Notesのセキュリティを強化する連携ツール選び、3つのポイント：連携ツールでNotes徹底活用【セキュリティ編】

セキュリティ面にも多くの先見性を持って機能強化してきたLotus Notes/Domino。しかし、バージョンアップやバッチ対応前の「今そこにある危機」への対応をどうするか。

[富永康信，ロビンソン]

Notesのセキュリティは高度だが……

　Lotus Notes/Domino（以下、Notes）は、その20年近い歴史とともにアクセス制御や暗号化、署名などが整備され、ほかのグループウェアが追随できないほど高度なセキュリティ機能を実装しきた。例えば、ユーザー／グループ／ロールに基づく制御や、公開鍵暗号を採用したユーザーID機能、7階層のアクセス制御などは数年前から採用され、いかに先見性があったかが分かる。

　Notesはこのような強固なセキュリティ機能を持つ一方で、急速に変化する情報セキュリティ要件に対してどうしても機能対応が遅れてしまう場合もある。Notesは大規模・全社導入しているユーザー企業も多く、導入企業の中にはNotesだけで業務を完結しているエンドユーザーも存在する。そういった場合、セキュリティ要件をリアルタイムで満たすのは非常に困難であり、Notesユーザー共通の悩みにつながっている。では具体的にはどのような部分がユーザーを悩ませているのだろうか。

Notesユーザーが抱える5つの悩み

　Notesの利用において、ユーザーが感じるセキュリティへの悩みは大きく5つ挙げられる。

　1つは、情報漏えい対策である。各種データにアクセス制御をかけ、情報を見ることができるユーザー、できないユーザーを分けていたとしても、そもそもアクセスを許可したユーザーが故意にデータを持ち出したり、不用意に漏えいしたりするケースも考えられ、根本的な解決にはなっているとは言い切れない。また、電子メールの送信あて先の入力ミスによる情報漏えい防止も大きな悩みになっている。

　2つ目は、トレーサビリティ（追跡可能性）の範囲が狭いことだ。NotesはDominoサーバを操作する際、データベースごとの読み込みと書き込みの操作ログを取得できる。しかし、コンプライアンスが厳しく求められる昨今では「誰が、いつ、何をした（閲覧・新規作成・更新・削除など）」という部分まで追跡しなければならない。Notesの標準機能以上の詳細なログ取得を実現しなければならないのだ。

　3つ目は、ユーザー管理の問題だ。これはNotesに限ったことではないが、企業で導入している各種業務システムごとにユーザー管理が別途必要であり、それぞれのパスワードを一元管理できないという問題がある。また、各システムにおけるパスワードの強度や基準値が異なる場合、その一元管理を実施しようとすると最も低いセキュリティ強度にほかのシステムを合わせなければならない。また、Windowsでパスワード変更してもNotesに反映できないという課題もあり、ユーザー管理は運用でカバーしているのが実態のようだ。

Notesにおける文書セキュリティの全体像。文書単位のアクセス履歴や無断印刷・データコピーといったPC操作履歴も保存する必要がある

　4つ目は、電子メールセキュリティへの対応不足だ。情報取得を目的とした不正アクセスも増加する中で、その糸口となるスパムへの対策や、情報漏えいが発生した際にいつ・誰が・どのメールを送受信したかを追跡／調査するためのメールアーカイブへのニーズが増えている。また、添付ファイルの暗号化忘れによる情報漏えいも懸念されるため、送信時に自動的に暗号化する仕組みなども求められている。

　そして5つ目は、モバイル運用時の対応である。最近は、携帯電話やモバイルPCで自宅や外出先から社内サーバにアクセスできる環境を構築するケースが増えているが、端末紛失時の情報漏えい対策も不可欠となる。最新バージョン（8.5）ではモバイル対応機能が強化されているが、R5.0〜7.0といったバージョンを利用しているユーザーは非常に多く、そのメリットを享受できずにNotes以外のシステムや運用で対応しているのが現状だ。

関連ホワイトペーパー

Notes | 情報漏洩 | アクセス制御 | 暗号化 | パスワード | Lotus | コンプライアンス | データベース | グループウェア | 不正アクセス | メールアーカイブ | スパム