メールマガジン

Nextcloudによるセキュアなファイル共有システム導入事例

ソリューション開発部 森 彰吾

今回は、研究機関のお客様向けに、セキュアなファイル共有システムを導入した事例です。お客様はAmazon WorkDocsのサービス停止を受けて一時的にOSSのNextcloudを利用されていましたが、本格的な乗り換え先システムの構築が必要な状態でした。この課題に対して、デージーネットからは既に利用されていたNextcloudを中心に、fail2banおよび389 Directory Serverと組み合わせたセキュアなファイル共有システムの構築をご提案しました。

お客様が悩まれていた課題

お客様は次のような課題がありました。

  • Amazon WorkDocsのサービス停止に伴い、本格的な乗り換え先システムの選定に困っている
  • 組織のセキュリティポリシーに合わせた認証の仕組みを実装する必要があるが、どうしたらいいかわからない

デージーネットからの提案

デージーネットからは、以下の2点をご提案しました。

Nextcloudによる独自オンラインストレージの構築

Nextcloudは、DropboxやGoogle Driveのようなオンラインストレージをオンプレミス環境に構築できるオープンソースソフトウェアです。お客様は一時的な乗り換え先として既に利用していたNextcloudを、自組織専用のオンラインストレージとして安定的に運用するための環境整備が課題となっていました。Nextcloudは、ライセンスに縛られることなく運用が可能なうえ、ユーザ同士やURLでのファイル共有機能にも対応しており、様々なワークフローに対応できるのが特徴です。オンプレミス環境で運用できるため、外部サービスにデータを預けることなく、研究機関としての情報管理ポリシーを維持したまま運用できる点もご提案の理由のひとつです。

fail2ban・389 Directory Serverによるアカウントロック機能の実装

お客様のセキュリティポリシーでは、ユーザのログイン試行回数を条件としてアカウントをロックする仕組みが必要でした。Nextcloudには送信元IPアドレスごとに一定期間ログインを停止する機能はありますが、ユーザアカウント単位のログイン試行回数を条件としたロック機能はありません。

この点を解決するため、以下の構成でアカウントロック機能を実装することをご提案しました。

  • NextcloudのLDAP連携機能を利用し、389 Directory Server(389ds)でユーザ・グループを管理
  • Nextcloudのログイン失敗のログをfail2banで監視し、一定回数のログイン試行を検知した場合に該当ユーザのLDAPアカウント情報を無効化することでログインを防ぐ仕組みを実装

fail2banはLinuxシステムの不正アクセスを検知・防御するソフトウェアで、ログ監視をトリガーとして任意のプログラムを実行できる特性を活かした実装です。389 Directory ServerはRed Hat Enterprise Linuxにも採用実績のあるOSSのLDAPサーバソフトウェアであり、ユーザ・グループ管理の基盤として広く利用されています。

導入時の工夫

導入にあたって以下を工夫しました。

運用をイメージした設計

今回のシステムはNextcloud単体ではなく、fail2banおよびLDAP(389ds)との連携を含む構成であり、ユーザ・グループ管理のための専用Web UIの開発も行いました。そのため、ユーザやグループの作成からファイル共有の利用までのワークフローが複雑化し、認識の齟齬が生じやすい状況でした。この点に対して、設計フェーズから利用パターンごとのフロー図・モックアップを作成してお客様と認識を合わせることで、運用しやすいシステムにすることができました。

管理者の負担を可能な限り抑える設計

本システムでは、共有ストレージを利用する取引先をグループ化して情報共有するという運用を想定していました。グループの作成やフォルダ共有の設定をシステム管理者に一任した場合、管理者の負担が増大します。そのため、グループや共有設定の管理権限を委任できる仕組みを設け、複数の管理者で管理を分担できる設計としました。

導入後の結果

Nextcloud単体での導入と比較して、攻撃に対する防御性能に優れたオンラインストレージを実現することができました。また、ユーザ・グループの管理権限とNextcloudのファイル・フォルダ共有権限を分離・委譲する仕組みにより、システム管理者と共有管理ユーザで日々の管理業務を分担できる体制が整いました。共有を許可されたユーザが比較的自由に共有設定を行えるため、オンラインストレージの利用が必要になった際にスピード感のある対応が可能になりました。

関連ページ

構築事例:Nextcloudでセキュリティ要件を解決したファイル共有システム構築

構築事例(ファイル共有システム)

研究機関のお客様向けに、セキュアなファイル共有システムを導入した事例を紹介します。オンプレミス環境で運用可能なNextcloudを中心に、fail2banおよび389 Directory Serverと組み合わせたファイル共有システムを構築しました。

デージーネットからのお知らせ

【7月のセミナー】
SSL証明書有効期限短縮対策セミナー〜ACMEとCertbotによる運用自動化〜を開催します。

SSL/TLS証明書の有効期限短縮に関する最新動向や証明書管理における課題を踏まえ、証明書管理の自動化を実現する標準プロトコル「ACME」の仕組みと、代表的なACMEクライアントである「Certbot」の特徴や機能についてわかりやすく解説します。

  • 日程:2026年7月30日(木)
  • 時間:15:00〜16:00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=122

【8月のセミナー】
Ubuntu 26.04 LTS新機能紹介セミナー〜最新機能と活用シーンをわかりやすく解説〜を開催します。

Ubuntu 26.04のリリースにより、最新のLinux環境を活用したシステム構築・運用への関心が高まっています。今回は、2026年4月23日に公開されたUbuntu26.04の新機能や変更点についてご紹介します。

  • 日程:2026年8月27日(木)
  • 時間:15:00〜16:00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=123

無料資料ダウンロードに【Dify調査報告書】を掲載しました。

Difyとは、LLM(大規模言語モデル)を活用した生成AIアプリケーションの開発・運用を効率化するプラットフォームです。本書は、Difyについて調査した内容をまとめたものです。

https://www.designet.co.jp/download/#efficiency

デージーネット、磐田市役所へのOSS Web会議システム『Jitsi』導入効果を公開

https://www.designet.co.jp/info/?id=928

無料資料ダウンロードに【Nextcloud Flow調査報告書】を掲載しました。

Nextcloud Flowは、ファイルのアップロード、更新、タグ付けなど、あらかじめ設定した処理を自動実行できる機能です。本書は、Nextcloud Flowについて調査した内容をまとめたものです。

https://www.designet.co.jp/download/#security

メールサーバの安全性を無料でチェックできるサイトを公開しています。

メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。

メールサーバセキュリティ診断MSchecker外部サイトへ

デージーネットマガジン2026年7月号記事一覧

Nextcloudによるセキュアなファイル共有システム導入事例の先頭へ