セキュリティポリシー設定による ID ファイルのセキュリティ強化 Lotus Knows EXPO 2010

®
IBM Software Group
Software Service
Lotus Knows EXPO 2010
IBM ソフトウェア アクセラレイテッド・バリュー・プログラム 活動事例紹介
再考！ 標準機能で、何処まで出来るの？
セキュリティポリシー設定によるIDファイルのセキュリティ強化
日本アイ・ビー・エム 株式会社
ソフトウェア アクセラレイテッド・バリュー・プログラム
神田 正和
IBM Software Group Software Service
特記事項
ƒ 本資料の記載内容は、できる限り正確を期すよう努めてはおりますが、いかなる明
示または暗黙の保証も責任も負いかねます。
ƒ 本資料の情報は、使用先の責任において使用されるべきものであることを、あらかじ
めご了承ください。
ƒ 掲載情報は不定期に変更されることもあります。他のメディア等に無断で転載する
事はご遠慮ください。
ƒ 当資料をコピー等で複製することは、執筆者の承諾なしではできません。
ƒ また、当資料に記載された製品名または会社名はそれぞれの各社の商標または登
録商標です。
IBM、IBMロゴ、Lotus、Lotus Notes、Lotus Domino、WebSphereは、International Business Machines Corporationの米国およびその他の国における商標。
Microsoft, Windows, Windows NT および Windowsロゴは Microsoft Corporationの米国およびその他の国における商標。
-2All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
はじめに
ƒ Lotus Notes ®で使用されるIDファイルのセキュリティを高める標準機能について、Lotus
Notes/Domino 8.0.xをベースに、改めて、まとめました。
ƒ 資料の構成は、次のとおりです。
１．パスワードチェック
•
•
•
•
•
パスワードチェックとは
設定手順
ロックアウトまでの流れ
ロックアウトされてしまったら
運用上の考慮点について
２．セキュリティポリシー
•
•
•
•
セキュリティポリシーとは
パスワード管理
セキュリティポリシーとパスワードチェックの比較
カスタムパスワードポリシー
-3All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
パスワードチェックとは
ƒ パスワードチェック機能を使用することにより、ユーザーIDファイルとパスワードを他者に不正入手されたよう
な場合のサーバーアクセスを防ぐことができます。
ƒ パスワードチェックには、ユーザーID、サーバー文書、ユーザー文書のそれぞれが保有する以下の情報が関
係します。
a. ユーザーID
•
•
•
•
•
最終パスワード変更日
パスワード期限切れまでの日数
パスワードを変えないままでいられる最大日数
現在のパスワード
最近使われたパスワード 49 個の履歴と各パスワードが無効になった日
b. サーバー文書の項目
•
パスワードチェック （サーバーごとのパスワードチェックの有効/無効）
c. ユーザー文書の項目
•
•
•
•
•
パスワードチェック （パスワードチェックの有効/無効）
必須変更間隔 （１つのパスワードの有効期間）
猶予期間 （必須変更間隔が過ぎた後、パスワードを変更できる日数）
最終変更日 （ユーザーが最後にパスワードを変更した日付のサーバー側のコピー）
パスワードダイジェスト （サーバーが保持する暗号化されたパスワード）
-4All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
パスワードチェックとは（続き）
※ 設定前とパスワードチェック設定後では保持される（管理可能な）情報が異なります。
設定前
パスワード
チェック
最終パスワード変更日
○
○
パスワード期限切れまでの日数
×
○
パスワードを変えないままでいられる最大日数
×
○
現在のパスワード
○
○
最近使われたパスワード 49 個の履歴と各パスワードが無効に
なった日
○
○
サーバー文書
パスワードチェック
×
○
ユーザー文書
パスワードチェック
×
○
必須変更間隔
×
○
猶予期間
×
○
最終変更日
×
○
パスワードダイジェスト
×
○
ユーザーID
-5All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
設定手順 ： サーバー毎にパスワードチェック機能の有効化
ƒ
次の設定（手順）により、ユーザーが認証を行う個々のサーバーに対して、パスワードの照合を有効にし
ます。
1.
Lotus Domino Administrator で、[設定] をクリックします。
2.
パスワードの照合を有効にするサーバーのサーバー文書を開きます。
3.
[セキュリティ] をクリックし、[Notes ID のパスワード確認] フィールドで [有効] を選択します。
4.
パスワードの照合を有効にする各サーバーに対して、この操作を繰り返して実行します。
-6All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
設定手順 ： ユーザーに対するパスワードチェック機能の有効化
ƒ
次の設定（手順）により、ユーザーに対するパスワードチェック実施を有効にします。
1. 次の点を確認します。
•
•
•
サーバー上でシステム管理プロセスが設定済みであること
Domino ディレクトリで [作成者] 以上のアクセス権と [UserModifier] ロールがあること
ユーザーを認証する際に使用するサーバー上で、パスワードの照合が有効になっていること
2.
Lotus Domino Administrator で、[ユーザーとグループ] をクリックします。
3.
パスワードの照合を有効にする個々のユーザー文書を選択します。
4.
[アクション] - [パスワードフィールドの設定] を選択し、[はい] をクリックして続行します。
5.
[Notes パスワードをチェックする] フィールドで [パスワードをチェックする] を選択します。
6.
次のフィールドに必要な情報を設定し、[OK] をクリックします。
フィールド
アクション
必須変更間隔
パスワードを変更しなければならない日までの日数を入力します。パスワードはその日まで有効になります。デフォ
ルト値は 0 です。
許可する猶予期間
ユーザーがロックアウトされるまでの猶予期間を日数で指定します。期限切れになったパスワードをこの期間内に
ユーザーが変更しないと、そのユーザーはロックアウトされます。デフォルト値は 0 です。
-7All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
設定手順 ： システム管理プロセスとパスワードの照合
ƒ ここまでの設定を行い、パスワードの照合をユーザーが使用できるようにすると、システム管理プロセスに
よって、システム管理要求データベースに「パスワード情報の設定」要求が作成されます。
ƒ ユーザーのユーザー文書の [管理] セクションにある [パスワードチェック]、[必須変更間隔]、[猶予期
間] の各フィールドに値を入力することで、（この要求により）パスワードチェックが有効になります。
ƒ パスワードの照合が必要なサーバーにユーザーが初めてログオンすると、システム管理プロセスによって、
システム管理要求データベースに対する「Domino ディレクトリのユーザーパスワード変更」要求が作成
されます。
-8All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
設定手順 ： システム管理プロセスとパスワードの照合（続き）
ƒ この要求によって、ユーザー文書の [管理] セクションにある [パスワードダイジェスト] フィールドに、対応する RSA パブ
リックキーのハッシュが表示されます。
ƒ これは Lotus Notes パスワードのハッシュおよび ID ファイルに保存されている他のシークレット情報から作成されます。
ƒ ユーザー文書の [管理] セクションにある [最終変更日] フィールドに、ユーザーがパスワードを入力した日付が記録され
ます。
ƒ パスワードの照合が有効になっているサーバーで認証を行うには、そのダイジェストに対応するパスワードを入力する必要
があります。
ƒ それ以降は、ユーザーがパスワードを変更すると、システム管理プロセスによって、システム管理要求データベースに新し
い「Domino ディレクトリのユーザーパスワード変更」要求が作成されます。
ƒ この要求によって、ユーザー文書の [パスワードダイジェスト] フィールドと [最終変更日] フィールドが更新されます。
ƒ パスワードの照合を有効にした後で変更間隔や猶予期間を変更すると、システム管理プロセスはユーザー文書内の該
当フィールドを更新しなければなりません。そのため、ユーザーは、変更内容を有効にするために、パスワードを変更する
必要があります。
-9All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
ロックアウトまでの流れ ： 期限切れが迫った場合
ƒ クライアントに警告メッセージが表示されます。
ƒ パスワードの変更が近づくとプロンプトが表示され、パスワードを変更する必要があることがユーザーに通
知されます。(サーバーにアクセスをしなくても表示されます。)
ƒ プロンプトは、現在の変更間隔の3分の2が経過し、同時に変更時期までに猶予が2日以上残っている
時期になると表示されます。
- 10 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
ロックアウトまでの流れ ： 期限が切れた場合
ƒ 期限切れが迫るタイミングとは、異なるメッセージが表示されます。
上記のメッセージで「いいえ」を選択し、サーバーにアクセスをしようとすると、以下のメッセージが表示されます。
ƒ 一度期限切れになってしまったら、猶予期間ならパスワードを変更できますがパスワードを変更するまで
は、 パスワードチェックが有効なサーバーにはログインできません。
- 11 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
ロックアウトまでの流れ ： ロックアウト
ƒ ユーザーが猶予期間中にパスワードを変更せず、猶予期間終了後にパスワードチェックが有効なサー
バーにアクセスする場合には、メッセージが表示されます。
ƒ この場合は管理者によるユーザーのアカウントのロック解除（リセット）が必要になります。
ユーザー文書の [パスワードダイジェスト] フィールドのデータを管理者が手動で削除し、ユーザーが新しいパスワード
を作成するまでは、認証を行うことができません。
- 12 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
ロックアウトしてしまったら
ƒ ロックアウトされてしまった場合には、
ユーザー文書の [管理情報] タブにある ［パスワードダイジェスト］フィールドをクリアして保存します。
保存後に再度サーバーにアクセスを行い、パスワードの変更を行います。
- 13 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
１．パスワードチェック
運用上の考慮点について
ƒ パスワードチェック導入後の考慮点について、以下にまとめました。
初期パスワードを設定しているIDファイルの場合
•
•
上記と同じように、[パスワードダイジェスト]フィールドをクリアして保存します。
初期パスワードを設定しているファイルをユーザーへ配布し、パスワード変更を実施してもらいま
す。
パスワードを覚えている ID ファイルがない場合
•
•
ID復旧の設定が行われていなければ、設定などでパスワードをリカバリーすることは出来ません。
ユーザーを登録し直してIDの再発行を行う必要がありますが、この場合、旧IDを使って暗号化し
た文書にはアクセスできません。
- 14 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
２．セキュリティポリシー
セキュリティポリシーとは
ƒ セキュリティポリシー設定文書を使用すると、以下のことが可能となります。
Notes とインターネットパスワードの管理・・・・・Notesクライアントとインターネットパスワードに関連した設定
カスタムパスワードの設定・・・・・パスワードの設定条件の設定
キーと認証・・・・パブリックキーを使用している場合に、パブリックキー要件などを設定
管理 ECL の管理・・・・・ECL(ワークステーションセキュリティ)の配布や削除を制御
複合アプリケーション用の署名付きプラグイン・・・・プラグインの許可設定
ƒ ここでは、パスワードチェック機能と関連する部分として、「パスワード管理の設定」について説明します。
- 15 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
２．セキュリティポリシー
パスワード管理(1)
ƒ パスワード管理 オプション
パスワードに関する動作およびインターネットパスワードの動作に関して設定することができます。
Notes Clientにカスタムパスワードを使用に「はい」を選択すると詳細なパスワード強度に関する設定をすることが
可能です。（詳細については後述参照）
ƒ パスワード期限切れ 設定
パスワードの期限の関する設定をすることができます。
この機能を使うことにより、期限切れの猶予期間や、パスワード履歴などを設定することができます。
ポリシーを使用しなくても、パスワードチェックの機能を有効とした場合に、同様の設定が可能です。
パスワードチェックの機能を有効としている場合、必須変更期間、猶予期間はポリシーで設定された値が優先さ
れます。
ƒ インターネットパスワードのロックアウト
インターネットパスワードのロックアウトに関する設定をすることができます。
Lotus Notesクライアントのバージョンにより機能しない場合があります。
ƒ ID ファイルの暗号化
IDファイルの暗号化方法および強度について設定することができます。
Lotus Notesクライアントのバージョンにより機能しない場合があります。
- 16 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
２．セキュリティポリシー
パスワード管理(2)
ƒ パスワード品質
パスワード品質の設定をすることができます。
パスワード品質とは、特定のアルゴリズムを使用して、ユーザー ID ファイルを保護するために選択さ
れたパスワードが適切なクオリティスケールのレベルを維持するための設定です。
単純なパスワードの長さだけではなく、辞書に記載されている単語の使用や文字の繰り返し、最初
の大文字や最後の数字などは、推測しやすいパスワードはクオリティスケールが低いと判断されます。
「パスワード長を使用」に「はい」を選択すると、単純なパスワード長だけのチェックとなります。
カスタムパスワードの設定を行うとさらにパスワード品質が高いパスワード設定を行うことが出来ます。
カスタムパスワードを併用した場合、条件はAND条件となります。
パスワード・クオリティに関する詳細については、以下をご参照ください。
•
Title: パスワード・クオリティーを理解する
− URL: http://www-06.ibm.com/jp/software/lotus/developer/iris_today/20010904_5.html
•
Title: 「パスワード・クオリティーを理解する」について補足
− URL: http://www.ibm.com/jp/domino04/lotus/support/faqs/faqs.nsf/all/727933
- 17 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
２．セキュリティポリシー
セキュリティポリシーとパスワードチェックの比較
設定項目
セキュリティポリシー
パスワードチェック
カスタムパスワードポリシー
○
×
NotesIDファイルのパスワード確認
○
○
HTTPでインターネットパスワードの変更許可
○
×
インターネットパスワードへの反映
○
○
パスワードの有効期限の強制
○
○
必須変更間隔
○
○
許可する猶予期間
○
○
パスワードの履歴
○
○
警告周期
○
×
カスタム警告メッセージ
○
×
インターネットパスワードのロックアウト
○
×
パスワード品質
○
×
パスワード長の使用
○
×
- 18 -
All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず
IBM Software Group Software Service
２．セキュリティポリシー
カスタムパスワードポリシー
ƒ 「カスタムパスワードポリシー」を使用することにより、パスワード強度による設定をすることができます。
ƒ この機能を使うことにより、システム管理者が以下のような設定項目を個別にセットすることで、その内
容にあわせたパスワードでなければ、変更が受け付けられなくなります。
- 19 All Rights Reserved, Copyright(c) IBM Software Group 無断複製、転載を禁ず