Domino® セキュリティチーム

組織では、一連のセキュリティ関連ドキュメントを作成する必要があります。セキュリティーの実装に必要なセキュリティ文書には、4 つの基本的な種類があります。

• ポリシーは、業務を推進するための文書です。これには通常、業務上のセキュリティニーズについてのハイレベルな説明が記述されます。皆さんの組織にも、組織全体のための包括的なポリシー文書が既に存在していることでしょう。Domino® 環境のセキュリティポリシーを作成するには、ポリシー文書を作成し、それを必要に応じて拡張する必要があります。
• ガイドラインは、企業内でセキュリティーをサポートと保守する方法に関する全般的なガイダンスです。
• 標準は、企業内で何が発生し、何が発生しないのかということに関する確固たるルールのことです。監査でこれら 4 種類の文書がすべてカバーされる場合もありますが、監査人が実際に焦点を当てるのは、会社によって制定されている標準だけです。標準は通常、パスワードの最小長、パスワードの有効期限、サーバーのオペレーティングシステムと物理的な環境、インターネットとダイヤルインのアクセス制御、管理者の身元調査、監査要件などの事柄をカバーします。
• 手順には通常、企業内でセキュリティーを実装するための方法に関する特定の手順が含まれます。これは、Domino® 認証者と X.509 認証者の制御方法から、ユーザーが Notes® パスワードやインターネットパスワードを忘れた場合の処置、従業員が退職した場合の手順にいたるまで、多くの手順をカバーした大きな Domino® セキュリティドキュメントになります。手順は、セキュリティフレームワークを設けた後で作成します。

Domino® セキュリティチームでは、これらの文書に関する初期の指示、フィードバック、監査を担当します。チームには、社内の各部門の代表者を参加させる必要があります。そうすれば、作成したセキュリティ文書が会社全体のニーズを満たすことになります。また、参加する部門が自分たちの問題として前向きに取り組むようになるという利点もあります。

ほとんどの会社では、次の表に示すような職務が存在しています。

ユーザーは、セキュリティーの実装で非常に大きな役割を果たします。開発するセキュリティガイドラインや標準についてだけではなく、セキュリティプランニングの重要性についても、ユーザーとよく話し合う必要があります。テクノロジーだけでは、組織の安全性を維持することはできません。セキュリティインフラストラクチャを成功に導く上で、ユーザーは、ファイアウォールや認証機関と同等の重要性を持ちます。

セキュリティプランニングにユーザーを参画させる 1 つの方法としては、ユーザーが期待している企業セキュリティーのレベルや保護すべきと考えている資産などについて、ユーザーの意識調査を実施するという方法があります。この調査は、無記名のアンケート形式で行うとよいでしょう。そうすれば、ユーザーが公言をはばかる可能性があるセキュリティーに関する問題点を明確にすることができます。

サーバー管理者は、Domino® サーバーの全体的な状態の管理に責任を持ちます。主な職務は、Notes® クライアントと Web ユーザーの両方について、サーバーアクセスリストとサーバー制限を定義して、管理することです。大規模な組織では、システム管理者の任務を複数のサーバー管理者に委任する場合もあります。小さな組織では、サーバー管理者が、Domino® 認証管理者と、Domino® ディレクトリや Notes Log (LOG.NSF) などのシステムデータベースを管理するデータベース管理者を兼任しても構いません。また、HTTP アクセスで使用するファイル保護文書の作成と管理、その他の Web 関連のセキュリティ機能の実装などを担当することもあります。

組織の IT ストラクチャの観点から可能であれば、Domino® サーバーの管理とオペレーティングシステムサーバーの管理は、分けるほうがよいでしょう。

さまざまなリソース管理に必要なアクセス権に基づいて、組織でさまざまなレベルの管理者を定義できます。たとえば、リモートコンソールアクセス専任の管理者やシステムアドミニストレーションアクセス専任の管理者を設定することもできます。これらの管理権限のレベルは、Domino® サーバーのサーバー文書で定義します。