セキュリティとドメイン検索

Domino® データベースでユーザーがドメイン検索を実行すると、結果ごとに、結果が検出されたデータベースの ACL が調べられ、ユーザーに検索結果の文書を読む権限があるかどうかがチェックされます。この検証を行うには、ドメインカタログに ACL を含むすべてのデータベースのリストが必要です。Domino® で検索結果文書へのリンクをユーザーの結果セットに表示するには、ユーザーに検索結果文書を読む権限がなければなりません。つまり、検索結果文書が含まれるデータベースに対して [読者] 以上のアクセス権を持ち、[読者] フィールドがある場合は、このフィールドにユーザーが含まれます。

セキュリティは次のようにして確認されます。

  1. Domino® はデータベースのアクセス制御リストで [-Default-] エントリをチェックします。
    • [-Default-] エントリのアクセス権が [読者] 以上の場合、ユーザーは文書を読むことができるため、Domino® によって結果セットに結果が返されます。
    • [-Default-] エントリのアクセス権が [読者] 未満の場合、Domino® によってユーザーに [読者] 以上のアクセス権があるかどうかが ACL でチェックされます。ユーザーに [読者] 以上のアクセス権がない場合、文書を読み込む権限がユーザーにないため、Domino® によってその文書は検索結果として返されません。
  2. ユーザーに [読者] 以上のアクセス権がある場合、Domino® によって結果文書に [読者] フィールドがあるかどうかがチェックされます。
    • 検索結果文書に [読者] フィールドがない場合、ユーザーは文書を読むことができ、Domino® によって結果セットに結果が返されます。
    • 検索結果文書に [読者] フィールドがある場合、Domino® によって [読者] フィールドにユーザーが表示されているかどうかがチェックされます。ユーザーに [読者] 以上のアクセス権がない場合、文書を読み込む権限がユーザーにないため、Domino® によってその文書は検索結果として返されません。
    • ユーザーが [読者] フィールドに表示されている場合、ユーザーは文書を読むことができ、Domino® によって結果セットに結果が返されます。
注: セキュリティ確認は、Domino® データベースの検索結果に対してだけ行われます。ファイルシステムから返される検索結果はファイルシステムのセキュリティによって異なります。文書を表示する権限がなくても検索結果は表示されます。そのためユーザーがすべての検索結果にアクセスできないことや、特定の検索結果から機密情報を推測できてしまうこともあります。ファイルシステムのセキュリティを適切に設定し、セキュリティが大切ではないファイルシステムだけに索引を作成するようにしてください。
注: セキュリティの優先度が高いファイルシステムに索引を作成するときは、索引作成用に選択したデータベースで Notes® クライアント文書にそれらのファイルを添付できます。

検索セキュリティとサーバーアクセスリスト

情報へのアクセスを制限するために、ドメインでサーバーアクセスリストを使用している場合は、それらのサーバーのデータベースの ACL を調べて、結果がフィルタされることを確認する必要があります。このチェックをしないと、検索結果文書にアクセスできないユーザーに結果が返されることになってしまう場合があります。場合によっては、ユーザーが検索結果から機密情報を推測できることがあります。

たとえば、Renovations 社には、App-E/East/Renovations と App-W/West/Renovations の 2 台のアプリケーションサーバーがあります。Renovations のユーザーは、2 つの組織単位 /East/Renovations または /West/Renovations のいずれかで認証されます。App-E/East/Renovations では、/West/Renovations 証明書を持つユーザーのアクセスは許可していません。このサーバー上のデータベースの ACL では [-Default-] が [読者] に設定され、/West/Renovations のユーザーがこれらのデータベースにアクセスできないように指定されています。

Renovations 社がドメイン検索を導入したとき、ドメイン検索を照会する /West/Renovations ユーザーに、App-E/East/Renovations のデータベース内の文書へのリンクとサマリーが含まれ返されてしまう場合があります。これは、それらのデータベースの ACL で、/West/Renovations ユーザーがそれらの結果を参照することを禁じていないからです。(Microsoft Windows システムでは、ユーザーが [詳細な結果] オプションを選択すると、検索結果に文書のサマリーが含まれます。) この環境下でのデータベースのセキュリティはサーバーアクセスリストによって維持され続けるため、/West/Renovations ユーザーはそれらのリンクから文書にアクセスできませんが、リンクとサマリーが存在するというだけで、/West/Renovations ユーザーに機密情報が漏えいする危険性があります。

このような問題を避けるには、サーバーアクセスリストによって保護されているデータベースの ACL を調べて、フィルタリングが確実に実行されるように設定します。この作業は、サーバーアクセスリストがない状態を想定して行います。サーバーアクセスリストがない状態で、データベースが正しく保護されるように ACL を変更します。これにより、ドメイン検索でデータベースの ACL による確認が実行されれば、ユーザーがアクセスできない文書は検索結果として表示されなくなります。

WindowsDomino® を実行していて、データベースの ACL が適切に保守管理できているか不安なときは、インデックスサーバーの NOTES.INI 変数を FTG_No_Summary=1 に設定して、誰も文書のサマリーを表示できないようにします。

注: この例では、インデックスサーバーに App-E/East/Renovations と App-W/West/Renovations の両方へのアクセスを許可する証明書があることを想定しています。