Lotus Notes/Domino セキュリティー機能解説 日本アイ・ビー・エム システムズ・エンジニアリング株式会社 日本アイ・ビー・エム株式会社
by user
Comments
Transcript
Lotus Notes/Domino セキュリティー機能解説 日本アイ・ビー・エム システムズ・エンジニアリング株式会社 日本アイ・ビー・エム株式会社
Lotus Notes/Domino セキュリティー機能解説 日本アイ・ビー・エム システムズ・エンジニアリング株式会社 日本アイ・ビー・エム株式会社 © 2008 IBM Corporation 特記事項 本資料の記載内容は、正確なIBMのテストやレビューを受けておりません。内容について、 できる限り正確を期すよう努めておりますが、いかなる明示または暗黙の保証も責任も負 いかねます。本資料の情報は、使用先の責任において使用されるべきものであることを、 あらかじめご了承ください。 掲載内容は不定期に変更されることもあります。他のメディア等に無断で転載する事は ご遠慮ください。 本資料の著作権は日本アイ・ビー・エムにあります。非営利目的の個人利用の場合にお いて、自由に使用してもかまいませんが、営利目的の使用は禁止させていただきます。 IBM、AIX、WebSphere、はIBM Corporation の商標。 Lotus、Lotus Notes、Lotus Dominoは IBM Corporation の商標。 その他、記載された社名および製品名は、それぞれ社名の商標または登録商標です。 当資料は2006年06月26日に、ビジネスパートナー様および弊社社員向けに開催され セミナーの資料を基にしています。 記述内容は、2006年06月26日時点の情報に基づいています。 2 © 2008 IBM Corporation はじめに Lotus Notesユーザー、アプリケーション開発者、Lotus Dominoの サーバー管理者のそれぞれの観点から、Lotus Dominoデータベース 内のデータの安全性を高めるために利用するさまざまなセキュリ ティ機能を包括的にご説明いたします。 インターネットベースの標準のセキュリティをLotus Dominoに導入 する方法とその使い方についてもご説明いたします。 尚、この資料はLotus Notes/Domino 7.0.1を基に作成しております。 3 © 2008 IBM Corporation Contents 1. Lotus Notes/Domino のセキュリティ概要 2. Lotus Notes/Domino のセキュリティ詳細 2-1.セキュリティ・リスク対策の基本技術 2-2. 認証 2-3. アクセス制御 2-4. メール・セキュリティ 2-5. クライアント・セキュリティ 2-6. アクセスログ 4 © 2008 IBM Corporation 1.Lotus Notes/Dominoのセキュリティ概要 © 2008 IBM Corporation 1. Lotus Notes/Dominoのセキュリティ概要 Lotus Notes/Domino のセキュリティの軌跡 1989 1991 Lotus Notes R1.0 Lotus Notes R2.0 •ユーザー ID とパスワード •パブリック・キーとプライベート・キー •証明書 •メールへの署名と暗号化 •ACL、アクセス権限 •ポートの暗号化 •文書の暗号化 •シークレット暗号キー 1996 1997 Lotus Notes/Domino R4.5 Lotus Notes/Domino R4.6 •Lotus Notes・クライアントとLotus Domino サーバーで SSL2.0 のサ ポート •操作制御リスト(ECL) •文書のパブリック・キー暗号化 •パスワード・チェックと ID のロック •パスワードの有効期限チェック 2004 2005 Lotus Notes/Domino 6.5 Lotus Notes/Domino 7 スマートカードからインターネット 証明書のインポート 6 •SSLv3(HTTP) •認証機関アプリケーション Notes Remote Procedure Call(RPC) プロトコルの1024bit RSA、 128bit RC2 Lotus Notesキーのサポート BlackList/WhiteList spam対応 セキュリティポリシーの機能拡張 1993 1996 Lotus Notes R3.0 Lotus Notes R4.0 •階層認証 •識別名 •複数の署名 •ロール •読者名、作成者名フィールド •アクセス・リストの読み込みと編集 •ローカル・データベースの暗号化 •データベースの設計の暗号化 •ID への複数パスワード割り当て •ID のパスワード推測回避 •匿名(Anonymous)アクセス 1999 2001 Lotus Notes/Domino R5 Lotus Notes/Domino 6 •NotesIDロック時のログアウト画面 •S/MIME •すべてのインターネット・プロトコルに •スマートカードでのPKCS#11対応 •ECL機能拡張 対する SSLv3 の導入 •Lotus Notes・ユーザーのための ID とパスワードの復旧 •パスワード・クオリティー •セッション・ベースの Web 認証 •Web サーバー認証インターフェース (DSAPI) •PKCS#12(R5.0.1、R5.0.2~) •北米版と同等の暗号化技術の採用 (R5.0.4~) •etc… 参照: http://www6.ibm.com/jp/software/lotus/developer/iris_today/20010904_4.html © 2008 IBM Corporation 1. Lotus Notes/Dominoのセキュリティ概要 Lotus Notes/Domino セキュリティの基本要素 Lotus Notes/Dominoのセキュリティーの機能要素として、 「暗号化」、「署名」、「認証」、「アクセス制御」の4つに分類することができます 対処方法 暗号化 署名 Lotus アクセス Notes/Domino 制御 認証 外部から守る 認証、アクセス制御 盗聴を防ぐ 暗号化、SSL 改ざんを防ぐ 署名、暗号化 なりすまし、否認を防ぐ 認証、署名 内部のセキュリティ 認証、暗号化、監視 Lotus Notes/Dominoの設計思想 エンドユーザーが簡単に使えるセキュリティー機能 セキュリティー機能があらゆる単位で細やかに設定できる インターネットでも同様のセキュリティー機能を利用できる 7 © 2008 IBM Corporation 1. Lotus Notes/Dominoのセキュリティ概要 Lotus Notes/Domino セキュリティの概要 参照:http://www-6.ibm.com/jp/domino07/lotus/home.nsf/Content/DN5_X_security_overview Lotus Notes/Domino はサーバー、クライアント、トラフィック、すべてのアプリ ケーションに対してセキュリティ実現に必要な各種機能を実装しており、個々のア プリケーションやシステムごとにセキュリティを実現するよりも容易かつ確実なセ キュリティ環境を実現します サーバー アプリケーション クライアント ビュー、フォーム、文書、セクション によるアクセス制御 SSL接続の要求 クライアントポートの暗号化 利用ポートや暗号化の設定 ローカルデータの暗号化 クライアント操作制御リスト(ECL) エージェント等機能の実行権限設定 ファイルシステムへのアクセス制御 暗号化、電子署名 サーバーへのアクセス制御 アプリケーション毎のアクセス制御 パスワードクオリティ設定 ディレクトリと公開鍵暗号方式による認証 8 © 2008 IBM Corporation 1. Lotus Notes/Dominoのセキュリティ概要 Lotus Notes/Domino セキュリティの脅威と対策&機能 脅威 H/Wの物理的な破壊/盗難 対策 セキュアな施設・装置を準備 Lotus Notes/Dominoと連携する機能 なし 媒体・コピーなどの持ち出し 入退館/室を厳重にするなど、運用管理 体制の徹底 なし 社内における脅威 ・盗聴 ・なりすまし ・改ざん IDファイルによる認証 サーバーへのアクセス制御 エージェントの実行権限 アクセス制御リスト(ACL) 操作制御リスト(ECL) データの暗号化・署名 ポートの暗号化 文書の暗号化、電子署名 ローカルデータベースの暗号化 特定リソースへのアクセス制御(IPアドレス、 サーバーへのアクセス制御 ポート)、 アクセス制御リスト DMZの構築、最新のパッチ適応 インターネットからの脅威 ・ハッキングによる機密情報のもれ (盗聴、改ざん、なりすまし) アタックによるH/W&S/Wの破壊 9 基幹アプリレベルでのユーザーアクセス制 御(ユーザー認証) ユーザーの認証、データの暗号化・署名 SSL接続機能 パスワードクオリティ設定 ウィルスの侵入 ウィルススキャンの実施 インターネットメールによる脅威 SPAMメールアタック 盗聴、改ざん、なりすまし メール送受信制御の徹底 -特定ユーザー・アドレスの限定 メールの暗号化・署名 ウィルススキャンの実施 Lotus Notes/Domino対応ウィルス 対策ソフト メールの暗号化、電子署名 S/MIME機能 スパムメール対策機能 © 2008 IBM Corporation 2.Lotus Notes/Dominoのセキュリティ詳細 © 2008 IBM Corporation Contents – 2. Lotus Notes/Dominoのセキュリティ詳細 1. 2. a. b. c. 3. a. b. c. 4. a. b. 5. a. b. 6. 11 セキュリティ・リスク対策の基本技術 認証 Lotus Notesクライアント(Notes認証、IDパスワード) WEB(インターネットパスワード、セッション認証) インターネット認証(X.509証明書、SSL) アクセス制御 サーバーレベル(サーバーアクセス、エージェント実行) データベースレベル - アクセス制御リスト(ACL) 文書レベル(読者/編集制御、表示/非表示) メール・セキュリティ 暗号化・署名 スパム対策 クライアント・セキュリティ 操作制御リスト(ECL) ローカルDBの暗号化 アクセスログ © 2008 IBM Corporation Contents – 2. Lotus Notes/Dominoのセキュリティ詳細 1. 2. a. b. c. 3. a. b. c. 4. a. b. 5. a. b. 6. 12 セキュリティ・リスク対策の基本技術 認証 Lotus Notesクライアント(Notes認証、IDパスワード) WEB(インターネットパスワード、セッション認証) インターネット認証(X.509証明書、SSL) アクセス制御 サーバーレベル(サーバーアクセス、エージェント実行) データベースレベル - アクセス制御リスト(ACL) 文書レベル(読者/編集制御、表示/非表示) メール・セキュリティ 暗号化・署名 スパム対策 クライアント・セキュリティ 操作制御リスト(ECL) ローカルDBの暗号化 アクセスログ © 2008 IBM Corporation 2-1. 詳細 –セキュリティ・リスク対策の基本技術 セキュリティ・リスク対策の基本技術 セキュリティ・リスク 盗聴 暗号化技術 暗号化技術 ・・ 共通鍵方式 共通鍵方式 ・公開鍵方式 ・公開鍵方式 改ざん なりすまし ハッシュ値 ハッシュ値 電子署名 電子署名 (メッセージダイジェスト) (メッセージダイジェスト) 電子証明書 電子証明書 セキュリティ・リスク対策の基本技術 13 © 2008 IBM Corporation 2-1. 詳細 –セキュリティ・リスク対策の基本技術 暗号化技術 - 共通鍵方式 (1) (2) (3) (4) (5) 共通鍵暗号技術 DES Aは共通鍵を生成する。 Aは共通鍵を使って平文を暗号文へと暗号化する。 Aは安全な方法で、共通鍵と暗号文を受信者へ送信する。 Bは共通鍵と暗号文を受信する。 Bは共通鍵で暗号文を平文に復号化する。 暗号化と復号化で同じ「鍵」を使う。 暗号化に使用した「鍵」でのみ復号 化できる。 説明 米国内で標準使用されている56ビットの鍵を使用する暗号方式 ※Lotus Notes/Dominoでは、56ビットでDESが使われています。 14 トリプルDES DESのセキュリティを高めるために、合計三回の暗号/複合化をおこなう暗号方式 RC2, RC4 RSA Data Security社によって開発された暗号方式。 ※Lotus Notes/Dominoでは、RC2・RC4が使われています © 2008 IBM Corporation 2-1. 詳細 –セキュリティ・リスク対策の基本技術 暗号化技術 - 公開鍵方式 公開鍵と秘密鍵は1対のペアで ある。 公開鍵で暗号化したデータは対 の秘密鍵でのみ復号化できる。 秘密鍵で暗号化したデータは対 の公開鍵でのみ復号化できる。 (1) Bは公開鍵と秘密鍵のキーペアを生成する。 (2) Bは公開鍵をインターネットに公開してAは公開鍵を取得する。または、直接送信者(A)に対して 公開鍵を送信してもよい。ただし、秘密鍵は自分自身で大切に保管しておく。 (3) Aは公開されている公開鍵を使用して平文を暗号文へと暗号化する。 (4) Aは暗号文をBへ送信する。 (5) Bは暗号文を受信する。 (6) Bは保管している秘密鍵で暗号化されたデータを複合化する。 公開鍵暗号技術 RSA 説明 RSA Data Security社が特許を有する公開暗号方式。512~1024の可 変長の鍵を使用します。現在、最も広く使用されている方式です。 ※Lotus Notes/Dominoでは、この方式が使われています。 ※Lotus Notes/Dominoでは、RSA社の RSA BSAFE 暗号化ツールキットが用いられています。 15 © 2008 IBM Corporation 2-1. 詳細 –セキュリティ・リスク対策の基本技術 ハッシュ値(メッセージダイジェスト) ハッシュ値B ハッシュ値A (1) (2) (3) (4) (5) ハッシュ値B ハッシュ関数は一方向で不可逆な 関数。 ハッシュ値とハッシュ関数が判明し ても元データは特定できない。 元データが異なればハッシュ値も異 なるのが一般的。 送信者はハッシュ関数を使用してデータからハッシュ値Aを生成する。 送信者はデータとハッシュ値Aを送信する。 受信者はデータとハッシュ値Aを受信する。 受信者はデータを取り出し、ハッシュ関数を使用して受信したデータからハッシュ値Bを生成する。 ハッシュ値Aとハッシュ値Bを比較する。 ハッシュ関数 16 一致していれば、データの 一致していれば、データの 改ざんは無いといえる。 改ざんは無いといえる。 説明 MD4 ハッシュ関数として最もポピュラーなもの。128ビットのハッシュ値を生成する。 MD5 MD4の改良版。128ビットのハッシュ値を生成する。 ※Lotus Notes/Dominoでは、この方式が使われています。 SHA 160ビットのハッシュ値を生成する。 © 2008 IBM Corporation 2-1. 詳細 –セキュリティ・リスク対策の基本技術 電子署名 電子署名とは、送信者が確かに作成した文書であり、デー タ改ざんがないことを証明するものです。 相手の身元まで保証するものではありません。 ハッシュ値 ハッシュ値 ハッシュ値 (1) (2) (3) (4) (5) (6) (7) 17 Aの公開鍵で復号したものが Aの公開鍵で復号したものが 一致するという事は、送り主 一致するという事は、送り主 はAの秘密鍵を持っていると はAの秘密鍵を持っていると いう事になり、確かにAが作成 いう事になり、確かにAが作成 したものだという証明になる。 したものだという証明になる。 Aはハッシュ関数を使用してデータからハッシュ値を生成する。 Aはハッシュ値を秘密鍵で暗号化して電子署名を生成する。 Aはデータと電子署名を送信する。 Bはデータと電子署名を受信する。 Bはデータからハッシュ関数を使用してハッシュ値を生成する。 Bは電子署名からAの公開鍵で復号化してハッシュ値を取り出す。 (5)と(6)で生成したハッシュ値を比較する。 © 2008 IBM Corporation 2-1. 詳細 –セキュリティ・リスク対策の基本技術 電子証明書 電子証明書とは、信頼できる第三者機関(認証局=Certificate Authority)が公 開鍵に対して電子署名を行うことにより、所有者の身元を保証するものです。 SSLやS/MIMEでは、相手の身元を保証してくれます。 取引する上で信頼できる相手である事を保障するわけではありません。 X.509証明書フォーマット バージョン情報 バージョン情報 シリアル番号 シリアル番号 デジタル署名アルゴリズム情報 デジタル署名アルゴリズム情報 発行者(認証局)の名前 発行者(認証局)の名前 証明書の有効期限 証明書の有効期限 被発行者名 被発行者名 公開鍵情報 公開鍵情報 発行者のID 発行者のID 被発行者のID 被発行者のID 上記全フィールドに対する発行者 上記全フィールドに対する発行者 による電子署名 による電子署名 Aは秘密鍵と公開鍵を生成する。 Aは認証局にAの公開鍵を送信する。 認証局はAの公開鍵を受信する。 認証局は公開鍵データベースにAの公開鍵を登録し、認証局の秘密鍵でA の公開鍵を暗号化(署名)する。 (5) 認証局は電子証明書の中に暗号化したAの公開鍵を埋め込み、送信する。 (6) Aは電子証明書を受信する。 (1) (2) (3) (4) 18 © 2008 IBM Corporation Contents – 2. Lotus Notes/Dominoのセキュリティ詳細 1. 2. a. b. c. 3. a. b. c. 4. a. b. 5. a. b. 6. 19 セキュリティ・リスク対策の基本技術 認証 Lotus Notesクライアント(Notes認証、パスワード管理) WEB(インターネットパスワード、セッション認証) インターネット認証(暗号化、X.509証明書、SSL) アクセス制御 サーバーレベル(サーバーアクセス、エージェント実行) データベースレベル - アクセス制御リスト(ACL) 文書レベル(読者/編集制御、表示/非表示) メール・セキュリティ 暗号化・署名 スパム対策 クライアント・セキュリティ 操作制御リスト(ECL) ローカルDBの暗号化 アクセスログ © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント Notes認証(1) - IDファイルの構成要素 ユーザーの基本名、別名 永久ライセンス番号。 – プライベートキー – – プライベートキーは、パスワードのハッシュ値で暗号化されます。 北米・カナダ用とInternational用の2つが格納されています。” 北米・カナダ用とInternational用の2つ、組織階層毎に複数あります。 Notes認証は、次の情報を認証者のプライベートキーで暗号化されたものです。 • 所有者の名前、パブリックキー • 認証者の名前、パブリックキー • 認証の有効期限 パスワード変更履歴 – – 過去に使用したパスワードのハッシュ値が入っています。デフォルトでは最大50個です。 パスワード変更時に、過去に使用したパスワードは使用できないようにこの変更履歴を見ています。 IDパスワード復旧情報(オプション) インターネット証明書(オプション) – パスワードのハッシュ値による暗号化の強度は 64Bitと128Bit (7より) が選択可能です。 Notes認証 (複数) – – この番号は、所有者が正当であることを示し、所有者が持っている Lotus Domino や Lotus Notes を実行するためのライセンスが、アメリカ・カナダのみのライセンスかインターナ ショナルライセンスかを規定します。 この証明書は、SSL 接続のセキュリティの確保や、S/MIME メールメッセージの暗号化と署名に使われます。認証機関 (CA) によって発行され、ユーザーの ID を照合します。イン ターネット証明書に関連付けられたユーザーのプライベートキーは、この証明書といっしょに保存されます。 シークレット暗号キー(オプション) – – ユーザーが作成する共通鍵です。文書やフィールドの暗号化に使用できます。 シークレット暗号キーは、パスワードのハッシュ値で暗号化されます。 IDファイル中にはパスワード文字列やハッシュ値は格納されないので、安全です 20 © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント Notes認証(2) - キー長 バージョン 3 4 5 6 7 キー種別 生成 読み込み パブリックキー 512bit 760bitまで対応 プライベートキー 512bit 630bitまで対応 共通キー 64bit(北米・カナダ)、40bit(International) 64bit(北米・カナダ)、40bit(International) パブリックキー 630bit(北米・カナダ)、512bit(Inernational) 760bitまで対応 プライベートキー 630bit(北米・カナダ)、512bit(Inernational) 760bitまで対応 共通キー 64bit(北米・カナダ・International)、40bit(フランス) 64bit または 40bit パブリックキー 630bit(北米・カナダ)、512bit(Inernational) 760bitまで対応 プライベートキー 630bit(北米・カナダ)、512bit(Inernational) 760bitまで対応 共通キー 64bit, 40bit 64bit または 40bit パブリックキー 630bit、512bit 1024bit, 630bit, 512bit プライベートキー 630bit(北米・カナダ)、512bit(Inernational) 1024bit, 630bit, 512bit 共通キー 64bit, 40bit 128bit(6.0.4up), 64bit, 40bit パブリックキー 1024bit, 630bit 2048bit, 1024bit, 630bit, 512bit プライベートキー 1024bit, 630bit 2048bit, 1024bit, 630bit, 512bit 共通キー 128bit, 64bit, 40bit 128bit, 64bit, 40bit 1024bitでサーバーIDを生 1024bitでサーバーIDを生 成すると、R5クライアント 成すると、R5クライアント からアクセスできません からアクセスできません 21 © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント Notes認証(3) - ユーザー認証フロー Bob Smith/East/Acme ServerA/West/Acme IDファイルに対しパスワードを入力する フェーズ1 正式に認証された証明書を持っていることを確認する Notes認証の送付 /Acme /Acme Notes認証の送付 /East/Acme /East/Acme Notes認証の送付 Bob Bob Smith/East/Acme Smith/East/Acme /Acmeで認証 サーバー ID /Acmeで認証 /East/Acmeで認証 フェーズ2 正式に認証されているユーザーかどうかを確認する ユーザーのプライベートキー ユーザーのプライベートキー で暗号化 で暗号化 乱数 乱数 + 乱数 乱数 送付 ユーザーのパブリックキー で複合してユーザー乱数 が一致する事を確認する 認証にはIDファイルが必要なので、ユーザーID/パスワードだけの認証と比較すると強力です。 2段階の認証により、セキュアで柔軟性のある認証が実現されています。 注) 上記認証フローは、分かりやすくするために簡略化されています。実際のフローはより複雑な処理を行っています。 22 © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント パスワード管理(1) - 標準パスワード管理機能 定期的なパスワード変更 – 変更期間 – 変更猶予期間 – パスワード履歴の保管 – 警告周期(7から) – カスタム警告メッセージ(7から) 単純なパスワード文字列の回避 – パスワードクオリティスケール機能、パスワード長の指定 – カスタムパスワードポリシー機能 パスワード紛失対応 – IDパスワード復旧機能 23 © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント パスワード管理(2) - 定期的なパスワード変更 通常アクセス 通常アクセス パスワード変更を促すメッセー パスワード変更を促すメッセー ジがユーザー側に表示される。 ジがユーザー側に表示される。 パスワード変更を促すメッセー パスワード変更を促すメッセー ジがユーザー側に表示される。 ジがユーザー側に表示される。 ユーザーはログイン可能。 ユーザーはログイン可能。 ユーザーはパスワード変更しな ユーザーはパスワード変更しな い限りログインできない。 い限りログインできない。 IDファイルがロックアウト IDファイルがロックアウト されてログインできなくな されてログインできなくな る。 る。 変更日 警告周期 変更猶予期間 変更期間 ユーザー文書で個別に ユーザー文書で個別に 指定する事も可能。 指定する事も可能。 パスワード履歴中の文字列に パスワード履歴中の文字列に はパスワード変更が出来ない はパスワード変更が出来ない ように出来ます。 ように出来ます。 7からの機能。7以前の 7からの機能。7以前の 警告周期は変更期間の 警告周期は変更期間の 2/3で自動計算される。 2/3で自動計算される。 セキュリティポリシー文書 24 © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント パスワード管理(3) - 単純なパスワード文字列の回避 パスワードクオリティスケール – パスワードの複雑性をある程度システム側で強制する機能です。複雑度を決める要因 には、パスワード長、スペルチェック辞書、数字、大文字小文字の混合、特殊文字など から決定されます。 パスワード 説明 例 クォリティスケー 0 パスワードは省略可能です。 なし 1 どのようなパスワードでも設定できます。 b、"3" 強度の低いパスワードを設定できます。試行錯誤によって 2-6 password、"doughnut" (パスワードクオリティスケールは 3) パスワードが解読される可能性があります。 lightferret、"b 4D" (パスワードクオリティスケールは 6) 解読が難しいパスワードを設定できますが、自動による攻 7-12 "pqlrtmxr", "wefourkings" (パスワードクオリティスケールは 8) 撃に対して弱点があります。 4891spyONu (パスワードクオリティスケールは 13) 強度の高いパスワードを設定できますが、ユーザーがパ 13-16 lakestreampondriverocean, "stRem2pO()" (パスワードクオリティスケールは 15) スワードを覚えるのが困難になります。 stream8pond1river7lake2ocean (パスワードクオリティスケールは 16) – 複雑度の決定ロジックが非公開な為、エンドユーザーへのガイドが難しい。 “パスワード長を使用” オプション – パスワード長を明確に指定します。 セキュリティポリシー文書 (パスワードクオリティスケールはユーザー登録時に個々に指定することも可能) 25 © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント パスワード管理(4) - 単純なパスワード文字列の回避 カスタムパスワードポリシー – パスワード設定ルールを詳細・明確に定義可能な機能 • パスワードクオリティスケールは、エンドユーザーへの説明が困難でしたが、 この機能で明確なルールを設定可能です。 • ITALIAN PERSONAL DATA PROTECTION CODE (Legislative Decree no. 196 of 30 June 2003)への対応として実装されました。 – ポリシー機能を利用してNotesクライアント側に適用します。 • ブラウザー経由でのパスワード変更には対応していません。 – Lotus Notes6.0.5/6.5.4から提供開始。 – 詳細情報 • http://www-06.ibm.com/jp/software/lotus/developer/ldd_tech/20050520.html 26 © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント パスワード管理(5) - 単純なパスワード文字列の回避 カスタムパスワードポリシー – 設定内容 27 © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント パスワード管理(6) - パスワード紛失対応 IDパスワード復旧機能 1 複数の管理者からの復旧パスワードが揃わないと、IDが復元 複数の管理者からの復旧パスワードが揃わないと、IDが復元 できないようにする事が出来るので、一人の管理者がバック できないようにする事が出来るので、一人の管理者がバック アップIDを不正利用する事が防げる。 アップIDを不正利用する事が防げる。 ID,パスワード紛失 管理者に連絡 復旧パスワードは、管理者とユーザーの組み合わせで一意に 復旧パスワードは、管理者とユーザーの組み合わせで一意に 決まるので、より安全に管理できる。 決まるので、より安全に管理できる。 復旧パスワード1 2 復旧パスワード2 IDは作成時、変更時に自動バックアップされる。 IDは作成時、変更時に自動バックアップされる。 復旧パスワード3 IDのパスワードは暗号化されているので、万一バッ IDのパスワードは暗号化されているので、万一バッ クアップIDファイルが外部に漏れても、不正利用さ クアップIDファイルが外部に漏れても、不正利用さ れる事を防げる。 れる事を防げる。 復旧パスワード入力 パスワード再設定 管理者の プライベートキーで 復旧パスワードを復号化 3 ID,パスワード復旧 28 IDバックアップDB © 2008 IBM Corporation 2-2. 詳細 – 認証 – Lotus Notesクライアント パスワード管理(7) - パスワード紛失対応 IDパスワード復旧機能 (自動バックアップ) 自動メール送信 IDバックアップDB (メール受信DBとして定義) 自動追加 IDファイルの変更 - 名前変更受け入れ - キー追加 ユーザー 管理者 ローカルIDファイル 29 ユーザー登録 復旧情報 ・ 復旧できる管理者名(複数指定可) ・ 復旧時に必要な管理者数 ・ IDバックアップDBのメールアドレス © 2008 IBM Corporation 2-2. 詳細 - 認証 - Web Web認証方法 匿名 – 匿名(Anonymous)アクセスを許可し、認証しない。 基本認証 – HTTPプロトコルが持つ名前とパスワードによる認証。 – ユーザーID・パスワードは、Base64エンコードされて回線を流れるので、盗聴に弱い。 – HTTPのBAヘッダに毎回ユーザーID・パスワードが入ってサーバーにパケットが流れる。 セッション認証 ( = フォーム認証) – サーバー上にユーザーセッション情報を作成してセッション管理する。 – セッションIDを発行してCookieに格納し、サーバー・クライアント間で受け渡す。 – 以下が可能 • ログオンフォームのカスタマイズ (domcfg.nsf) • アイドルセッションの自動切断 • ログオン可能な最大ユーザー数の制限設定 • ログオンユーザー数のトラッキング • ポリシー機能によるパスワード制限 • 他のLotus Dominoサーバー、WASサーバーとのSSO(Single Sign On) 30 © 2008 IBM Corporation 2-2c. 詳細 - 認証 – インターネット認証 セッション認証の仕組み ①セッション認証の最初のログインは、通常のWeb基本認証と同 等です。ユーザー名とパスワードがDominoWebサーバーにポストさ れ、そのユーザー名とパスワードをDominoディレクトリと照合し、 ユーザー認証を行います。 Webクライアント Lotus Dominoサーバー ③これ以後、ブラウザーがバックエンドでこのクッキーを Lotus Dominoサーバーに送信し、アクセスします。Webユー ザーは再度ユーザー名とパスワードを入力する必要はありま せん。 Webクライアント Lotus Dominoサーバー セッションID ユーザー名/パスワード セッションID (Cookie) 比較 (Cookie) Cookie リスト セッションID (Cookie) Cookie リスト HTML ②ユーザー認証に成功すると、DominoWebサー バーはクライアントにセッションを保持するため のクッキーを渡します。 セッションの始まり 31 セッション中 © 2008 IBM Corporation 2-2. 詳細 - 認証 – インターネット認証 セッションベースの認証 セッションとは、WebクライアントがLotus Dominoサーバーにアクティブにログオンしている時間の ことであり、HTTPのようなリクエスト/レスポンス方の接続機関の状態を保持しないプロトコルに はそのような概念はありませんでした。Lotus Dominoでは、クッキー(Cookie)を使って、仮想的な セッションを作成し、管理します。 セッションを用いると、以下のようなことが可能になります Domino ADM、[サーバー文書]-[セ キュリテ]-[Domino Web Engine] カスタマイズできるHTMLログインフォーム – Domino Webサーバー設定データベース(DOMCFG.NSF) デフォルトのログアウト時間 最大ユーザーセッション数 サーバーコンソールからのWebユーザー一覧の取得 セッション認証 [複数サーバー]1つのLotus Domino サーバーにログインするだけで、同一ドメイン内 のほかの任意のLotus Domino サーバーにログオンし直すことなくアクセスできます。 [単一サーバー]単一のサーバーにクッキーが使用されます。 [無効]Lotus Domino サーバーによる認証時にクッキーが使用されません。 アイドル状態のセッションの タイムアウト アクティブでない状態が一定時間以上続いた場合に Web クライアントをサーバーから ログオフできます。 最大セッション数 サーバー上で同時にアクティブなユーザーセッションの最大数を入力します。 32 © 2008 IBM Corporation 2-2. 詳細 - 認証 – インターネット認証 LTPAによるSSO(1) - 概要 標準機能であるLTPA(Lightweight Third Party Authentication)を使用し てLotus DominoやWASサーバーとSSOを実現できます。 LTPAは、クッキーを利用したSSOの仕組みです。 ① リソースの要求 LDAP User情報 ② ユーザーID、パスワードの要求 ④ ユーザー認証 ③ ユーザーID、パスワードの送信 ⑤ トークン発行 ⑥ リソース + (トークン) LTPA Key WAS/Lotus Domino Server 同じキーを 共有させる ⑦ リソースの要求 ⑧ トークンの検査 LTPA Key ⑨ リソースの送信 Lotus Domino Server 33 © 2008 IBM Corporation 2-2. 詳細 - 認証 – インターネット認証 LTPAによるSSO(2) - 注意点 ブラウザーでクッキーが利用できるように設定されているかご確認ください。 SSOに参加するサーバーは、同一DNSドメインに所属させるように、それぞれのFQDN を決定してください。 例) Portal : portalsvr.ise.ibm.jp Domino : domsvr.ise.ibm.jp ブラウザーからアクセスする時は、サーバー名は必ずFQDNで指定する必要があります。 アプリケーション中にFQDNで指定していないURLがある場合は、変更が必要です。 例) ○ http://domsvr.ise.ibm.jp/test.nsf × http://domsvr/test.nsf LTPAトークンには、セッション開始からの有効期限が設定されます。デフォルトでは30 分です。この有効期限は、ブラウザーを使用し続けていてもリセットされませんので、 30分後に再度ユーザーIDとパスワードを求められます。セキュリティ強度とユーザーの 利便性を考慮し、有効期限(分数)を決定してください。 34 © 2008 IBM Corporation 2-2. 詳細 - 認証 – インターネット認証 Webでのパスワード管理 Webユーザーの認証名を制限する [サーバー文書]-[セキュリティー] パラメータ値 Webユーザーの認証名として使える名前 強いセキュリティで少ない名前のバリエーション 完全階層名、共通名、別名、インターネットアドレスのみ可 弱いセキュリティと複数の名前のバリエーション 強いセキュリティ項目の他、苗字のみ、名前のみ、短縮名も可 より安全なインターネットパスワードの使用 35 このパラメータを設定することにより、パスワードのハッシュが Salted-Hashになり、辞書攻撃に対してよりセキュアとなる。 通常のハッシュ 通常のハッシュ :Hash(パスワード文字列) :Hash(パスワード文字列) == ハッシュ値 ハッシュ値 Salted-Hash Salted-Hash :Salted-Hash(パスワード文字列) :Salted-Hash(パスワード文字列) == Hash(パスワード文字列 Hash(パスワード文字列 ++ ランダム文字列) ランダム文字列) ++ ランダム文字列 ランダム文字列 =ハッシュ値 + ランダム文字列 =ハッシュ値 + ランダム文字列 既存ユーザーに対しては、“強固なパスワード形式への変更”と いうアクションで変更可能。 © 2008 IBM Corporation 2-2c. 詳細 - 認証 – インターネット認証 SSLによるセキュリティ SSL(Secure Sockets Layer)は、TCP/IPプロトコル経由で実行するLotus Domino サーバータス クの通信上の機密性を保護し、認証を行うためのセキュリティプロトコルです。 SSLには、次のようなセキュリティ上の利点があります。 クライアントとの間でやり取りするデータが暗号化され、盗聴を防ぐ。 データに暗号化されたハッシュ値が付加され、メッセージの不正な変更が検出される。 デジタル証明書の交換により、サーバーやクライアントが正式に認証された物である ことが証明され、安全なアクセスが保証される。 Lotus DominoとSSLがサポートしている主なインターネットプロトコル 36 Webサーバー(HTTP) Simple Mail Transfer Protocol (SMTP) Lightweight Directory Access Protocol (LDAP) Internet Message Access protocol (IMAP) Post Office Protocol 3 (POP3) Internet Inter-ORB Protocol (IIOP) © 2008 IBM Corporation 2-2c. 詳細 - 認証 – インターネット認証 SSLの仕組み Web ブラウザ ③サーバー証明書を確認 ① SSL接続要求 Lotus Domino サーバー サーバー証明書 ②送付 サーバーの公開鍵 ④共通鍵生成 サーバーの公開鍵 で暗号化 暗号化した共通鍵 ⑤ 送付 暗号化した共通鍵 サーバーの秘密で復号 共通鍵 データ通信 37 ⑤共通鍵で通信 データ通信 © 2008 IBM Corporation 2-2c. 詳細 - 認証 – インターネット認証 Lotus DominoサーバーにSSLを設定する Lotus Dominoサーバー 1.キーリングファイルの作成 Domino認証機関 データベース (cca50.ntf) サーバー証明書管理 データベース (csrv50.ntf) キーリングファイルの作成 サーバー文書 サーバー文書 ・使用するキーリングファイルの指定 ・使用するキーリングファイルの指定 ・SSLの有効化 ・SSLの有効化 キーリングファイルの作成 ルート証明書のインポート サーバー証明書のインポート keyfile.kyr (サーバー用) 3.サーバー証明書の要求 サーバー証明書の発行 7.サーバー証明書のインポート 4.サーバー証明書の発行 keyfile.kyr (サーバー用) 6.ルート証明書のインポート 5.ルート証明書の入手 CAKey.kyr (認証局用) 2.証明書要求の作成 Domino Directory 認証局 38 © 2008 IBM Corporation 2-2c. 詳細 - 認証 – インターネット認証 Lotus DominoサーバーのSSLの設定 「サーバー文書」-「ポート」-「インターネットポート」 39 フィールド名 設定 SSL キーファイル名 サーバーが使用するサーバーのキーリングファ イル名 SSLプロトコルバージョ ン SSLのバージョンを特別に指定がないかぎり、 [セッションで決定する]を選択します SSLサイト証明書を受 け入れる 証明書がない場合でも、サイト証明書を受理 し、アクセスできるようになります 期限切れのSSLのサイ ト証明を受け入れる 証明書の有効期限が過ぎている場合でも、 アクセスできるようになります SSLポート番号 Lotus DominoがSSL要求するポート番号を 指定します SSLポートステータス ポートでSSL接続をしようできるようにします 認証オプション クライアント認証、名前とパスワード、匿名の 順に試行されます © 2008 IBM Corporation 2-2c. 詳細 - 認証 – インターネット認証 SSL接続を要求する 個々のデータベースにてSSLを要求する サーバー文書でSSLポートを有効にした後に、 データベースのプロパティを設定することで、 個々のデータベースにてSSLを要求を指定する ことができます。 全てのHTTP接続でSSLを要求する サーバー文書のポートステータスを[SSLにリダイ レクト]を指定すると、強制的にHTTPS(SSL)に リダイレクトされ、安全な接続が確立したことが 確認できます。 データベースのインフォボックス [サーバー文書]-[ポート]-[インターネットポート] 40 © 2008 IBM Corporation Contents – 2. Lotus Notes/Dominoのセキュリティ詳細 1. 2. a. b. c. 3. a. b. c. 4. a. b. 5. a. b. 6. 41 セキュリティ・リスク対策の基本技術 認証 Lotus Notesクライアント(Notes認証、IDパスワード) WEB(インターネットパスワード、セッション認証) インターネット認証(暗号化、X.509証明書、SSL) アクセス制御 サーバーレベル(サーバーアクセス、エージェント実行) データベースレベル - アクセス制御リスト(ACL) 文書レベル(読者/編集制御、表示/非表示) メール・セキュリティ 暗号化・署名 スパム対策 クライアント・セキュリティ 操作制御リスト(ECL) ローカルDBの暗号化 アクセスログ © 2008 IBM Corporation 2-3. 詳細 – アクセス制御 Lotus Dominoのアクセス制御の概要 Lotus Dominoの構造内で、どのようにアクセスがチェックされるかを次の図に示します。 Lotus Dominoサーバー フィールド ネットワーク セクション 文書 フォーム/ビュー ユーザーID認証 クライアント データベース サーバー 42 © 2008 IBM Corporation 2-3a. 詳細 – アクセス制御 – サーバーレベル サーバーへのアクセス (1) パブリックキーの比較 – ユーザーがサーバーにアクセスした際に、ユーザーIDが持つパブリックキーとユーザー文書に 登録されているパブリックキーを比較し、ユーザーが登録されている人物と同一であるかを判 断します。※ノーツ・クライアント認証に有効 – IDを盗まれた疑いのある時、パブリックキーを変更することにより、犯人が持っているIDファイ ルは、例え有効なパスワードを知っていても使えないようにすることができます。 – 出張用PCなどにIDファイルをコピーして複数のIDファイルを使用している場合は、新パブ リックキーの発行を受けたIDファイルを再度コピーする必要があります。 匿名でのNotes接続を許可 – 認証されていないユーザーのサーバーアクセスを許可する機能です。 – 匿名アクセスを許すすべてのデータベースのアクセス制御リスト (ACL) に、Anonymous と いう項目を作成し、適切なアクセスレベル (通常は [読者] のアクセス権) を割り当てます。 Anonymous がない場合、[-Default-] のアクセス権が与えられます。 [サーバー文書]-[セキュリテイ] ・キーを確認(Lotus ・キーを確認(Lotus NotesユーザーとLotus NotesユーザーとLotus Domino Domino サーバーのすべて) サーバーのすべて) ・キーを確認(信頼するディレクトリのLotus ・キーを確認(信頼するディレクトリのLotus NotesユーザーとLotus NotesユーザーとLotus Domino Domino サーバーのみ) サーバーのみ) ・キーを確認しない ・キーを確認しない 43 © 2008 IBM Corporation 2-3a. 詳細 – アクセス制御 – サーバーレベル サーバーへのアクセス (2) Notes IDのパスワードをチェック – この機能を有効にすると、古いパスワードが格納 されたIDを使ってアクセスできなくなります。 – ユーザー文書でパスワード変更期間の管理を行う 場合は、このパラメータが有効になっていること が前提となります。 – 個々のユーザーに対して、ユーザー文書のパラ メータ「パスワードをチェックする」で有効/無効を 選択できます。 [サーバー文書]-[セキュリテイ] ユーザー文書のパスワードをチェックする – 「パスワードをチェックしない」にすると、サーバー 文書の「Notes IDのパスワードをチェック」が有効 になっている場合でも、そのユーザーのパスワード はチェックされません。 – 「ロックアウトID」を指定すると、そのIDは無効にな ります。 44 [ユーザー文書] © 2008 IBM Corporation 2-3a. 詳細 – アクセス制御 – サーバーレベル サーバーへのアクセス(3) Lotus Notes ユーザー、Lotus Domino サーバー、およびインターネットプロトコル (HTTP、IMAP、LDAP、 POP3) を使ってサーバーにアクセスできるユーザーを指定できます。 [サーバー文書]-[セキュリティ] パラメータ名 説明 サーバーへの アクセス可 信頼できるディレクトリに登録された ユーザー または、指定されたユーザーだけが サーバーにアクセスできます。(空白 はすべてに許可) サーバーへの アクセス不可 サーバーにアクセスできないユー ザーを指定します。[サーバーへのア クセス可] で指定した名前より、こ の [サーバーへのアクセス不可] で 指定した名前が優先します。 [サーバー文書]-[ポート] - [インターネットポート] サーバー文書で指定した サーバー文書で指定した アクセス権限をWebアク アクセス権限をWebアク セスにも適用できる。 セスにも適用できる。 45 © 2008 IBM Corporation 2-3a. 詳細 – アクセス制御 – サーバーレベル サーバー管理者のアクセス権 各種管理者のさまざまなアクセスレベルを指定できます。 フィールド アクション フルアクセスアドミニ ストレーター サーバーを管理するためのフルアクセス権 管理者 データベースアドミニストレーターとフルコン ソールアドミニストレーターのすべての権限 データベースアドミニ ストレーター データベースの管理 フルリモートコンソール アドミニストレーター リモートコンソールを使ってコマンドを発行で きる 参照限定アドミニスト レーター リモートコンソールを使ってSHOW TASKSや SHOW SERVERなどのシステムのステータス 情報を表示するコマンドだけを発行できる システムアドミニスト レーター オペレーティングシステムのあらゆるコマンド を発行できる 限定システムアドミニ ストレーター [制限されたシステムコマンド]フィールドにリ ストされているオペレーティングシステムコマ ンドだけを発行できる ブラウザからのサー バーの管理 下位互換性を保つ目的でLotus Domino6以 前のサーバーにだけ適用されます 46 [サーバー文書]-[セキュリティ] © 2008 IBM Corporation 2-3a. 詳細 – アクセス制御 – サーバーレベル サーバー管理者アクセス権の相関図 フルアクセスアドミニストレーター - 暗号化されているデータ以外の全てのデータへのアクセス 管理者 - - Domino Web サーバー管理データベース (WEBADMIN.NSF) への [管理者] アクセス権 メッセージトラッキングや件名のトラッキングの使用 データベースアドミニストレーター フルリモートコンソールアドミニストレーター - - - - - - - フォルダとデータベースリンクの作成、更新、削除 ディレクトリリンク ACL の作成、更新、削除 データベースの圧縮と削除 全文索引の作成、更新、削除 データベース、レプリカ、マスターテンプレートの作成 特定のデータベースオプション (サービスの有効化や 無効化、データベースの制限値など) の取得と設定 リモートコンソールから全てのサーバーコ マンドを実行。 参照限定アドミニストレーター - SHOWコマンドの実行 システムアドミニストレーター - 全てのOSコマンドの実行 限定システムアドミニストレーター - 予め決めたOSコマンドの実行 47 © 2008 IBM Corporation 2-3a. 詳細 – アクセス制御 – サーバーレベル サーバーエージェントの実行制御 サーバー上でエージェントを実行できるエージェント署名ユーザーを制御するには、サーバー文書で指定し ます。エージェントは、サーバー資源へ影響を与える大きさの観点から種類分けされており、それぞれの種 類ごとに実行可能ユーザー、グループを指定します。 権限の階層構造 [サーバー文書]-[セキュリティ] 制限なしで実行 - ファイル入出力操作 - 外部プログラムの実行 - etc 制限付き LotusScript/Java エージェントの実行 シンプルアクションと式エージェントの実行 パラメータ名 48 説明 制限なしで実行 ロータススクリプト/Java/JavaScript/DIIOPで作成されたエージェントを制限なく実行する ことを許可します。(空白はアクセス禁止) 制限付きLotusScript/Java エージェン の実行 LotusScriptやJavaで作成されたエージェントをサーバー上で実行することを許可します。 (空白はアクセス禁止) シンプルアクションと式エージェントの実 行 シンプルエージェントや式エージェントを実行することを制限します。(空白はすべてのユー ザーに許可) © 2008 IBM Corporation 2-3b. 詳細 – アクセス制御 – サーバーレベル サーバーエージェントの代理実行(1) エージェントは、基本的にエージェントの署名者の権限で実行されます。アプリケーション要件によっては、別のユーザー の権限で実行させたい場合がありますが、代理で実行するユーザーを指定することにより、それが可能です。 スケジュールエージェントの代理実行設定 エージェントのプロパティ エージェントの設定 49 [サーバー文書]-[セキュリティ] サーバー文書 「他のユーザーとして実行するエージェ ントを署名」の設定 実行結果 署名者:UserA/TEST 空白 権限エラーで実行されない 代理で実行:UserC/TEST UserA/TEST UserC/TESTの権限で実行 UserB/TEST 権限エラーで実行されない © 2008 IBM Corporation 2-3b. 詳細 – アクセス制御 – サーバーレベル サーバーエージェントの代理実行(2) Webエージェントの場合、ログオンしているユーザーの権限でWebエージェントを実行させたい事が多いです。その場合、 以下の設定により可能になります。代理実行Webエージェントを実行できる開発ユーザーを特定することも可能です。 Webエージェントの代理実行設定 エージェントのプロパティ エージェントの設定 50 [サーバー文書]-[セキュリティ] サーバー文書 「エージェントを呼び出すユーザーとし て実行するエージェントを署名」の設定 実行結果 署名者:UserA/TEST 空白 ログオンユーザーの権限で実行 Webユーザーで実行:有効 UserA/TEST ログオンユーザーの権限で実行 UserC/TEST 権限エラーで実行されない © 2008 IBM Corporation 2-3b. 詳細 – アクセス制御 – データベースレベル アクセス制御リストの詳細設定 データベースには、ユーザーとサーバーのアクセスレベルが指定されたアクセス制御リスト (ACL) が含まれています。ユーザーに割り当てられたアクセスレベルによって、そのユーザーがデータベー スでどのような作業を行えるかが決まります。 ユーザーとサーバーのアクセス権 – データベースにアクセスできるユーザーとその権限を定義します。 ユーザーの種類の指定 (ユーザー、グループ、サーバー) – ACLへの登録するときに、エントリごとにユーザーの種類(ユーザー、グループ、 サーバー)を指定できます。 アクセスオプション – アクセスオプションによって、アクセスをより細かく制御できます。 ロール – ロールを使うと、アプリケーション内での役割を定義したり、データベースの各 要素へのアクセスをグループ単位で制御できます。 51 © 2008 IBM Corporation 2-3b. 詳細 – アクセス制御 – データベースレベル ユーザーとサーバーのアクセス権 Lotus DominoのACLを設定することにより、データベースにアクセスできるユーザーとその権限を定 義します。ACLには、次の7種類のアクセス権があります。 アクセス権 このアクセス権が指定されたユーザーが実行でき る内容 このアクセス権が指定されたサーバーが実行 できる内容 なし データベースへはまったくアクセスできません 複製はまったくできません 投稿者 文書の作成のみができます。文書の読み込み、 編集、削除はできません。(たたとえ自分が作成 した文書でも) 複製で変更を受けることができません。 読者 文書の読み込みができます。文書の作成、編集、 削除はできません。 複製で変更を受け取れますが、変更を送信で きません。 作成者 文書の作成と読み込みができます。また、文書の 作成者フィールドに登録されていれば、自分が作 成した文書を編集できます。 新規文書を複製で送信できます。 編集者 文書の作成、読み込み、編集ができます。(ただ し、文書レベルでアクセスが制御されている場合 を除きます) すべての新規文書と変更された文書を複製 できます 設計者 文書に対して「編集者」と同じ権限を持ちます。ま た、データベースの設計要素を変更できますが、 データベースの削除とACLの変更はできません。 すべての新規文書と変更された文書、および、 設計要素を複製できます。しかし、ACLの変 更は複製できません。 管理者 ACLの変更やデータベースの削除を含め、データ ベースのすべての操作を実行できます。 ACLを含むデータベースのすべての変更を複 製できます。 52 通常は、サーバーにこのアクセス権は設定しま せん。 © 2008 IBM Corporation 2-3b. 詳細 – アクセス制御 – データベースレベル ユーザーの種類の設定 ACLのエントリーが、ユーザー、グループ、サーバーのいずれであるかを明確に指定してよりセキュリ ティを高く保ちます。 種類 53 この種類を割り当てる対象 使い方 ユーザー 特定のユーザー。システム管理クライアン トのユーザーも含みます。 ユーザーと同名のグループを作成してアクセスさ れることを防ぎます。 ユーザーグループ ユーザーのグループ グループと同名のユーザーを作成してアクセスさ れることを防ぎます。 混在グループ サーバーとユーザーが混じったグループ サーバー 特定のサーバー。サーバーコンソール、シ ステム管理サーバーも含みます。 サーバーグループ サーバーのグループ 指定なし アクセス制御リストの[詳細]タブで、[未 特定ユーザーの種類を検索]をクリックす ると、[指定なし]で登録されているもの に対してDominoディレクトリに検索して種 類が決められます。 Lotus NotesクライアントからサーバーIDを使って データベースにアクセスするのを防ぎます。 種類を[指定なし]に設定すると、Lotus Domino サーバーはアクセスしているのがユーザーかサー バーなのかチェックしません。 © 2008 IBM Corporation 2-3b. 詳細 – アクセス制御 – データベースレベル アクセスオプション アクセス制御リストには、基本的な7種類のアクセス権とは別に、アクセスをさらに細かく制御する ためのオプションが用意されています。 オプションの種類 可能となるACLと機能 自動的に権限が与えられるACL 文書の作成 [作成者]は文書の作成が可能 [管理者]、[設計者]、[編集者]、 [投稿者] 文書の削除 [管理者]、[設計者]、[編集者]、[作成者]は文書の削除が 可能(ただし、[作成者]は自分の作成した文書のみ削除可能) 該当なし 個人エージェントの作成 [設計者]、[作成者]、[読者]は個人エージェントを作成可能 [管理者]、 [設計者] 個人フォルダ/ビューの作成 [設計者]、[作成者]、[読者]はサーバー上のデータベースに個 人フォルダまたはビューを作成可能 [管理者]、[設計者] 共有フォルダ/ビューの作成 [編集者]は共有フォルダまたはビューを作成可能 [管理者]、[設計者] ロータススクリプト/Java エージェントの作成 [設計者]、[編集者]、[作成者]、[読者]はロータススクリプト またはJavaを使ったエージェントが作成可能 [管理者] パプリック文書[読者] [パブリックアクセスユーザーの利用を許可する]が設定されてい るフォルダーやビューを使用したり、このオプションが設定されて いるフォームから作成した文書の読み込みが可能 [読者]以上 パブリック文書[作成者] [パブリックアクセスユーザーの利用を許可する]が設定されてい るフォームからの文書の作成や変更が可能 [作成者]以上 文書の複製またはコピー 文書をローカルにまたはクリップボードに複製またはコピー可能 [読者]以上 54 © 2008 IBM Corporation 2-3b. 詳細 – アクセス制御 – データベースレベル パブリックアクセス権限 アクセス権限が”なし”でも、ユーザーが一部の文書を読み込み・作成・編集可能にさせる権限です。 使用例 – メールDB中のカレンダー文書 セットアップ方法 – パブリックアクセス用のフォームを作成する。 • 「パブリックアクセスユーザーの使用可」チェックボックスに チェック • $PublicAccessという名前でテキストフィールドを”作成時 の計算結果”で作成し、デフォルト値として”1”を指定する。 – パブリックアクセス用のビューを作成する。 • 「パブリックアクセスユーザーの使用可」チェックボックスに チェック • ビュー以外にも、ページ、フォーム、サブフォーム、アウトライ ン、フォルダ、エージェント、スタイルシート、イメージ、ファイ ル、フレームセットにて指定可能 55 © 2008 IBM Corporation 2-3b. 詳細 – アクセス制御 – データベースレベル ロール 各データベース単位でユーザーをグルーピングする機能を提供します。 ロールによるアクセス制限 – 各設計要素プロパティのセキュリティタブで指定可能 – 非表示式やプログラムの中でロールによる制御が可能 • @UserRoles関数 – 例) @IsMember(“[ADM]”;@UserRoles) • NotesDatabaseクラスのQueryAccessRolesメソッド 56 © 2008 IBM Corporation 2-3c. 詳細 – アクセス制御 – 文書レベル 文書単位のアクセス制御 読者フィールドと作成者フィールドを使うと、文書を読める人、編集できる人を制限できます。 読者 フィールド 作成者 フィールド 文書を読める人 文書を編集できる人 なし なし ACLで[読者]以上 のアクセス権を持 つすべてのユー ザー ACLで[編集権]以 上のアクセス権を 持つすべてのユー ザー なし Robert Smith ACLで[読者]以上 のアクセス権を持 つすべてのユー ザー ACLで[編集者]以 上のアクセス権を 持つすべてのユー ザーとRobert Smith Jane Brown なし Jane Brown なし Jane Brown Robert Smith Jane Brownと Robert Smith Robert Smith ※ Jane BrownとRobert SmithはどちらもACLで作成者権限を持つ。 ※ .保守が煩雑になるので、読者フィールドまたは作成者フィールドでグループやユーザー名を直接記入することはお勧めで きません。その代わりに、ロールを指定してください。ロールにユーザーやグループを設定することにより、ユーザーや グループに権限を割り当てることができます。 57 © 2008 IBM Corporation 2-3c. 詳細 – アクセス制御 – 文書レベル 文書の持ち出し禁止 文書にフィールド”$KeepPrivate”があり、”1”がセットされ ていると、クリップボード経由のコピーや文書の転送・複製・ 印刷が不可能になります。 メールDBのように、ユーザーが編集者以上の権限を持って いる場合は、$KeepPrivateフィールドの変更が可能なので、 セキュリティ確保にはなりません。 58 © 2008 IBM Corporation 2-3c. 詳細 – アクセス制御 – 文書レベル 文書の署名 文書にデジタル署名を格納することが出来ます。文書全体に対して署名をつけたり、文書中のセクション 毎に署名をつけることも可能です。 メール送信時に、文書にデジタル署名を行う – “送信後またはセクションへの保存後に書名”というセキュリティオプションを 指定したフィールドを1つ作成します。 – メール送信時、以下のいずれかの場合署名されます。 • • • • フィールドのインフォボックス [送信オプション] ダイアログボックスで、送信者が [署名] を選択 フォームに [Sign] という名前のフィールドがあり、その値が 1 の場合 フォームの @MailSend 式で [Sign] パラメータを指定した場合 フォームの LotusScript プログラムで NotesDocument クラスの SignOnSend プロパ ティに True が指定されている場合 アプリケーションDB中の文書にデジタル署名を行う。 – NotesDocumentクラスのSignメソッドを使用します。 セクション単位にデジタル署名を行う – アクセス制御されたセクション(後述)中に、 “送信後またはセクションへの 保存後に書名”というセキュリティオプションを指定したフィールドを1つ作成 します。 – 署名有効フォームには、[フィールドのプロパティ] インフォボックスの [詳 細] タブで [送信後またはセクションへの保存後に署名] のプロパティを割 り当てます。 – 署名されたセクションには、署名者、日付、所属の情報が表示されます。 59 © 2008 IBM Corporation 2-3c. 詳細 – アクセス制御 – セクションレベル 制御つきセクションによる文書編集制御 フォーム中に設計された個々のセクションそれぞれに対して、セクション中のフィールドを編集できるユー ザーを指定することができます。 フォーム セクションを“制御つきセクション”として作成すると、 セクションを“制御つきセクション”として作成すると、 ここで示されるタブが追加で出てきます。 ここで示されるタブが追加で出てきます。 式に、編集可能なユーザー、グループ、ロールなどを 式に、編集可能なユーザー、グループ、ロールなどを 指定します。 指定します。 60 © 2008 IBM Corporation 2-3c. 詳細 – アクセス制御 – フィールドレベル フィールドのアクセス制御 フィールドの非表示 – フィールド・プロパティの段落非表示 タブを使用して、適切なユーザーに のみフィールドを表示させることがで きます。 – 非表示に設定しても、文書のプロパ ティからアクセスするとフィールド値 は参照できますので、セキュリティに はなりません。 作成者に対するフィールド編集禁止 – 作成者権限を持っている文書のフィー ルドを編集禁止にすることができます。 – 新規作成の時は、値をセット可能です。 – フィールドの“使用するには編集者以上 のアクセス件が必要”を指定します。 例) Adminロールを持っていなければ非表示にする。 – 申請ワークフローアプリケーションなどで、 一度申請した内容を勝手に変更できな いように制御することが可能になります。 61 © 2008 IBM Corporation 2-3c. 詳細 – アクセス制御 – フィールドレベル フィールドの暗号化(1) セキュリティの高いフィールドは、暗号化するように設計することができます。暗号化方法として、共 通鍵方式、公開鍵方式の2つが可能です。 暗号フィールドの設計 – フィールドのセキュリティオプションで、“このフィールドを暗号化する”を選択します。 「このフィールドを暗号化する」 「このフィールドを暗号化する」 をチェックすると、フィルードは をチェックすると、フィルードは 赤のカッコで囲まれます。 赤のカッコで囲まれます。 62 © 2008 IBM Corporation 2-3c. 詳細 – アクセス制御 – フィールドレベル フィールドの暗号化(2) 共通鍵方式による暗号化 – エンドユーザーは、シークレット暗号キー(共通鍵)を 作成します。 公開鍵方式による暗号化 – パブリックキーを文書に添付します。 文書プロパティ [ファイル]-[セキュリティ]-[ユーザーセキュリティ] – シークレット暗号キーを文書に添付します。 文書プロパティ Hint Hint & & Tips Tips 文書プロパティで暗号キーを選択する方法以外に、フォーム上にキー名 文書プロパティで暗号キーを選択する方法以外に、フォーム上にキー名 を入れる特殊フィールドを作成して選択させるインターフェーズを作るこ を入れる特殊フィールドを作成して選択させるインターフェーズを作るこ とによって、ユーザーインターフェースを改良することができます。 とによって、ユーザーインターフェースを改良することができます。 PublicEncryptionKeysフィールド: PublicEncryptionKeysフィールド: パブリック暗号キー用 パブリック暗号キー用 – 暗号化したフィールドを読む必要があるユーザーに シークレット暗号キーをメールまたはファイルで渡し ます。 63 SecretEncryptionKeysフィールド: SecretEncryptionKeysフィールド: シークレット暗号キー用 シークレット暗号キー用 © 2008 IBM Corporation Contents – 2. Lotus Notes/Dominoのセキュリティ詳細 1. 2. a. b. c. 3. a. b. c. 4. a. b. 5. a. b. 6. 64 セキュリティ・リスク対策の基本技術 認証 Lotus Notesクライアント(Notes認証、IDパスワード) WEB(インターネットパスワード、セッション認証) インターネット認証(暗号化、X.509証明書、SSL) アクセス制御 サーバーレベル(サーバーアクセス、エージェント実行) データベースレベル - アクセス制御リスト(ACL) 文書レベル(読者/編集制御、表示/非表示) メール・セキュリティ 暗号化・署名 スパム対策 クライアント・セキュリティ 操作制御リスト(ECL) ローカルDBの暗号化 アクセスログ © 2008 IBM Corporation 2-4a. 詳細 – メール・セキュリティ - 暗号・署名 メール署名の仕組み IDファイル ・ Notes認証 ・ インターネット認証 メール平文 メール平文 CA局のパブリックキー (OS上にインストール) ハッシュ関数 ハッシュ値 ハッシュ値 IDファイル ・ Notes認証 ・ インターネット認証 一致することで、署名が正 一致することで、署名が正 しいものだと確認し、改ざ しいものだと確認し、改ざ んが無いことを確認する。 んが無いことを確認する。 電子証明書中の 相手パブリックキー を取得 プライベートキー で暗号化 ハッシュ値 ハッシュ値 ハッシュ値 ハッシュ値 復号化 ハッシュ関数 暗号化 暗号化 ハッシュ値 ハッシュ値 メール平文 メール平文 証明書の確認 暗号化 暗号化 ハッシュ値 ハッシュ値 電子証明書 電子証明書 メール文書 メール平文 メール平文 送信者 電子証明書 電子証明書 暗号化 暗号化 ハッシュ値 ハッシュ値 受信者 ・ ハッシュアルゴリズム ・ 暗号化アルゴリズム 65 © 2008 IBM Corporation 2-4a. 詳細 – メール・セキュリティ - 暗号・署名 メール暗号化の仕組み Domino Directory 共通キーの生成 共通キー 共通キー メール平文 メール平文 プライベートキー で復号 共通キーで 復号 メール平文 メール平文 共通キーで 暗号化 メール暗号文 メール暗号文 IDファイル ・ Notes認証 ・ インターネット認証 相手パブリック キーで暗号化 暗号化 共通キー 暗号化 共通キー 個人 アドレス帳 メール暗号文 メール暗号文 メール文書 送信者 メール暗号文 メール暗号文 暗号化 共通キー 受信者 ・ 暗号化アルゴリズム 66 © 2008 IBM Corporation 2-4a. 詳細 – メール・セキュリティ - 暗号・署名 自己のインターネット証明書の取り込み(1) S/MIMEで署名付メールを送ったり、送られてきた暗号メールを復号するためには、インターネッ ト認証を持っている必要があります。インターネット認証は、IDファイルの中に取り込まれます。 方法1 Lotus Notesクライアント上でインポートする – [ファイル]-[セキュリティ]-[ユーザーセキュリティ]でユーザーセキュリティ・ダイアログ からインポートします。 – サポートされるファイル形式 • PKCS12(*.p12、*.pfx)、PKCS7(*.p7b、*.p7c) • バイナリファイルとBase64ファイル(*.cer、*.der) 67 © 2008 IBM Corporation 2-4a. 詳細 – メール・セキュリティ - 暗号・署名 自己のインターネット証明書の取り込み(2) 方法2 Domino Directory のユーザー文書にインポートする – インポート後、クライアントがサーバーにセッションを最初に確立する時に、自動的にクライアント 側のIDファイル中にインターネット認証が取り込まれます。 – Lotus DominoがCA局であれば、管理クライアントから一括で生成・設定できます。 • ユーザー文書を選択し、“選択ユーザーへのインターネット認証の追加”アクションを実行すると、 システム管理プロセスへリクエスト文書が生成されます。 – 外部CA局を使用している場合、個々のユーザー文書を開いてインポートします。 • “インターネット認証のインポート”アクションを実行します。 • サポートされるファイル形式 – PKCS12(*.p12、*.pfx)、PKCS7(*.p7b、*.p7c) – バイナリファイルとBase64ファイル(*.cer、*.der) 68 © 2008 IBM Corporation 2-4a. 詳細 – メール・セキュリティ - 暗号・署名 他者のインターネット証明書へのアクセス 暗号メールを送信するためには、他者のインターネット認証(パブリックキー)にアクセスする必 要があります。 方法1 Domino Directory、外部LDAPサーバー上の認証にアクセスする。 – 送信時に、あて先に指定されたメールアドレスでDomino Directory、外部LDAPサー バーを検索し、ヒットすればそのインターネット認証を使用します。 – 通常、コーポレートディレクトリには社内ユーザーしか登録されていないため、主に、 社内でのS/MIME利用を想定しています。 方法2 個人アドレス帳に他者のインターネット認証を取り込んでおく – 相手に署名付のメールを送ってもらい、”送信者をアドレス帳に追加” で個人アドレス 帳に登録すると、インターネット認証が合わせてコピーされます。 メールDBのアクション 69 個人アドレス帳内のユーザー文書 © 2008 IBM Corporation 2-4a. 詳細 – メール・セキュリティ - 暗号・署名 暗号化、署名メールの送信方法 メール文書の送信オプション 個々のメール送信時に、メール文書の送信オプ ションで、署名、暗号化を選択します。 メールの暗号化、署名のデフォルト設定をユーザー セキュリティまたはプリファレンスにて行えます。 • どちらで行っても同じです。例えば、ユーザーセキュリティで設定し た内容はプリファレンスからも確認・修正できます。 「セキュリティ」-「ユーザーセキュリティ」ー「メール」 70 「プリファレンス」-「ユーザー」ー「メール」 © 2008 IBM Corporation 2-4a. 詳細 – メール・セキュリティ - 暗号・署名 S/MIMEメールの送信 Lotus Notesクライアントは、あて先に指定したアドレス形式から判断して、Notes暗号・署 名で送るか、S/MIMEで送るかを自動的に決定します。 S/MIMEで送信する場合、ロケーション文書の“インターネットメールアドレス向けのメール 形式”が“MIME形式”である必要があります。 個人アドレス帳 - ロケーション文書 “MIME形式”は、Lotus Notesクライアント上でメッセージをMIME変換するこ とを指定するパラメータです。 S/MIMEで署名するためには、IDファイル中のプライベートキーを使用する必 要があるので、サーバー上でMIME変換するという事はできません。また、暗 号化する場合は、相手のパブリックキーが必要ですが、個人アドレス帳内に ある場合、サーバー上で暗号化できないので、クライアント側で相手パブリッ クキーを決定し、暗号化しておく必要があります。 以上の理由で、S/MIMEの場合、“MIME形式”である必要があります。 NRPC配信しないメール配信トポロジーを組む必要があります。 – NRPC配信では、Notesリッチテキスト形式に変換してしまうので、S/MIME情報が落ちてしまいます。 71 © 2008 IBM Corporation 2-4b. 詳細 – メール・セキュリティ – スパム対策 スパムメール制御機能 インターネットメール ノーツメール インバウンド・リレー制御 DNSリストによるチェック クライアント メールルール User-1 クライアント メールルール User-2 クライアント メールルール User-n MAIL.BOX 1.プライベートホワイトDNSリスト 2.プライベートブラックDNSリスト 3.DNSホワイトリスト 4.DNSブラックリスト サーバーメールルール インバウンド接続制御 インバウンド送信者制御 インバウンド受信者制御 72 © 2008 IBM Corporation 2-4b. 詳細 – メール・セキュリティ – スパム対策 インバウンド制御 相手SMTPホスト、送受信者メールドメインを判断して、接続の許可・拒否をすることが可能です。 [サーバー設定文書]-[ルータ/SMTP]-[拡張と制御]- [SMTP インバウンド] “外部ホスト”を指定することによ “外部ホスト”を指定することによ り、左のインバウンドリレー制御 り、左のインバウンドリレー制御 を外部からのメールだけを対象 を外部からのメールだけを対象 とすることが出来ます。 とすることが出来ます。 *を指定することで、社外へ *を指定することで、社外へ のメールを全てリレー禁止に のメールを全てリレー禁止に することが可能です。 することが可能です。 接続するホストのIPアドレスを使って、 接続するホストのIPアドレスを使って、 DNSでホスト名を検索します。ホスト DNSでホスト名を検索します。ホスト 名が見つかった場合、信頼できるホス 名が見つかった場合、信頼できるホス トと判断して接続を許可します。 トと判断して接続を許可します。 あて先ユーザーがドミノディレクトリに登録 あて先ユーザーがドミノディレクトリに登録 されていなければ、550(Unknown されていなければ、550(Unknown User) User) を返すパラメータです。Mail.boxにDead を返すパラメータです。Mail.boxにDead メールが溜まらないメリットがある一方、 メールが溜まらないメリットがある一方、 550を返す事でスパマーに辞書攻撃をし 550を返す事でスパマーに辞書攻撃をし 易くしてしまう可能性があります。 易くしてしまう可能性があります。 送信者のメールドメインが 送信者のメールドメインが DNSに登録されていなけ DNSに登録されていなけ れば、スパムとみなし、受 れば、スパムとみなし、受 信が拒否されます。 信が拒否されます。 73 © 2008 IBM Corporation 2-4b. 詳細 – メール・セキュリティ – スパム対策 DNSブラックリスト/ホワイトリスト ブラックリストで接続拒否するSMTPホストを指定し、ホワイトリストで接続許可するSMTPホストを指定し ます。ブラックリストに大量のホストが登録されている場合、チェックに負荷がかかりますが、ホワイトリ ストを合わせて使うことで、接続が必要なSMTPホストに対してはすぐに接続を許可することができます。 ブラックリスト提供サービス(DSBL、 ブラックリスト提供サービス(DSBL、 スパムコップ、CBL、etc)が指示す スパムコップ、CBL、etc)が指示す るURLを指定します。 るURLを指定します。 ホワイトリスト提供サービスが指示す ホワイトリスト提供サービスが指示す るURLを指定します。 るURLを指定します。 [サーバー設定文書]-[ルータ/SMTP]-[拡張と制御]- [SMTP インバウンド] ブラックリストに載せる ブラックリストに載せる IP IP アドレスまたは アドレスまたは ホスト名を入力します。 ホスト名を入力します。 74 ホワイトリストに載せる ホワイトリストに載せる IP IP アドレスまたは アドレスまたは ホスト名を入力します。 ホスト名を入力します。 © 2008 IBM Corporation 2-4b. 詳細 – メール・セキュリティ – スパム対策 サーバーメールルール Lotus Domino サーバーのメールルーティングを利用する(Mail.boxを通過する)メッセージに対し て設定された条件に従ったメール処理アクションを実施します 条件の要素 検査するメッセージ項目 アクション名 説明 [送信者]、[件名]、[本文]、[重要度]、[送信優先度]、[To]、[CC]、[BCC]、[To または CC]、[本文、または件名]、[インターネットドメイン]、[サイズ (バイト)]、[すべての文書]、 [添付ファイル名]、[添付の数]、[フォーム]、[受信者数]、または [受信者] ジャーナルする、データベースへ移動する、メッセージを受け入れない、メッセージを送信しない、ルー ティング状態の変更 [サーバー設定文書]-[ルーター/SMTP]-[拡張と制御]-[ルール] Mail.box サーバーメールルール ジャーナル(コピーを保存)する データベースに移動する メッセージを受け入れない メッセージを送信しない ルーティング状態の変更 75 © 2008 IBM Corporation 2-4b. 詳細 – メール・セキュリティ – スパム対策 クライアントメールルール ユーザーが自分のメールボックスに、受信メールに対してルールを設定することが可能です。スパムメー ルのメールドメイン名などを元に、スパムメールを自動的に処理します。 条件 条件 - - 送信者 送信者 - - 件名、本文 件名、本文 - - 重要度、送信優先度 重要度、送信優先度 - あて先、cc、bcc - あて先、cc、bcc - - インターネットドメイン インターネットドメイン - サイズ - サイズ - - フォーム フォーム - - ブラックリストタグ ブラックリストタグ - ホワイトリストタグ - ホワイトリストタグ - - すべての文書 すべての文書 76 アクション アクション - - フォルダに移動、コピー フォルダに移動、コピー - コピーを送信 - コピーを送信 - - 期日の設定 期日の設定 - 重要度を変更 - 重要度を変更 - - 削除 削除 - 処理を停止 - 処理を停止 © 2008 IBM Corporation Contents – 2. Lotus Notes/Dominoのセキュリティ詳細 1. 2. a. b. c. 3. a. b. c. 4. a. b. 5. a. b. 6. 77 セキュリティ・リスク対策の基本技術 認証 Lotus Notesクライアント(Notes認証、IDパスワード) WEB(インターネットパスワード、セッション認証) インターネット認証(暗号化、X.509証明書、SSL) アクセス制御 サーバーレベル(サーバーアクセス、エージェント実行) データベースレベル - アクセス制御リスト(ACL) 文書レベル(読者/編集制御、表示/非表示) メール・セキュリティ 暗号化・署名 スパム対策 クライアント・セキュリティ 操作制御リスト(ECL) ローカルDBの暗号化 アクセスログ © 2008 IBM Corporation 2-5. 詳細 – クライアント・セキュリティ 操作制御リスト(ECL) Lotus Notesクライアント上でスクリプトや式が実行される時、プログラム(設計要素)を作 成したユーザー(設計の署名者)が、クライアント上で実行する権限を持っているかどうか がチェックされます。 実行が許可されていない場合、 実行が許可されていない場合、 警告ダイアログが表示されます。 警告ダイアログが表示されます。 信頼された開発者によるコードだけを実行することができ、クライアントを保護できます。 クライアントECLの設定画面 開発者である設計の署名者 開発者である設計の署名者 ごとにECLを設定する。 ごとにECLを設定する。 クライアントPC上の環境を変更す クライアントPC上の環境を変更す るようなインパクトの大きい操作 るようなインパクトの大きい操作 に対して許可を設定する。 に対して許可を設定する。 プログラムの種類 アクセス中のDB以外のLotus アクセス中のDB以外のLotus Notes/Domino関連の環境に影 Notes/Domino関連の環境に影 響のある操作に対して許可を設 響のある操作に対して許可を設 定する。 定する。 78 © 2008 IBM Corporation 2-5. 詳細 – クライアント・セキュリティ システム管理ECL Domino Directory内にECL(システム管理ECL)を定義し、それをク ライアントに配布することが可能です。 システム管理ECLの定義・配布 システム管理ECLの設定画面 – 定義方法1 Domino Directoryの“操作制御リストの編集”アクション • 配布方法 – Lotus Notesクライアントのセットアップ時に適用される。 – @RefreshECL関数を実行するボタンをメールで配布して、ユーザー に実行してもらう。 – ユーザーに、クライアントECL設定画面で“すべて更新”ボタンを 実行してもらう。 – 定義方法2 セキュリティ・ポリシー機能 • 配布方法 – クライアント側に適用されるタイミングを設定可能 > “Admin ECLが変更されたとき” > “日に一度” – ECL全体の置き換え、個別エントリの置き換えを選択可 79 [ポリシー文書]-[セキュリティ設定] © 2008 IBM Corporation 2-5. 詳細 – クライアント・セキュリティ ローカルデータベースの暗号化 ローカル複製を作成する場合には、そのデータベースを自分のみが参照できるように暗号化しておく ことが可能です。 既存のDBの暗号化 – データベースのプロパティボックスより暗号化します。 データベースのインフォボックス – 暗号化レベルを指定します。 暗号化レベル 軽 通常の使用時の安全性が確保され、文書へのアクセス速度は 速くなります。ディスク圧縮ユーティリティで圧縮できます。 中 安全性が十分に確保され、文書へのアクセス速度も遅くなりま せん。ディスク圧縮ユーティリティでは圧縮できません。 強 暗号化レベルが中の文書に比べて開くのに時間がかかります。 ディスク圧縮ユーティリティでは圧縮できません。 ※セキュリティが優先されるときにだけ使います ローカル複製作成時のデフォルト設定 – ユーザーセキュリティでデフォルトで暗号化するかどうかを指定できます。 起動に必要なnames.nsf、bookmark.nsf以外は暗号化が可能です。 80 © 2008 IBM Corporation Contents – 2. Lotus Notes/Dominoのセキュリティ詳細 1. 2. a. b. c. 3. a. b. c. 4. a. b. 5. a. b. 6. 81 セキュリティ・リスク対策の基本技術 認証 Lotus Notesクライアント(Notes認証、IDパスワード) WEB(インターネットパスワード、セッション認証) インターネット認証(暗号化、X.509証明書、SSL) アクセス制御 サーバーレベル(サーバーアクセス、エージェント実行) データベースレベル - アクセス制御リスト(ACL) 文書レベル(読者/編集制御、表示/非表示) メール・セキュリティ 暗号化・署名 スパム対策 クライアント・セキュリティ 操作制御リスト(ECL) ローカルDBの暗号化 アクセスログ © 2008 IBM Corporation 2-6. 詳細 – アクセスログ 監査目的に使用できるLotus Dominoアクセス・ログ機能 監査対象 対応するLotus Domino標準機能 アクセス記録 サーバーレベル ノーツログ、Webログ データベースレベル ノーツログ(Session Activity文書)、Webログ 文書レベル 課金機能、Webログ 文書 なし (アプリでの実装は可能) メール送信 メールジャーナル 設計 設計要素の作成日・更新日を確認する。 ACL ACLモニター 文書コピー なし ローカル複製・コピー なし 印刷 なし ユーザー認証エラー ノーツログ アクセス権限違反 ノーツログ データ変更・追加・削除 データ持ち出し セキュリティ違反 82 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ ノーツログ log.nsf にサーバー上の各種ログが記録されます。 – 例1 ユーザーがサーバーにアクセス 2006/06/22 2006/06/22 05:57:14 05:57:14 Opened Opened session session for for Notes Notes Admin/T42ORG1 Admin/T42ORG1 (Release (Release 7.0) 7.0) 2006/06/22 05:57:30 Closed session for Notes Admin/T42ORG1|Databases 2006/06/22 05:57:30 Closed session for Notes Admin/T42ORG1|Databases accessed: accessed: Documents Documents read: read: 99 Documents Documents written: written: 00 33 注) notes.ini 中に Log_Sessions=1を指定する必要があります。 – 例2 認証エラー 2006/06/22 2006/06/22 17:13:35 17:13:35 Muneyuki Muneyuki Ohkawa/Japan/IBM Ohkawa/Japan/IBM from from host host [192.168.0.1:2512] [192.168.0.1:2512] failed failed to to authenticate: authenticate: 認証できる相互認証がサーバーの 認証できる相互認証がサーバーの Domino Domino ディレクトリにありません。 ディレクトリにありません。 – 例3 権限エラー 2006/06/22 2006/06/22 17:16:20 17:16:20 ATTEMPT ATTEMPT TO TO ACCESS ACCESS DATABASE DATABASE events4.nsf events4.nsf by by Chick Chick Corea/T42ORG1 was denied Corea/T42ORG1 was denied 83 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ ノーツログ - Session Activity文書 クライアントのノーツセッション毎にlog.nsf中に作成され、セッ ション中にアクセスしたDBのアクセス情報が格納されています。 84 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ ACLモニター データベースのACL変更をモニターする機能。 重要なDBに対して設定し、意図しないACL変更を察知するこ とが可能。 ACL変更 ACL変更 モニター ACL変更イベント発生 指定したDBのACLに変更 指定したDBのACLに変更 があったらイベントを発生 があったらイベントを発生 させるように定義する。 させるように定義する。 モニター対象 データベース events4.nsf server server タスク タスク イベントジェネレータ文書 イベントハンドラ文書 モニター event event タスク タスク アクション実行 アクション実行 85 イベントジェネレータで定義した イベントジェネレータで定義した イベントに対して、アクションを イベントに対して、アクションを 定義する。 定義する。 例) 例) ・・ statrep.nsfにログ statrep.nsfにログ ・・ 管理者にメール 管理者にメール © 2008 IBM Corporation 2-6. 詳細 – アクセスログ 設計要素の作成日・更新日 “初回”は、各レプリカで共通の日時です。 “初回”は、各レプリカで共通の日時です。 オリジナルが作成・更新された日時を示します。 オリジナルが作成・更新された日時を示します。 “現在のファイル”は、各レプリカで固有の日時です “現在のファイル”は、各レプリカで固有の日時です 複製により各レプリカDB上で追加・更新された日 複製により各レプリカDB上で追加・更新された日 時を示します。 時を示します。 86 © 2008 IBM Corporation 2-6. 詳細 – メール・セキュリティ メールジャーナル機能 Lotus Domino サーバーのメールルーティングを利用する(Mail.boxを通過する)メッセージのすべて、ま たは、条件に合致するものをサーバーでコピーし保管する機能です 基本 データベース 管理 フィールド名 説明 ジャーナリング メールジャーナルを有効にするかを選択する フィールド暗号化 除外リスト 暗号化しないフィールドのリストを追加する 方法 ジャーナル方法を選択 データベース名 コピー先のデータベース名を指定 ユーザーの代理 として暗号化 どのユーザーのパブリックキーを使って暗号化する か、ユーザーを指定 方法 データベースの管理方法を指定 [サーバー設定]-[ルーター/SMTP]-[拡張と制御][ジャーナリング] 定期的なロールオーバー、パージ/圧縮、ロール オーバーサイズ、なし ※アーカイブソリューション (IBM Common Store for Lotus Domino) と併用することで長時間・大量のメールメッセージの保存・管理が可能と なります。 Mail.box サーバーメールルール メール ジャーナル 87 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ 課金機能 - 概要 ①文書の書き込み/読み込み 課金DB DB 課金タスク Billing.nsf ③ポーリング ②課金情報の登録 ④課金情報の出力 課金メッセージキュー ①クライアントから文書の書き込み/読み込みを行う ②書き込み/読み込みの情報(課金情報)が課金メッセージキューに登録される ③課金タスクが定期的に課金メッセージキューをポーリングする ④課金メッセージキューに課金情報が存在する場合、課金タスクが課金DBに出力 する 88 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ 課金機能 - Billing.nsf データベース/文書を特定し、誰がいつ データベース/文書を特定し、誰がいつ どんなアクセスをしたかがログされます。 どんなアクセスをしたかがログされます。 “Charge” “Charge” は、この機能を利用して、各 は、この機能を利用して、各 操作に対して課金する場合のコストを 操作に対して課金する場合のコストを 示します。 示します。 89 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ 課金機能 - 設定方法 課金機能で文書レベルのアクセス記録を取得するための設定 – Lotus Dominoサーバーの設定(notes.ini) • ServerTasks=行に Billing(課金タスク)を追加 • BillingClass=Database, Document を追加 – Database: データベースレベルの記録を取得する設定 – Document: 文書レベルの記録を取得する設定 • BillingAddinOutput=行を追加(出力先の設定 1:DB、8:バイナリファイ ル、9:両方) – 文書用フォームの設定 • 書き込み記録用に、数値フィールド“$ChargeWrite”を入れる。 • 読み込み記録用に、数値フィールド“$ChargeRead”を入れる。 • “$ChargeWrite”、 “$ChargeRead”には、課金のコストを入れておく。 90 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ 課金機能 - 考慮点 文書の削除や編集はログが取得できない。 – 削除は一切ログが取得できない – 編集は読み込みと書き込みがそれぞれ記録される 既存文書を課金機能のログ対象にするためには、 「$ChargeWrite」「$ChargeRead」を付加する必要がある。 バイナリファイルを出力先とした場合、参照するためには サードパーティツールが必要だが、おそらく現在日本では販 売されていない。 DBを出力先とした場合、1アクセスにつき1文書作成される ため、ログのデータ量が膨大になる。 91 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ Domino Webサーバーログ クライアントからWebサーバーへのアクセスをDomino Webサーバーログに記録できます 要求が生成された日時と時刻 ユーザーの IP アドレス (サーバー文書の [DNS 参照] が [有効] になっている場合は DNS アドレス) ユーザー名 (ユーザーがサーバーにアクセスする際に名前とパスワードを入力してい る場合) サーバーがブラウザに返す、要求の生成に成功したか失敗したかを示すステータス コード サーバーからブラウザに送信されるバイト単位の情報の長さ text/html や image/gif など、ユーザーがアクセスするデータの種類 ブラウザからサーバーに送信される HTTP 要求 サーバーへのアクセスに使用されるブラウザの種類 内部プログラムと CGI (Common Gateway Interface) プログラムのエラー このサイトのページにアクセスするためにユーザーがアクセスした URL サーバーの IP アドレスか DNS 名 要求を処理する時間 (ミリ秒) ブラウザから送信された cookie 変換された URL (利用可能な場合は実際のサーバーリソースのフルパス) 92 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ Domino Webサーバーログの設定 Domino Web サーバーログを設定するには、ログ記録を有効にします (デフォルトでは無効)。 また、Domino Web サーバーログに記録する情報を制限してログの結果を分析できます。 [サーバー文書]-[インターネット]-[HTTP] 93 © 2008 IBM Corporation 2-6. 詳細 – アクセスログ Domino Webサーバーログ・フォーマット Lotus Dominoは、W3Cのフォーマットに準拠した標準のログを出力します。 ログの出力先は、以下の2つが可能です。 – ノーツDB形式 • ノーツDBなので、LotusScriptや@関数による加工や ノーツDBとしてのアーカイブ・削除などの管理が可能です。 • サイズが大きくなり、また、書き出しパフォーマンスは あまりよくありません。 – テキストファイル形式 • WebTrendsなどの一般のログ分析ツールが使用可能です。 • ログのアーカイブ・削除などの管理は、別途、仕組みを作る 必要があります。 • ノーツDB形式と比較するとサイズは小さく、書き出しの パフォーマンスは良好です。 ログの出力先は、書き出しパフォーマンスの良さを重視して、テキスト形式をお 勧めいたします。 94 © 2008 IBM Corporation