローカルドライブのようにエクスプローラーからアクセスすることができる。さらに国産サービスであるだけに、日本の企業の実態に即した機能・仕様も特徴の1つとなっている。

実際に編集部ではFileforceの導入手順をもとに、企業がどのように現在のオンプレミスサーバからFileforceに移行していくのかを試してみた。ここからは具体的な手順とポイントについて見ていくことにしよう。

階層設計のポイント

Fileforceはオンプレミスサーバ同様、階層フォルダで管理される。そのため、基本的にはオンプレミスサーバで利用できるノウハウはFileforceでも有効だ。例えば、アクセス権の制御は第2～3階層くらいの浅いフォルダまでで行い、それより深いフォルダは、

１．権限を継承させて管理しやすくする
２．アクセス権は部門別
３．部門ごとのフォルダと別にプロジェクトごとのフォルダを用意する
４．上位組織が変更となったときのことを考慮して、階層ごとにアクセスできる人を絞るような作りは避ける
などが挙げられる。もちろん、4階層以降の特定フォルダに対し、ピンポイントでアクセス可能な人を制限する設定を行うことも可能だ

Fileforceのトップ画面には、あらかじめ全社共有とパーソナルフォルダの2つのフォルダが固定配置されている。この全社共有は、複数人が共有フォルダとして利用するフォルダで、パーソナルフォルダは自分だけが利用できるフォルダだ（その下に明示的に共有フォルダを作ることは可能）。

さらに、全社共有・パーソナルフォルダの下に社外と共有するためのプロジェクトフォルダを作成できる。オンプレミスサーバからの移行であれば、基本的には全社共有の下にそのままの階層構造で移行するのが一番シンプルだが、この機会にフォルダを整理しアクティブなプロジェクト、現存する部門のフォルダのみ選択的に移行するのも効果的だ。

フォルダへのアクセス権限は「ツール＞管理コンソール」から行う。一口に権限と言ってもその設定は多岐にわたるが、Fileforceではシステムロールとフォルダロールという2種類のロールを使って簡単に管理できる。

システムロールはユーザーに何を許可するか、という権限セットで、あらかじめ「パワーユーザー」「一般ユーザー（既定）」「ゲスト」の3つのロールが用意されている。システム管理者のみパワーユーザー、他の社員は一般ユーザーとして設定すればよいだろう。

フォルダロールは対象となるフォルダによって一般フォルダロール、一般フォルダ共有用ロール、パーソナルフォルダ共有用ロールの3つがあり、それぞれに対して「アクセスなし（通過のみ）」「フルコントロール」「編集」「読み取り」「閲覧のみ」などが用意されている。

この中の「アクセスなし（通過のみ）」というのは特殊なロールで、当該フォルダの直下のファイルにはアクセスできないが、その下のサブフォルダにはアクセスできる（サブフォルダ自身のアクセス設定による）というもの。特定のサブフォルダのみをアクセスさせるためには、そのサブフォルダが属している親フォルダにアクセスを許可させなければならないが、不用意に上位のフォルダのアクセス権限を与えるとユーザーが勝手にフォルダを作ってしまうことがある。Windowsファイル共有でも可能な設定ではあるが、あまり分かりやすい設定とは言いがたい。Fileforceでは直感的なロール名で用意されているため、迷わずに設定することができるだろう。

また、オンプレミスサーバだとユーザー管理にActive Directoryを使い、アクセス権限をセキュリティグループ単位で行っていることが一般的だが、無償で提供される「Fileforce AD Sync」と「ADFS連携」を使えばその仕組みをそっくりそのままFileforceに移行することができる。

Fileforce AD SyncはActive Directoryの情報をFileforceに反映させるプログラムだ。システム導入時のみならず、Active Directoryのユーザー／グループ情報を更新後、または一定期間ごとに起動させることで入退社時のユーザー追加／削除、組織改編時のセキュリティグループ変更などをActive Directory上の変更作業に一本化できる。なお、Fileforce AD Syncで同期したユーザーはFileforce上で修正することはできなくなるので、一貫してActive Directoryでのみユーザー管理を行えばよい。

さらにADFS連携を使えばActive Directoryで認証したユーザーを自動的にFileforceへサインインさせることができる。シングルサインオンを有効にすればPCにサインインするとともにFileforceにサインインできるため、ユーザー側もオンプレミスサーバと変わらない快適な操作が実現する。

移行作業のポイント

すでにテラバイトクラスのデータが蓄積されている企業にとって、移行は一大作業となる。データ容量だけでなくファイルやフォルダ数の多さ、アクセス権限の移行を考えると、とても手作業でできるボリュームではない。また、Fileforce AD Syncで移行できるユーザー／セキュリティグループ情報とは異なり、データは日中ひっきりなしに更新が行われている。

不整合が起きないよう、作業中はソースとなるオンプレミスサーバには変更を加えるべきではないが、数テラバイトとなると転送には数日を見込む必要がある。それだけの長さになると業務への影響が大きく、オンプレミスサーバを停止させることは難しいだろう。

そこで、Fileforceには移行ツール「Fileforce New Data Migration」（データ転送ツール）が用意されている。Fileforce New Data Migrationは、Windows 10／Windows Server 2021以降で動作するツールで、サーバ上ではなく、ネットワークドライブとして割り当てたPCで動作させることを想定している。そのため、オンプレミスサーバがWindows ServerでなくてもNASであっても利用できる優れものだ。また、Webブラウザ上の分かりやすいUIが用意されているのでコマンドラインなどの専門知識がない担当でも簡単にデータ移行ができる。

Fileforce New Data Migrationは、速度よりも確実性を重視した設計となっており、データ転送を行う移行処理が完了した後はコピー後のファイル更新を監視するファイナライズ処理に移行する。そのため、移行処理の大部分占めるデータコピー中はオンプレミスサーバを停止する必要はない。オンプレミスサーバとFileforce間に差分がなくなると「最終完了」ボタンが押下できるようになるので、「最終完了」を押下すれば移行は完了だ。速やかにオンプレミスサーバを停止しよう。

Fileforce New Data Migrationはフォルダ単位で複数同時実行することができる。部門毎、用途毎に順次移行するなど、自由度の高い移行計画が立てられるはずだ。

運用上のポイント

Fileforceの利用にあたっては、Web画面ではなくFileforce Driveを使ってドライブ文字を割り当てる方法が簡単だ。Fileforce DriveはエクスプローラーからFileforceのファイル／フォルダにアクセスできるようになる上、キャッシュが有効になるので更新されていないファイルへのアクセスが高速、オフライン時にも利用可能といったメリットがある。

管理者はFileforceの「ツール＞管理コンソール＞アプリケーション＞プロファイル」の設定で、Fileforce Driveの利用方法を設定することができる。設定項目はログインタイプ、キャッシュパスの場所・サイズ、割り当てるドライブ文字、プロキシサーバなどがある。ほとんどの場合は全社で共通した設定で十分だと思われるが、支社や技術系、管理系部門などで異なる環境で運用している場合にはそれぞれに応じたプロファイルを作成、配布すればよい。

Fileforceのログ＆レポート機能はストレージサービスに特化した、非常に網羅的かつ分かりやすいものになっている。アクション、ユーザー、ファイル、フォルダといった切り口で期間やキーワードを指定した検索が可能だ。それぞれのログはCSVダウンロードができるので、Fileforce上でのログ保存期間90日を超えて保存する場合や、提出用レポートを作成する際にも手間がかからない。

Fileforceはクラウドストレージサービスであり、ハードウェアやインフラの管理は必要ない。管理者はその利用状況にのみ労力を向ければよいのだが、そもそも安定しているのかどうか、という懸念があるかもしれない。

Fileforceのストレージは、大手クラウドコンピューティングサービスの国内データセンター上に構築されており、設計仕様上および実績上、1データあたり99.999999999％（イレブンナイン）の耐久性を誇る。データはAES256でリアルタイムに暗号化されており、通信経路は2048bit鍵長のTLS通信のみが許可される。ファイル保管時の自動ウイルスチェック、更新時の自動バージョン管理など、マルウェアやオペレーションミスによるファイル喪失にも対応している。

利便性とセキュリティを両立させる、新時代のファイル共有

テレワークへの移行はすでにニューノーマル時代のワークスタイルとして不可逆の流れとなっている。単に「自宅からでもなんとかなる」で乗り切った時期を過ぎ、これからは「いかに従業員の在宅勤務の環境を向上させていくか」というところを考えなくてはならない時代になった。セキュリティに関しても同様に、「不便さを我慢してセキュリティを保つ」か「利便性を優先してセキュリティを落とすか」の二者択一ではなく、「利便性を維持しながらセキュリティを保つ」という第三の選択を選ぶ必要がある。

ヘッドクォーター的オフィスを持たず、初めから全社員在宅勤務のベンチャー企業などでは、当初よりクラウドストレージを活用しているところも多い。これは「社員が物理的に集まる」ということを考えなければ、クラウドストレージの方がネットワーク的に有利であり、オンプレミスでサーバを維持する必要がない、といった利点があるからだろう。

その一方で、すでにオフィスを持っている企業では、クラウドストレージをごく一部に導入することはできても、全社的に切り替えることは難しかった。その理由としては、すでにあるデータの移行が困難であること、オフィス内からのアクセスが遅くなることやセキュリティへの不安がある。

Fileforceはそれらの問題を鮮やかに解決した。クラウドストレージの利便性に、オンプレミスの細やかな管理機能や強固なセキュリティを取り込み、さらにエクスプローラーからのアクセスなど、従来同様の使い慣れた方法が継続できるという特性から、利用に際しての特別なトレーニングも必要ない。まさにテレワーク時代のストレージサービスといえる。今回、実際にFileforceの導入から運用までを試してみて、リモートワークの対応に追われる情シス部門の負荷軽減や、DX推進への大きなはずみになると実感した。小規模利用向けに1 IDあたり900円から始められるfor テレワークプランや、中小企業向けにID無制限プランなど、始めやすいプランも用意されているので、オンプレミスサーバに限界を感じている情報システム管理者は検討してみてはいかがだろうか。