Domino® セキュリティチーム

どの組織にも、セキュリティインフラストラクチャの構築、実装、管理を行うセキュリティチームが必要です。

このタスクについて

このチームは、セキュリティーに関する統一見解を示し、誰もが問題点とソリューションについて同じ取り組み方ができるようにします。ただし、Domino® セキュリティシステムの実装に関する一連の質疑応答には、組織内の各部門が関与することも必要です。

はじめに

このタスクについて

組織では、一連のセキュリティ関連ドキュメントを作成する必要があります。セキュリティーの実装に必要なセキュリティ文書には、4 つの基本的な種類があります。

  • ポリシーは、業務を推進するための文書です。これには通常、業務上のセキュリティニーズについてのハイレベルな説明が記述されます。皆さんの組織にも、組織全体のための包括的なポリシー文書が既に存在していることでしょう。Domino® 環境のセキュリティポリシーを作成するには、ポリシー文書を作成し、それを必要に応じて拡張する必要があります。
  • ガイドラインは、企業内でセキュリティーをサポートと保守する方法に関する全般的なガイダンスです。
  • 標準は、企業内で何が発生し、何が発生しないのかということに関する確固たるルールのことです。監査でこれら 4 種類の文書がすべてカバーされる場合もありますが、監査人が実際に焦点を当てるのは、会社によって制定されている標準だけです。標準は通常、パスワードの最小長、パスワードの有効期限、サーバーのオペレーティングシステムと物理的な環境、インターネットとダイヤルインのアクセス制御、管理者の身元調査、監査要件などの事柄をカバーします。
  • 手順には通常、企業内でセキュリティーを実装するための方法に関する特定の手順が含まれます。これは、Domino® 認証者と X.509 認証者の制御方法から、ユーザーが Notes® パスワードやインターネットパスワードを忘れた場合の処置、従業員が退職した場合の手順にいたるまで、多くの手順をカバーした大きな Domino® セキュリティドキュメントになります。手順は、セキュリティフレームワークを設けた後で作成します。

Domino® セキュリティチームでは、これらの文書に関する初期の指示、フィードバック、監査を担当します。チームには、社内の各部門の代表者を参加させる必要があります。そうすれば、作成したセキュリティ文書が会社全体のニーズを満たすことになります。また、参加する部門が自分たちの問題として前向きに取り組むようになるという利点もあります。

ほとんどの会社では、次の表に示すような職務が存在しています。

1. 責任のマトリックス

役割:

職務

CEO

CEO は、セキュリティチームの仮想メンバーである必要があります。セキュリティーは、トップダウンとボトムアップの両方向に機能しなければなりません。

CIO/CTO

すべてのテクノロジーオフィサは、セキュリティチームのメンバーである必要があります。それらのメンバーが自分の職務を委任する場合、代理人は意思決定権限を持っていなければなりません。

セキュリティオフィサ

組織内でセキュリティーの推進役となる人間です。

各職能別部門の代表者

業務上のニーズと要件を策定します。意思決定権限を持っていることが必要です。

会計

リスク分析のための情報を提供します。

IT 部門

業務上のニーズと要件をテクノロジーとして実現します。

HR (人事)/研修

HR は、ユーザー研修を支援する必要があります。HR は、身元調査、個人情報のプライバシー保護、解雇のポリシーと手順にも関与します。

法務

従業員、リスク管理、情報の公開に関連するすべてのことについて、法的な側面から情報を提供します。

ドキュメントエキスパート/テクニカルライタ

このグループでは、文書の作成と編集を行います。

インシデントレスポンスチーム

このチームでは、実装済みのセキュリティ手順でカバーされていないインシデントをハンドリングします。

コミュニケーションのスペシャリスト

セキュリティーに関してエンドユーザーとコミュニケーションを図ることは重要です。

Domino® 管理者

Domino® コンピューティング環境に関する専門知識を提供します。

エンドユーザーを活性化する

このタスクについて

ユーザーは、セキュリティーの実装で非常に大きな役割を果たします。開発するセキュリティガイドラインや標準についてだけではなく、セキュリティプランニングの重要性についても、ユーザーとよく話し合う必要があります。テクノロジーだけでは、組織の安全性を維持することはできません。セキュリティインフラストラクチャを成功に導く上で、ユーザーは、ファイアウォールや認証機関と同等の重要性を持ちます。

セキュリティプランニングにユーザーを参画させる 1 つの方法としては、ユーザーが期待している企業セキュリティーのレベルや保護すべきと考えている資産などについて、ユーザーの意識調査を実施するという方法があります。この調査は、無記名のアンケート形式で行うとよいでしょう。そうすれば、ユーザーが公言をはばかる可能性があるセキュリティーに関する問題点を明確にすることができます。

注: セキュリティポリシーと手順に関して最も評価が高くよく使用される標準的なソースは、ISO17799 標準です。米国国立標準技術研究所 (NIST) では、ISO I7799 に関する情報も含め、セキュリティポリシー、標準、手順を作成するためのガイドラインをいくつも発表しています。

コアチーム

手順

フレームワークを構築したら、セキュリティーのコアチームを編成します。このチームには、次のような管理者が参加します。

サーバー管理者

このタスクについて

サーバー管理者は、Domino® サーバーの全体的な状態の管理に責任を持ちます。主な職務は、Notes® クライアントと Web ユーザーの両方について、サーバーアクセスリストとサーバー制限を定義して、管理することです。大規模な組織では、システム管理者の任務を複数のサーバー管理者に委任する場合もあります。小さな組織では、サーバー管理者が、Domino® 認証管理者と、Domino® ディレクトリや Notes Log (LOG.NSF) などのシステムデータベースを管理するデータベース管理者を兼任しても構いません。また、HTTP アクセスで使用するファイル保護文書の作成と管理、その他の Web 関連のセキュリティ機能の実装などを担当することもあります。

組織の IT ストラクチャの観点から可能であれば、Domino® サーバーの管理とオペレーティングシステムサーバーの管理は、分けるほうがよいでしょう。

さまざまなリソース管理に必要なアクセス権に基づいて、組織でさまざまなレベルの管理者を定義できます。たとえば、リモートコンソールアクセス専任の管理者やシステムアドミニストレーションアクセス専任の管理者を設定することもできます。これらの管理権限のレベルは、Domino® サーバーのサーバー文書で定義します。

データベース管理者

手順

データベース管理者は、Notes® データベースまたはデータベースアプリケーションを担当します。データベース管理者の主な職務には、データベースのアクセス制御リスト (ACL) の管理があります。機密データを管理するために、データベース所有者という概念を使用する組織もあります。

認証機関管理者

手順

認証機関管理者は、Domino® 認証機関を作成し、管理します。認証機関管理者は、すべての認証者 ID ファイルに対するアクセス権を持ちます。サーバーベースの認証機関の場合、CA 管理者は、ユーザー登録と認証の承認を登録機関に委任することができます。それ以外の場合、インターネットサーバー認証とクライアント認証の承認を担当します。認証は Notes®Domino® のセキュリティーの根幹であるため、認証管理者に認証業務を委任する際は細心の注意を払ってください。

登録機関管理者

手順

登録機関というロールは、サーバーベースの認証機関に固有のロールです。登録機関は、認証者 ID とパスワードにアクセスすることなく、新規の Notes® ユーザーと Domino® サーバーを登録することで、Domino® CA を管理できます。さらに、ユーザーの再認証や、インターネット認証機関の場合は、クライアント認証要求の承認と証明書の失効を実行できます。