 |
FirstClassを安全に利用する方法
FirstClassが実装しているセキュリティ機能は、以下の5つの階層で構成されています。
• ユーザIDとパスワード
• 機能
• ディレクトリの閲覧制限
• メンバー登録
• 権限
また、ユーザのメールボックスでルールを作成し、ジャンクメールや機密性の高いメールを管理できます。 ユーザIDとパスワード
FirstClassに登録されているすべてのユーザは、指定されたユーザIDとパスワードを使用してログインします。ユーザIDとパスワードのどちらかが不正であれば、サーバへのアクセスは拒否されます。ユーザIDとパスワードは、[ユーザ情報]フォームで設定します。[ユーザ情報]フォームのパスワードのフィールドは常に「********」と表示されます。これは、[ユーザ情報]フォーム上でもパスワードの安全を確保するためです。パスワードのセキュリティに関する詳細設定は、[グループ権限]フォームで行います。ご利用のシステムにおけるパスワードポリシーもこのフォームで設定します。ユーザが3回連続で誤ったパスワードを入力すると、そのアカウントは1分間ログインできない状態になります。 パスワード要件の強制適用
 ゲートウェイアカウントには適用されません。ユーザのパスワードが、ユーザグループレベルで設定されたパスワードの最低要件を満たさない場合、そのユーザはログイン時にパスワードの変更を求められます。[パスワードの変更]フォームでパスワードを変更するまで、そのユーザはどの機能も利用できなくなります。ユーザがそのフォームで何も行わなかった場合、そのユーザはログオフされます。
機能
管理者は、すべてのユーザおよびユーザグループに対して、FirstClassサーバで実行できる機能を設定できます。FirstClassには46種類の機能があります。グループが利用できるようにする機能は[グループ権限]フォームで設定し、その設定より優先してユーザが利用できるようにする機能は[ユーザ情報]フォームで設定します。
ディレクトリの閲覧制限
ディレクトリの閲覧制限とは、ご利用のFirstClassディレクトリでユーザが表示できるオブジェクトを管理者が制限できる機能のことです。ディレクトリの閲覧制限を設定していない場合、あらゆるグループに所属するすべてのユーザが、すべてのエントリをFirstClassディレクトリで表示できます。ユーザが表示できないエントリがある場合、そのエントリ宛にメッセージを送信することが難しくなります。閲覧制限を設定すれば、ユーザがディレクトリで確認できるエントリは、そのユーザにメッセージの送信が許可されているか、そのユーザが存在を知っているエントリだけになります。
ディレクトリで表示できる範囲をシステムで制限するには、以下の方法があります。
• ユーザアカウント、会議室、または公開メールリストをディレクトリに公開しない。
非公開に設定したユーザをディレクトリで表示できるのは、[非公開ディレクトリの閲覧]権限を持つユーザだけです。
• あるユーザグループに所属するユーザに対し、選択したユーザグループ、会議室グループ、または会議室しか表示できないように[グループ権限]フォームで設定する。
• あるユーザに対し、選択したユーザ、ユーザグループ、会議室グループ、または会議室しか表示できないように[ユーザ情報]フォームで設定する。
• ディレクトリで表示されない非公開の会議室を作成する。この会議室は管理者用ディレクトリにも表示されません。この会議室のセキュリティは高くなりますが、会議室内で作成されたメッセージしかこの会議室に表示されなくなります。
デフォルトでは、標準グループ群に属するグループは、[Unauthenticated Users]グループを除いて閲覧制限が設定されていません。[Unauthenticated Users]グループは、[Webとファイルの詳細設定]フォームで[認証なしでディレクトリへのアクセスを許可する]が有効になっている場合にのみ、ディレクトリに表示できます。 ディレクトリ閲覧制限の設定
ディレクトリの閲覧制限は、ユーザグループ単位またはユーザ単位で設定できます。したがって、ユーザではなくユーザグループに対してディレクトリの閲覧制限を設定することをお勧めします。その方が、システム上で設定を統一し、管理がしやすくなるためです。ユーザ単位でディレクトリ閲覧制限を設定するのは、特別な権限を与える場合だけにしてください。
グループ単位でディレクトリの閲覧制限を設定するには、[グループ権限]フォームの[ディレクトリ]タブを使用します。
ユーザ単位でディレクトリの閲覧制限を設定するには、[ユーザ情報]フォームの[ユーザグループ/ディレクトリ]タブを使用します。
メンバー登録
会議室や共有カレンダーなどのコンテナが、ユーザのデスクトップ上にもそのユーザが利用できる他のコンテナ内にも表示されない場合、ユーザがそのコンテナにアクセスすることはできません。
ユーザをそのコンテナのメンバーにすれば、そのユーザのデスクトップにコンテナへのリンクが表示されます。そのコンテナで権限を設定し、ユーザが実行できる内容やレベルを決定します。
権限
ほとんどの企業や学校では、機密性の高い情報へのアクセスを制限する必要があります。そのためには、特定のグループのユーザのみに機密情報へのアクセスを許可し、他のグループにはアクセスできる情報の範囲を限定したり、アクセスを一切禁止したりするのが適切です。これが、FirstClassで権限を設定するときの基本的な考え方です。
選択できる権限は17種類、個別の権限があらかじめ組み合わされたアクセスレベルは9種類あります。
メールルール
ユーザーがメールルールの作成権限を持っていなくても、管理者はそのユーザのメールボックスにルールを作成できます。
学校では、学生がむやみにメールを送信することを防ぐため、学生がメールを送信できないようにルールを設定できます。送信権限がなくても、メールを受信することは可能です。この場合、管理者はメールルールを作成して、インターネットメールやスパムと判断されたすべてのメールを、ユーザの気づかないうちに削除できます。
企業では、法的な問題や倫理的な問題などの機密事項を扱うユーザに対して、メールルールを利用できます。ユーザが受信したすべてのメッセージを保存用会議室にリダイレクトし、指定した年数が過ぎるまで保管することができます。証拠として必要になったメールをユーザが削除してしまっても、保存用会議室にはそのユーザのメールボックスの受信メールと送信メールがすべて残っています。
ユーザのメールボックスにルールを作成するには、以下の操作を行います。
1 管理者としてログインします。
2 [ディレクトリの一覧]を開いて、ユーザを検索します。
3 ユーザを選択して、[デスクトップ]ボタンをクリックします。
4 [ツール]>[ルール]を選択して、そのユーザの[Rules and Resources]フォルダを開きます。
FirstClassのセキュリティ機能の例
ユーザのBさんは、[営業部]ユーザグループに所属しています。Bさんが利用できる機能は、他のユーザへのメール送信、会議室の共有、それにカレンダーの共有です。Bさんはディレクトリですべての従業員を表示できるため、すべての従業員をメールの宛先に指定できます。また、[営業部]コンテナ用テンプレートに所属するすべての会議室とカレンダーもディレクトリで確認できます。しかし、Bさんが[開発部]会議室をメールの宛先に指定することはできません。ディレクトリに表示される名前を手動で入力しても、宛先には指定できません。
[販売予測]会議室([営業部]コンテナ用テンプレートに所属する会議室)では、[営業部]グループに所属するすべてのユーザがメッセージを表示できますが、メッセージの投稿は[営業部長]グループのユーザしかできないように権限が設定されています。Bさんは、この会議室に投稿されたメッセージに対する返信メッセージを作成しましたが、そのメッセージの宛先には元の差出人(営業部長)しか入力されていません。Bさんはあらゆる手段を試みてその会議室にメッセージを投稿しようとしましたが、投稿することはできませんでした。Bさんがこの会議室にメッセージを投稿するには、Bさんの上司のユーザIDとパスワードを入手して、その上司としてログインするしかありません(もちろん、そんなことをすれば、Bさんは仕事を失うことになるでしょう)。
ユーザのログインにセキュアなプロトコルを使用してパスワードを暗号化するだけでなく、グループを利用して、会議室の権限、ディレクトリの閲覧制限、および利用できる機能を設定することで、システムの安全性を保つことができます。
| ||