ホーム
保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
Domino® サーバー ID と Notes® ユーザー ID
Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
Notes® ID ボールト
ID ボールトはオプションで、Notes® ユーザー ID の保護されたコピーを保持するサーバーベースのデータベースです。管理者やユーザーにとっては、Notes ユーザー ID の管理が容易になります。ポリシー設定を通じてユーザーがボールトに割り当てられ、ポリシーが有効になった時点で、ユーザー ID のコピーがボールトに自動的にアップロードされます。
ID ボールトの作成と設定を行う
ID ボールトを運用するには、ボールトデータベースとボールト ID ファイルをサーバーに作成して 1 人以上のボールト管理者を指定し、ボールトを信頼するユーザー組織を指定してパスワードのリセット権限を割り当て、ポリシーを使用してユーザー ID をボールトに対応づける必要があります。
パスワードのリセット権限を割り当てる
パスワードのリセット権限により、ユーザーまたはアプリケーションに対して、パスワードのリセット権限と ID ダウンロードカウントの指定権限を付与することができます。

保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
- Domino のセキュリティーの概要
  組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
  - 証明書
    認証とは、ユーザーやサーバーを識別する一意なデジタル署名のことです。サーバー ID とユーザー ID には、1 つ以上の HCL Notes® 認証が含まれています。また、インターネット・サーバーとの接続や署名付きの S/MIME メール・メッセージの送信に TLS が使用されている場合に、ユーザーを識別するインターネット証明書をユーザー ID に追加することもできます。
  - Notes® ID と Domino® ID のパスワード保護
    Domino® システムのセキュリティを確保するために、すべての Notes® ID と Domino ID (認証者、サーバー、ユーザー) をパスワード保護してください。ID をパスワード保護すると、パスワードから導出されるキーが、ID に基づいてデータを暗号化します。そして、メールにアクセスしたり、サーバーベースのデータベースを開いたり、ID ファイル情報を表示しようとすると、パスワードを入力するように要求されます。
  - パスワードクオリティスケール
    ユーザー ID、サーバー ID、認証者 ID にパスワードを設定する場合は、パスワードの強度とセキュリティについて、Domino® の基準を理解しておく必要があります。Domino では、パスワードクオリティスケールで指定されたレベルに従ってパスワードの強度を設定します。ユーザー登録時のデフォルトでは、一番弱いクオリティレベルに設定されています。Domino では、パスワードの文字数と文字の種類を基にしてパスワードのクオリティを判断します。
  - 認証時にユーザーパスワードを照合する
    パスワードの照合を使用可能にして、Notes® ユーザーがユーザー ID と関連付けられている正しいパスワードを入力した場合にのみサーバーで認証を行うことができるようにできます。
  - パスワードの照合を設定する
    セキュリティポリシー設定文書を使用して、パスワードの照合を有効にできます。セキュリティポリシー設定文書を使用すると、この機能を複数のユーザーに対して有効にしたり、Domino® ディレクトリを通じてユーザーごとにパスワードの照合を有効にしたりできます。
  - カスタムパスワードポリシー
    情報保護やデータの機密性に関する法律には、ID を検証するための安全なパスワードの選択基準として特殊な要件が盛り込まれています。これらの法律をユーザーが遵守できるように、HCL Domino® ではポリシーでパスワードを制限できます。管理者はこの新機能を使用して、企業または政府の一連のセキュリティ要件にほぼ適合するパスワード要件を強制的に適用することができます。
  - サーバー ID と認証者 ID に複数パスワードを割り当てる
    サーバーと認証者 ID に複数のパスワードを割り当てるには、その ID にパスワードが割り当てられる管理者全員を集める必要があります。次に、複数のパスワードを割り当てるときに、各管理者は一連の手順を実行する必要があります。
  - Notes® 共有ログインを利用して、パスワードを求めるプロンプトが出ないようにする
    Notes® 共有ログイン (NSL) では、ユーザーは Notes を Notes パスワードを指定することなく使用できます。代わりに Microsoft™ Windows™ へのログインに唯一必要となるのが Windows パスワードです。
  - Notes 共有ログインを使用してサーバー ID ファイルを保護する
    HCL Domino 12.0.1 から、Notes 共有ログイン (NSL) 機能を使用して、Windows 上の Domino サーバーのサーバー ID ファイルを保護できます。
  - Notes® ID ボールト
    ID ボールトはオプションで、Notes® ユーザー ID の保護されたコピーを保持するサーバーベースのデータベースです。管理者やユーザーにとっては、Notes ユーザー ID の管理が容易になります。ポリシー設定を通じてユーザーがボールトに割り当てられ、ポリシーが有効になった時点で、ユーザー ID のコピーがボールトに自動的にアップロードされます。
    - ID ボールトの機能
      ここでは、ID ボールトの一般的な機能について説明します。
    - ID ボールトのセキュリティ
      ID ボールトにより、複数のセキュリティ層が提供されます。
    - ID ボールトの導入を計画する
      ここでは、ID ボールトの導入計画に役立つ情報について説明します。
    - ID ボールトに関してよくある質問
      ここでは、ID ボールトに関してよくある質問とその回答をまとめます。
    - ID ボールトの作成と設定を行う
      ID ボールトを運用するには、ボールトデータベースとボールト ID ファイルをサーバーに作成して 1 人以上のボールト管理者を指定し、ボールトを信頼するユーザー組織を指定してパスワードのリセット権限を割り当て、ポリシーを使用してユーザー ID をボールトに対応づける必要があります。
      - ID ボールトを作成する
        ID ボールトツールが起動されたら、指示に従って処理を実行します。ただし、手順の一部は、後で別のツールを使用して実行することも可能です。
      - ID ボールトを信頼する組織を指定する
        Domino® Administrator の [設定] タブで信頼されたボールト証明書を追加または削除します。
      - パスワードのリセット権限を割り当てる
        パスワードのリセット権限により、ユーザーまたはアプリケーションに対して、パスワードのリセット権限と ID ダウンロードカウントの指定権限を付与することができます。
        サンプルのセルフサービスアプリケーションをセットアップして、ID ボールトユーザーによる Notes® パスワードのリセットを許可する
        Domino® サーバーには、「サンプルの Web エージェント - ユーザーパスワードのリセット」(PwdResetSample.nsf) というアプリケーションが付属しています。このアプリケーションには、サンプルの UserPasswordReset という LotusScript® エージェントが含まれます。これは、ボールトに ID が保管されているユーザーがブラウザから Notes® パスワードをリセットできるというものです。Notes パスワードを忘れてしまっても、自分で新しいパスワードを設定できることになります。
      - ユーザーをボールトに対応づける
        ID ボールトにアップロードできるのは、信頼されたボールト証明書が親認証者によって発行された ID だけです。アップロードするには、ポリシー文書に追加したセキュリティ設定文書の [ID ボールト] タブで、ボールト名を指定します。
      - ID をデータベースに保存してボールトを使用するプログラムを有効にする
        Notes® ID をデータベースに保存して ID ボールトを使用する Notes の API プログラムを有効に設定することができます。この設定により、該当するプログラムのユーザーは、ID ボールトに用意されている ID 管理機能を使用できるようになります。
      - ID ボールトサーバーを追加または削除する
        あるサーバーに ID ボールトを作成した後、HCL Domino® ドメイン内の別のサーバーに複製して、可用性を高めることができます。[ID ボールト] > [管理] ツールを使用して、ボールトのレプリカを追加または削除したり、別のボールトの 1 次サーバーを指定したりできます。ボールトレプリカを管理する場合は、従来のデータベース複製ツールではなく、常にこのツールを使用してください。
      - ボールト管理者を追加指名または解除する
        ボールト管理者は、他のボールト管理者の追加と削除、ボールトのレプリカの追加と削除、ボールトからの ID の削除、非アクティブ ID のマーキング、非アクティブ ID の復旧、ボールトの削除などの処理を行うことができます。ボールトを作成する場合、ボールト管理者を少なくとも 1 人指定する必要があります。ただし、不測の事態に備え、複数のボールト管理者を指定しておくことをお勧めします。
      - ユーザーがパスワードを忘れた場合に表示する指示文を指定する
        ユーザーがパスワードを忘れた場合に、Notes® のログイン画面でユーザー (ボールトに ID が格納されていないユーザーも含む) に表示する指示文を指定します。
      - パスワードをリセット後、改めてパスワードを変更する必要があるかどうかを指定する
        セキュリティ設定文書を使用して、パスワードのリセット後に改めてパスワードを変更する必要があるかどうかを制御します。
      - ID のダウンロードでダウンロード権限を要求する
        不正なユーザーがボールトから Notes クライアント ID ファイルをダウンロードしないようにするため、ID のダウンロード権限を要求します。
      - ボールト ID ファイルのパスワードを変更する
        ボールト ID ファイルのパスワードは、[ID ボールト] > [管理] ツールで変更できます。
      - ID ボールトポリシー設定文書を手作業で作成、編集する
        ポリシー設定を使用すると、ID を ID ボールトに対応づけるほか、ID ボールトに関する他の設定事項をいくつか指定することができます。ポリシー設定の指定は、[ID ボールト] > [作成] または [ID ボールト] > [管理] ツールを使用するか、以下に説明するように、手作業でポリシー設定を作成、編集します。
    - ID ボールトを削除する
      必要がなくなった ID ボールトは削除することができます。その前に、ボールト 1 次サーバー以外にあるレプリカをすべて削除しておく必要があります。
    - ボールトのユーザー ID を表示する
      ポリシーを使用してユーザーをボールトに対応づけた後、ポリシーが有効になった状態でこのユーザーが Notes® を起動すると、ユーザー ID がボールトにアップロードされます。その際、ポリシーに対する変更が有効になるまでに、多少時間がかかる場合があります。
    - ID ファイル同期を保守管理する
      Notes® クライアント ID のパスワードが ID ボールトの ID のパスワードとは異なる場合、クライアントと ID ボールト間の ID 情報の同期が停止しています。パスワードが同期していないときには、同期を自動的に再開できます。Query Vault コンソールコマンドや Domino Administrator を使用すると、ID 同期をモニターおよび管理できます。
    - ID ボールトにあるユーザー ID を管理する
      ボールトに格納されている ID のパスワードをリセットする、ユーザーに対して許可する ID ダウンロード数を指定する、ボールトから監査用に ID を抽出する、ボールトから ID を削除する、ボールトにある ID に非アクティブであることを示す印をつける、などの管理操作を行うことができます。
    - ID ボールトの設定時のトラブルシューティング
      ID ボールトに関する問題をトラブルシューティングするには 2 つの方法があります。両方または、どちらかを実行してください。
    - ID ボールト関連の NOTES.INI 設定
      ID ボールトに関連する NOTES.INI 設定を以下に示します。
  - ID の復旧
    ID を復旧する場合は、ID ボールトを使用することを強くお勧めします。ただし、ここで説明する従来の ID 復旧機能も引き続き使用することができます。
  - パブリックキーのセキュリティ
    すべての Notes® ユーザー ID と Domino® サーバー ID には、Notes 認証のためのパブリックキーが含まれています。パブリックキーは、ID ファイルだけではなく、Domino ディレクトリのその ID のユーザー文書やサーバー文書にも保存されます。Notes と Domino では、パブリックキーを使用してユーザーとサーバーを認証し、デジタル署名を照合し、メールやデータベースを暗号化します。また、Notes ユーザー ID には、インターネット証明書で使用する固有のパブリックキーを指定することもできます。
  - ユーザーとサーバーキーのロールオーバー
    キーロールオーバーは、ユーザー ID ファイルとサーバー ID ファイルに格納される Notes® のパブリックキーとプライベートキーのセットに対して、更新を行うために使用されるプロセスです。このキーのセットは、プライベートキーの未発見の脆弱性に対する予防措置、プライベートキーの既知の脆弱性からの救済、大規模なキーへのアップグレードによるセキュリティの強化のために、定期的に置き換える必要があります。
  - 認証機関キーロールオーバー
    HCL Domino® 管理者は、新しいパブリックキーとプライベートキーのセットを Domino 認証機関 (CA) に割り当てることができます。これらのキーは、OU とその組織内のサーバーとユーザーを認証するために使用されます。新しいキーを割り当てるプロセスは、キーロールオーバーと呼ばれます。
  - 相互認証を使用して、サーバーにアクセスし保護された S/MIME メッセージを送信する
    Domino® は Notes® とインターネット相互認証の両方を使用します。Notes 相互認証によって、階層認証されているさまざまな組織のユーザーがサーバーにアクセスしたり、暗号化されたメールメッセージを受信したりできます。インターネット相互認証によって、ユーザーは署名付きのメールメッセージを受信したり、暗号化されたメールメッセージを送信できます。
  - Domino® ディレクトリや連絡先への相互認証の追加
    HCL Notes® とインターネットの相互認証は、さまざまな方法で取得できます。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- TLS セキュリティー
  TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
- クライアントの TLS と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 時間ベースのワンタイム・パスワード (TOTP) 認証
  ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
- 資格情報ストアを使用して資格情報を保存する
  Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
- Notes と Domino でサポートされる鍵サイズの歴史
  この記事では、Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズに関する情報を提供します。

パスワードのリセット権限を割り当てる

パスワードのリセット権限により、ユーザーまたはアプリケーションに対して、パスワードのリセット権限と ID ダウンロードカウントの指定権限を付与することができます。

始める前に

このタスクを完了するには、以下のアクセスを持っている必要があります。

HCL Domino® ドメイン内のサーバーに対する [管理者] のアクセス権。
Domino® ディレクトリに対する [編集者] アクセス権。
パスワードのリセット対象者が属する各ユーザー組織の、認証者 ID ファイルに対する物理的アクセス権。認証者 ID ファイルは、パスワードリセット権限者に対して、パスワードリセット証明書を発行するために使用します。

手順

Domino® Administrator ツールパネルを開いてパスワードリセット権限を指定します。次のいずれかの方法で指定します。
- 次の手順で ID ボールトを作成するパネルを開きます:[設定] タブを選択し、[ツール] > [ID ボールト] > [作成] をクリックし、手順 f を実行します。
- ID ボールトに関するそれ以外の管理作業時:[設定] タブを選択し、[セキュリティ] > [ID ボールト] ビューを選択します。このビューでボールト文書を選択し、[ツール] > [ID ボールト] > [管理] をクリックして、[パスワードリセット権限の追加または削除] タスクを選択します。
- [設定] タブを選択し、[ツール] > [ID ボールト] > [パスワードのリセット権限] をクリックします。
- 「ユーザーとグループ」タブを選択し、[ツール] > [ID ボールト] > [パスワードのリセット権限] をクリックします。

権限の種類に応じ、次の手順でパスワードのリセット権限を割り当てます。

表 1. パスワードのリセット権限を割り当てる方法
パスワードのリセット権限の種類	ステップ	コメント
Domino® Administrator 上でユーザーのパスワードをリセットするヘルプデスク担当者の権限	[組織によるパスワードのリセット権限] リストで、パスワードリセットの対象となるユーザーの組織または組織単位を選択します。有効なユーザー、グループ、サーバーのリスト、組織単位のリストから、前のステップでハイライト表示された組織内のユーザーのパスワードリセットを許可する対象を選択します。 [追加] をクリックすると、ハイライト表示されている組織または組織単位のパスワードリセット権限が、ユーザー、グループ、組織単位に対して付与されます。[すべてに追加] をクリックすると、[組織によるパスワードのリセット権限] リスト内のすべての組織のパスワードリセット権限が、ユーザー、グループ、組織単位に対して付与されます。必要に応じて手順 a から c を繰り返します。	グループを選択した場合、現時点の各メンバーに対し、個別にパスワードリセット証明書が作られます。今後グループのメンバーシップが変わっても、それに応じてパスワードリセット証明書が書き換えられることはありません。
エージェントパスワードリセットアプリケーションの権限	[組織によるパスワードのリセット権限] リストで、パスワードリセットの対象となるユーザーの組織または組織単位を選択します。 [有効なユーザー、グループ、サーバー] リストで、アプリケーションエージェントに署名した (またはこれから署名する予定の) ユーザーの名前を選択します。 [追加] をクリックすると、ハイライト表示されている組織または組織単位のパスワードリセット権限が、選択したエージェント署名者に対して付与されます。エージェント署名者名をハイライト表示した状態で、[セルフサービスパスワードのリセット権限] を選択します。 [有効なユーザー、グループ、サーバー] リストで、アプリケーションのデプロイ先であるサーバーまたはサーバーグループの名前を選択します。 [追加] をクリックすると、ハイライト表示されている組織または組織単位のパスワードリセット権限が、選択したサーバーまたはサーバーグループに対して付与されます。必要に応じて上記の手順を繰り返します。	権限を付与された各サーバーのサーバー文書の場合、エージェント署名者に対して [制限付き LotusScript/Java エージェントの署名または実行] を指定する必要があります。サーバーにボールトのレプリカがなくても構いません。エージェントに署名するには、Domino® Designer で、パスワードのリセット権限を付与した (または今後付与する) ユーザー ID に切り替えます。[コード] > [エージェント] をクリックし、表示されたエージェントをダブルクリックしてから、エージェントを選択し、[署名] をクリックします。サーバーグループ名を選択した場合、現在グループに属する各サーバーに対して、個別にパスワードリセット証明書が作られます。今後グループのメンバーシップが変わっても、それに応じてパスワードリセット証明書が書き換えられることはありません。アプリケーションのユーザーがユーザーのパスワードをリセットするヘルプデスク担当者である場合でも、エージェント署名者に対して [セルフサービスパスワードのリセット権限] を選択します。
エージェント以外のパスワードリセットアプリケーションの権限	[組織によるパスワードのリセット権限] リストで、パスワードリセットの対象となるユーザーの組織または組織単位を選択します。 [有効なユーザー、グループ、サーバー] リストで、アプリケーションの実行権限が付与されたユーザーまたはサーバーの名前を選択します。 [追加] をクリックすると、ハイライト表示されている組織または組織単位のパスワードリセット権限が、選択したユーザーまたはサーバーに対して付与されます。ユーザー名を追加する場合、ユーザー名をハイライト表示した状態で、[セルフサービスパスワードのリセット権限] を選択します。必要に応じて上記の手順を繰り返します。	アプリケーションのユーザーがユーザーのパスワードをリセットするヘルプデスク担当者である場合でも、ユーザー名に対して [セルフサービスパスワードのリセット権限] を選択します。