Domino® セキュリティモデル

Domino® のセキュリティモデルは、Domino® サーバーそのもの、データベース、クライアントデータ、文書などのリソースを保護することを前提としています。保護対象のリソース、つまりオブジェクトに対しては、アクセスや変更を行うユーザー権限を定義することができます。アクセス権や権限に関する情報は、保護対象の各リソースとともに保存されます。そのため、ユーザーやサーバーがアクセスする必要のあるリソースによって、アクセス権はユーザーやサーバーごとに異なる場合もあります。

ここでは、Domino® 環境で保護する必要のあるさまざまなリソースについて、簡単に説明します。一部のトピックは、Domino® のセキュリティに固有なものではありませんが、完全を期すためにここに含めています。

物理的なセキュリティ

サーバーとデータベースの物理的な安全性を確保することは、権限のないユーザーやサーバーのアクセスを禁止することと同様に重要です。権限のないユーザーや悪意のあるユーザーが Domino® サーバーに直接アクセスすることを禁止することによって、それらのユーザーに対する防御の最前線とします。Domino® サーバーは、換気のよい安全な場所 (鍵のかかる部屋など) に設置することをお勧めします。サーバーの物理的な安全性が確保されていないと、権限のないユーザーが ACL 設定などのセキュリティ機能の裏をかいて、サーバー上のアプリケーションに直接アクセスし、オペレーティングシステムを使用してファイルのコピーや削除を行ったり、サーバーのハードウェア自体を破壊することもありえます。

ネットワークの物理的なセキュリティに関する問題には、災害対策や障害回復措置も含まれます。

オペレーティングシステムのセキュリティ

権限のないユーザーや悪意のあるユーザーがオペレーティングシステムの弱点を利用することは、往々にしてあります。システム管理者は、Domino® サーバーを実行するオペレーティングシステムを保護する必要があります。たとえば、管理者のログインや権限を制限する、FTP を無効にする (NT の場合)、Domino® サーバーのファイルサーバーや共有 NAS サーバーに対するディレクトリリンクのマッピングを使用しないようにするなどの措置が必要な場合があります。使用するオペレーティングシステムに関する情報を集め、セキュリティに関する最新の更新情報やパッチを入手して適用してください。

ネットワークセキュリティ

ネットワークの安全性を確保するためには、権限のないユーザーがサーバー、ユーザー、データにアクセスできないようにします。ネットワークの物理的セキュリティについては、このマニュアルでは扱いませんが、Notes®Domino® の接続のセキュリティを設定する前に設定しておく必要があります。ネットワークの物理的なセキュリティは、フィルタリングルーター、ファイアウォール、プロキシサーバーなどのデバイスを使用して確立します。これらのデバイスを使用すると、LDAP、POP3、FTP、STMP など、さまざまなネットワークサービスでネットワーク接続を実現して、ユーザーに提供することができます。ネットワーク接続のセキュリティアクセスも、これらのデバイスを使用して制御します。これらのデバイスでは、アクセスを可能にする接続や使用を許可するユーザーを定義できます。

正しい設定を行えば、権限のないユーザーが次の操作を実行することを防止できます。

  • ネットワークに侵入し、オペレーティングシステムやそのネイティブサービス (ファイル共有など) を通じてサーバーにアクセスする。
  • 権限のある Notes® ユーザーになる。
  • ネットワークを盗聴してデータを収集する。

サーバーセキュリティ

Domino® サーバーは、保護すべき最も重要なリソースであり、ネットワーク上でユーザーまたはサーバーがサーバーにアクセスすると、Domino® は第 1 レベルのセキュリティを適用します。そのサーバーにアクセスできるユーザーとサーバーを指定して、サーバー上での動作を制限できます。たとえば、新しいレプリカを作成できるユーザーや、パススルー接続を使用できるユーザーなどを制限できます。

管理者の任務やタスクに基づいてアクセス権を委任することで、管理者のアクセス権を制限したり、定義することもできます。たとえば、システム管理者のサーバーコンソールを使用してオペレーティングシステムのコマンドに対するアクセスを有効にし、Domino® データベースの管理を担当する管理者にデータベースへのアクセスを許可することもできます。

インターネットやイントラネットにアクセスできるようにサーバーを設定する場合は、SSL と名前とパスワードによる認証を設定して、ネットワーク経由で送信されるネットワークデータを保護し、サーバーとクライアントを認証します。

ID のセキュリティ

Notes® ID や Domino® ID を使用して、ユーザーやサーバーを一意に識別できます。Domino® は、ID 内の情報を使用して、ユーザーやサーバーが持つ、他のサーバーとアプリケーションに対するアクセス権を制御します。ID を保護し、権限のないユーザーが ID を使用して Domino® 環境にアクセスしないようにすることも、システム管理者の役目です。

認証者 ID やサーバー ID の ID ファイルにアクセスする前に、複数の管理者がパスワードを入力しなければならないサイトもあります。これによって、ID の管理が 1 人の管理者に集中することを防ぎます。このような場合、それぞれのパスワードの安全性を各管理者が保証し、ID ファイルへの不正なアクセスを防止しなければなりません。

Notes® ユーザーの ID を、スマートカードを使用して保護することもできます。スマートカードを使用すると、ユーザー ID が盗まれる恐れを減らすことができます。スマートカードを使用するユーザーの場合、自分のユーザー ID、自分のスマートカード、スマートカードの PIN (個人識別番号) がないと、Notes® にアクセスできないからです。

スマートカードの詳細については、HCL Notes® ヘルプを参照してください。

アプリケーションのセキュリティ

ユーザーやサーバーが Domino® サーバーにアクセスする際、データベースのアクセス制御リスト (ACL) を使用して、特定のユーザーやサーバーが持っている、サーバー上の個々の Domino® アプリケーションに対するアクセス権を制限できます。また、データの機密性を保護するには、ID を使用してデータベースを暗号化する (これによって、権限のないユーザーがローカルに保存されているデータベースのコピーにアクセスできなくなります)、送受信するメールに署名するかメールを暗号化する、データベースまたはテンプレートに署名する (式などからクライアントを保護するため) といった方法があります。

アプリケーション設計要素のセキュリティ

ユーザーはアプリケーションにアクセスできても、フォーム、ビュー、フォルダなど、そのアプリケーションの特定の設計要素にアクセスできるとは限りません。Domino® アプリケーションを設計する場合、アプリケーション開発者は、アクセスリストと特殊なフォルダを使用して特定の設計要素へのアクセスを制限できます。

クライアントデータのセキュリティ

Notes® ユーザーは、重要なアプリケーションや情報を各自のワークステーションに保存して使用することもできます。この情報は、操作制御リスト (ECL) を使用して保護することができます。ECL では、他のユーザーから送信されたアクティブコンテンツがユーザーワークステーションに対して持つアクセス権を定義します。