セキュリティ

Domino のセキュリティモデル
Domino のセキュリティモデルは、Domino Server そのもの、データベース、クライアントデータ、文書などのリソースを保護することを前提としています。保護対象のリソース、つまりオブジェクトに対しては、アクセスや変更を行うユーザー権限を定義することができます。アクセス権や権限に関する情報は、保護対象の各リソースとともに保存されます。そのため、ユーザーやサーバーがアクセスする必要のあるリソースによって、アクセス権はユーザーやサーバーごとに異なる場合もあります。

ここでは、Domino 環境で保護する必要のあるさまざまなリソースについて、簡単に説明します。一部の項目は、Domino のセキュリティに固有なものではありませんが、完全を期すためにここに含めています。

物理的なセキュリティ
サーバーとデータベースの物理的な安全性を確保することは、権限のないユーザーやサーバーのアクセスを禁止することと同様に重要です。権限のないユーザーや悪意のあるユーザーが Domino Server に直接アクセスすることを禁止することによって、それらのユーザーに対する防御の最前線とします。Domino Server は、換気のよい安全な場所、たとえば鍵のかかる部屋に設置することを推奨します。サーバーの物理的な安全性が確保されていないと、権限のないユーザーが ACL 設定などのセキュリティ機能の裏をかいて、サーバー上のアプリケーションに直接アクセスし、オペレーティングシステムを使用してファイルのコピーや削除を行ったり、サーバーのハードウェア自体を破壊することもありえます。

ネットワークの物理的なセキュリティに関する問題には、災害対策や障害回復措置も含まれます。

オペレーティングシステムのセキュリティ
権限のないユーザーや悪意のあるユーザーがオペレーティングシステムの弱点を利用することは、往々にしてあります。システム管理者は、Domino Server を実行するオペレーティングシステムを保護する必要があります。たとえば、管理者のログインや権限を制限する、FTP を無効にする (NT の場合)、Domino Server のファイルサーバーや共有 NAS サーバーに対するディレクトリリンクのマッピングを使用しないようにするなどの措置が必要な場合があります。使用するオペレーティングシステムに関する情報を集め、セキュリティに関する最新の更新情報やパッチを入手して適用してください。

ネットワークのセキュリティ
ネットワークの安全性を確保するためには、権限のないユーザーがサーバー、ユーザー、データにアクセスできないようにします。ネットワークの物理的セキュリティについては、このマニュアルでは扱いませんが、Notes と Domino の接続のセキュリティを設定する前に設定しておく必要があります。ネットワークの物理的なセキュリティは、フィルタリングルーター、ファイアウォール、プロキシサーバーなどのデバイスを使って確立します。これらのデバイスを使用すると、LDAP、POP3、FTP、STMP など、さまざまなネットワークサービスでネットワーク接続を実現して、ユーザーに提供することができます。ネットワーク接続のセキュリティアクセスも、これらのデバイスを使って制御します。これらのデバイスでは、アクセスを可能にする接続や使用を許可するユーザーを定義できます。

正しい設定を行えば、権限のないユーザーが次の操作を実行することを防止できます。


サーバーのセキュリティ
Domino Server は、保護すべき最も重要なリソースであり、ネットワーク上でユーザーまたはサーバーがサーバーにアクセスすると、Domino は第 1 レベルのセキュリティを適用します。そのサーバーにアクセスできるユーザーとサーバーを指定して、サーバー上での動作を制限できます。たとえば、新しいレプリカを作成できるユーザーや、パススルー接続を使用できるユーザーなどを制限できます。

管理者の任務やタスクに基づいてアクセス権を委任することで、管理者のアクセス権を制限したり、定義することもできます。たとえば、システム管理者のサーバーコンソールを使ってオペレーティングシステムのコマンドに対するアクセスを有効にし、Domino データベースの管理を担当する管理者にデータベースへのアクセスを許可することもできます。

インターネットやイントラネットにアクセスできるようにサーバーを設定する場合は、SSL および名前とパスワードによる認証を設定して、ネットワーク経由で送信されるネットワークデータを保護し、サーバーとクライアントを認証します。

詳しくは、「サーバーのセキュリティ」の項目を参照してください。

ID のセキュリティ
Notes ID や Domino ID を使用して、ユーザーやサーバーを一意に識別できます。Domino は、ID 内の情報を使用して、ユーザーやサーバーが持つ、他のサーバーとアプリケーションに対するアクセス権を制御します。ID を保護し、権限のないユーザーが ID を使って Domino 環境にアクセスしないようにすることも、システム管理者の役目です。

認証者 ID やサーバー ID の ID ファイルにアクセスする前に、複数の管理者がパスワードを入力しなければならないサイトもあります。これによって、ID の管理が 1 人の管理者に集中することを防ぎます。このような場合、それぞれのパスワードの安全性を各管理者が保証し、ID ファイルへの不正なアクセスを防止しなければなりません。

詳しくは、「Notes ID と Domino ID のセキュリティ」の項目を参照してください。

Notes ユーザーの ID を、スマートカードを使って保護することもできます。スマートカードを使うと、ユーザー ID が盗まれる恐れを減らすことができます。スマートカードを使うユーザーの場合、自分のユーザー ID、自分のスマートカード、およびスマートカードの PIN (個人識別番号) がないと、Notes にアクセスできないからです。

スマートカードについて詳しくは、『Lotus Notes 6 ヘルプ』の「Notes ログインに対してスマートカードを有効にする」の項目を参照してください。『Lotus Notes 6 ヘルプ』がインストールされていない場合は、http://www.lotus.com/ldd にアクセスして、『Lotus Notes 6 ヘルプ』をダウンロードするか、表示します。

アプリケーションのセキュリティ
ユーザーやサーバーが Domino Server にアクセスする際、データベースのアクセス制御リスト (ACL) を使用して、特定のユーザーやサーバーが持っている、サーバー上の個々の Domino アプリケーションに対するアクセス権を制限できます。また、データの機密性を保護するには、ID を使ってデータベースを暗号化する (これによって、権限のないユーザがローカルに保存されているデータベースのコピーにアクセスできなくなります)、送受信するメールに署名するかメールを暗号化する、データベースまたはテンプレートに署名する (式などからクライアントを保護するため) といった方法があります。

データベース ACL について詳しくは、「アプリケーションのセキュリティ」の項目を参照してください。

アプリケーション設計要素のセキュリティ
ユーザーはアプリケーションにアクセスできても、フォーム、ビュー、フォルダなど、そのアプリケーションの特定の設計要素にアクセスできるとは限りません。Domino アプリケーションを設計する場合、アプリケーション開発者は、アクセスリストと特殊なフォルダを使って特定の設計要素へのアクセスを制限できます。

設計要素の保護について詳しくは、「アプリケーション設計要素のセキュリティ」を参照してください。

クライアントデータのセキュリティ
Notes ユーザーは、重要なアプリケーションや情報を各自のワークステーションに保存して使用することもできます。この情報は、操作制御リスト (ECL) を使って保護することができます。ECL では、他のユーザーから送信されたアクティブコンテンツがユーザーワークステーションに対して持つアクセス権を定義します。

操作制御リストについて詳しくは、「クライアントデータのセキュリティ」の項目を参照してください。

関連項目