スミス氏は気弱そうに、「いいえ。逃げてしまいました。でも今は新しいラップトップがあるんです。ノーツ ID とパスワードが必要で、僕のノーツ ID ファイルには X.509 証明書が入っていたんです。どうしたら代わりが効くのか分からないんです。」
「お待ちください。あなたの ID は、2週間前に最後に取り込んでいますね。X.509 証明書を ID ファイルにインポートしたのはどのくらい前ですか?」
「4ヶ月ほど前でしょうか」
「それなら、大丈夫でしょう。あなたの ID をあなたのマネジャーに送ります。これがあなたの ID ロックを解除するキー 5829692949294a36 です。またその方法を e-mail にてマネジャーにお知らせします。あなたの ID をロック解除し、新パスワードを入力するのはほんの数ステップで完了します。今お知らせした番号がなくては、誰もあなたの ID ファイルのロック解除を行なえませんので、パスワードと同じくらい大切に保管してください。」
スミス氏は安堵の溜息を漏らし、「ありがとう、シンディー。本当に助かります!」
壮大な話は、ハッピー・エンドで終わりましたね。ユーザーがラップトップを水没させ、新しいラップトップを買い、ID を取り戻す。全てが滞りなく行われました。この成功話は、ロータス ノーツ R5 に組み込まれた ID とパスワードの復旧(または ID 復旧)メカニズムが可能にしたものです。この記事では、あなたの組織でどのように ID とパスワードの復旧を実践するかをご説明します。
ID 復旧が何をしてくれるか
ID 復旧メカニズムは基本的に単純です。もし ID が復旧情報を持つ証明者によって作成されたのであれば、ID ファイルは管理者パブリック・キーを使ってランダムに作成・暗号化された復旧パスワードを少なくとも1つ含んでいます。パスワードは個々の管理者、ユーザー固有のものです。例えば、管理者であるヘルプ・デスクのシンディーは、ユーザー、ブッバ・スミスの固有復旧パスワードを持ち、そのパスワードはブッバの ID ファイル内に保存されています。
ID 復旧の前に、もしユーザーが彼(彼女)の ID のパスワードを紛失してまうと、管理者はアーカイブから ID ファイルを取り寄せるか、新たな ID ファイルを作成しなくてはならないでしょう。両方とも問題点があります。
もしアーカイブから ID を取得する場合、古い ID では最近の X.509 キー、暗号キー、名前変更、証明更新からの新しいキーなどを含んでいない可能性があります。
もし管理者がユーザーのために新しい ID ファイルを作成すると、以前と同じユーザー名にも関わらず、ユーザーは先に暗号化されたメールまたは文書を読むことができなくなります。
ID とパスワードの復旧は、次のようにユーザー ID 管理を簡単に、そしてより良いものにします。
既存の ID の復旧を "開く" 機能、ID ファイルを有効にし、新しいパスワードが割り当てられます。
管理者に電話上で ID をロック解除させる機能。
R5 クライアントから ID を "取り込み" 、それらを安全な集中データベースでバックアップする機能。
ノーツ・メール経由で、全ての ID に ID 復旧のサポートを可能にする機能。
新ユーザー登録時に自動的に ID をアーカイブ化する機能。
OU レベル証明者に応じて、個々の ID の復旧情報を操作する機能
これらの強力な要素が、企業のドミノ・インストールに安全に ID ファイルを操作することを、ユーザーにより良いサービスを提供しながら可能にします。
復旧データベースを作成して、個々の O(組織)、または OU (組織単位)毎に ID を保管します。技術的には、同一のデータベース内に全ての ID を収めることができます。OU が実際の管理境界を反映する所では、OU 毎に復旧データベースを作成するのが良いでしょう。
メール受信データベース記録を、個々の ID 復旧データベースに作成します。
個々の O 、または OU 証明者への、エンド・ユーザーを証明する復旧情報を追加します。
復旧情報をエクスポートし、 O または OU 単位で全ての R5 ユーザーに送ります。これが "取り込み" 過程です。
ではこれらのステップを、それぞれより詳しく見ていきましょう。
1. ID とパスワードの管理のセキュリティー方針、手順を定義する
まず最初に、復旧方針とその手順を作成する前に、あなたは基本的な組織内共通のセキュリティー方針を持っていなくてはなりません。助けが必要なら、次のいくつかの本と Web サイトが役に立つでしょう。「The Internet Security Guidebook」ISBN:0122374711、「An IT Security Policy: What Every Hacker Does Not Want You To Have in Place」(THE VIEW(US)、2000 年 11/12 月)、National Institute of Standards and Technology(NIST)「Internet Security Policy」ガイドブック(US)です。これらがあなたのセキュリティー・インフラストラクチャーをサポートするセキュリティー方針と手順を作る助けとなるでしょう。
さらに、ID 復旧に関連して次のことを定義する必要があります。
個々の OU に入れられる復旧 ID の数。現在その最大値は8です。
ユーザー ID ファイルのロック解除するのに必要な管理者復旧 ID(復旧権限とも呼びます)の最低数。
ID ファイルのロック解除に使われる管理者復旧 ID ファイルの標準命名。
認証者に置かれる復旧権限 ID の数を確認する
次があなたに与えられた選択肢です。このうちどれを選ぶかは、あなたの組織のセキュリティー・ポリシー(方針)により異なります。
最も安全な実践法は、多くの復旧 ID ファイル、その個々が様々な特定の管理者によって操作され、かつ ID を復旧するためにはそのいくつかを組み合わせて使用しなくてはならないものを用意することです。このようにすれば、単独ではユーザー ID を盗むことはできませんが、認められていなければ個人で ID 復旧を妨げることもできません。例えば、5人の最上位管理者に復旧 ID ファイルを取得させるが、ID の復旧には全てこのうちの2人が関与しなくてはならないよう制限を課することができます。しかしながら、これは管理者スタッフが交替する際、ユーザー ID の証明更新を沢山行なわなくてはならない事態につながります。
多数の復旧 ID に代わる物は、単一の復旧 ID を多くのパスワードで保護するものです(これも5つのうちの2つは、必須にすることも可能です)。これの短所は、管理者が電話を介して様々な場所から独立に行動するのではなく、一同に会してパスワードを入力する必要が出てくるであろうということです。
個々の管理者のユーザー ID を、割り当てられた復旧 ID の代わりに使うこともあるでしょう。これは日常的に行なわれるべきではありません。なぜなら、日々利用される ID は特定の目的のみに利用される ID よりもより盗難に遭いやすいからです。復旧 ID のオーナーは自分の個人 ID はなおさらのこと、復旧 ID は誰にも決してそのパスワードを教えないよう心に留めておきましょう。
管理者と(または)復旧 ID を共有することは最適な方法ではありません。管理者にとってこの方法は最も簡単ですが、その個人に憂慮に値する力を与え、監査証跡が残らないからです。
ID ファイルを開くのに必要な管理者 ID(復旧権限)の最低数を確認する
ロータスは最低値3を推奨しています。多くの組織が、敏感な ID に対する標準的なセキュリティー対策に従い、これを2としています。他の組織では、最低限のセキュリティー要求を持ち、これを1とし、そして(あるいは)復旧 ID を共有しています。
ID ロック解除のできる管理者 ID(復旧権限)の標準命名を確認する
これは、アドレス帳にノーツ・パブリック・キーを持つ人なら誰でも可能です。ドミノ R5 システム管理ヘルプ では、既存の管理者 ID の利用を提案しています。あるいは、ID ファイルを開けるための、専用の特定の ID ファイルを管理者用に作成することもできます。例えば次の通りです。
Recovery1/Recovery/TheCompany
2. 復旧データベースを作成して個々の ID 群を保管する
先に述べた通り、1つのデータベースで組織全体を網羅するか、1つの O または OU 毎に利用することもできます。どちらにせよ、次のことをする必要があります。
サーバー上に新しいデータベースを作成します。
権限を持つ管理者にのみアクセス権を絞るために、 [ACL が必要(Ser the ACL)] と設定します。
3. メール受信データベース記録を個々の ID 復旧データベースに作成する
全ての認証者 ID は、ID 復旧のためのメール受信データベース名をリスト化した内部メモリー配置を持っています。管理者は、1つのデータベースを全証明者用、個々の証明者用、または両方にすることができます。
個々の復旧データベース用のメール受信データベース記録を作成する方法は、次の通りです。
ノーツ・クライアントであなたのドメインのドミノ・ディレクトリーを開きます。
[サーバー] - [メール受信データベースとリソース] ビューへ行きます。
[メール受信データベースの追加] アクション・ボタンを押します。
[ドメイン]、[サーバー]、[ファイル名] フィールドを、正しく埋めます。データベース名を OU 名に近いものにすれば、覚えやすいでしょう。
文書を保存し、閉じます。
4. 個々の OU 証明者に復旧情報を加える
全ての証明者 ID は、復旧情報を保有できます。この復旧情報は、それぞれの新しいユーザー ID に、これが R5 管理クライアントによって作成される時に "スタンプ" されます。この復旧情報はまた、R5 クライアントにある R4 ベースの ID とのエクスポート、インポートが可能です。
この場合は、ただ1人の復旧権限が必要で、したがって Mike Jones(マイク・ジョーンズ)、Tim Speed(ティム・スピード)、または Tom Smith(トム・スミス)のいずれかが ID ファイルの復旧(ロック解除)が可能です。メール受信データベースの名前は Dallas IDPR です。新しく、そして"収穫"された ID の全ては OU /Dallas/TheCompany のメール受信データベースに送られるのです。
あなたは、あなたの組織のそれぞれの OU に復旧情報を追加するというこの作業を繰り返します。全ての新しいユーザーは、彼らの ID に復旧情報を持ち、そしてこれらは自動的に復旧データベースにメール送付されます。次の例は、復旧データベースがいかに2人の新しい登録ユーザーの世話をしているか示しています。
これらのメッセージは何の変哲もない普通のメール・メッセージに見えますが、これらはユーザーのノーツ ID ファイルのバックアップ・コピーを保管しています。これがメッセージの中身です。
この書き出しは、いつ何時でも起こりうることに注意してください。しかし、もしあなたが何らかの移行作業に取り組んでいるのなら、復旧情報を書き出し、ユーザーに送付する前に移行作業を終わらせると頭痛の種を無くすことができます。同じことは、ユーザーをある O ないし OU レベル証明者から、別のそれに移す時にも言えます。
ID 復旧をユーザーに知らせる
これは最も重要なステップです。というのは、ユーザーが復旧情報を受け入れて彼らの ID をメールで返信するまでは、彼らの ID は保護されないのです。あなたが日常利用する通知手段で構わないので、メッセージを何回か送りましょう。この重要性を伝えるのです。彼らにメッセージを認識させるためにボタンを含めても良いのです。
ユーザーが復旧情報を添えた ID を復旧データベースへ送る
Billy が一度 [復旧情報の受け入れ] オプションを選択すれば、[ID ファイルのバックアップ] ダイアログ・ボックスが現れ、Billy に彼の ID を復旧データベースに送付することを要求します。
復旧情報は、ユーザー ID ファイルがそれを一度承認するとファイルに入れられます。これはユーザー ID ファイルが復旧データベースへ、バックアップ・コピーをメール送信するダイアログ・ボックスをキャンセルしても起こります。しかし、Billy の行動に基づいて、いくつか別のシナリオによる影響を考えてみましょう。
もし Billy がもはや退屈な管理メッセージにまどわされないと決めて、メッセージを開かず復旧情報を受け入れないとしたら、言い換えれば、全く何もしなければ彼の ID ファイルを復旧する手立ては何も無くなるでしょう。あなたは Billy に新しい ID ファイルを発行しなくてはならなくなります。Billy がまだ自分の ID ファイルを持ち、ただパスワードを忘れているだけだとしてもです。これには時間を要し、Billy もいい気分ではないはずです。もし Billy が何か暗号化されたメッセージ、または他のデータを持っていれば、それは永久に失われ、より一層落胆することになります。
ところで、もし Billy が違法行為の疑いを掛けられていたとしたら、あなたの監査部は、あなたが彼の暗号化されたメッセージを読むことができないと知ると、不快感を持つでしょう。もちろん、頭の良い犯罪者は、彼(彼女)が秘密工作に使うシークレット・キーを添付した ID ファイルを、あなたに送ってはこないでしょう。しかし、少なくとも復旧データベースに ID ファイルを置いておけば、監査局はあなたが可能なことを全て行なったことを認めてくれるのです。
もし Billy がメッセージを開き、[アクション] - [復旧情報の受け入れ] を選んで、[バックアップ] ダイアログ・ボックスをキャンセルした場合、ID は復旧できますが、現行の ID ファイルのコピーは復旧データベースには存在しません。これは、次の情報が取得できないことになります。
現在の証明書
シークレット・キー
X.509 証明書
復旧パスワード
言い換えれば、Billy とあなたは、あたかも Billy が全く何もしていないのと同じ窮地に立たされるのです。唯一の打開策は、誰かが Billy のワークステーション上の ID ファイルのコピーをどうにかして作成し、あなたに送付してそこからあなたが復旧する、と言うものです。もちろん、ID ファイルがメキシコ湾の底にあるようなときに取れる手段ではありません。
モラル上大切なのは、この最初のステップを軽んじてはならないことです。ユーザーに ID の復旧について語ることをです。あなたのユーザーに ID 復旧の重要性を認識させ、彼らがそれにしたがうよう念を押すことがとても大切です。実際、どのユーザーが復旧 ID を送り込み、それが他を困らせ、そしてそれを繰り返すまで、しっかりと追跡することは、あなたの、そしてみんなのためになるのです。
また、もしあなたの組織内の人間が S/MIME 、または他の X.509 証明書を使っているのなら、復旧過程を数ヶ月毎に繰り返して、情報を更新するのが賢明です。そうでなければ、通常の再認証作業が保存されたユーザー ID を最新のものにするようにしています。
ここまで、私達は ID 復旧の立ち上げについて述べ、一度復旧が可能になると、新しいユーザー ID に復旧データを導入することを紹介してきました。また、「取り込み」の方法と、ID 復旧が実行される前に作成された ID を有効にする方法も紹介してきました。ここで、実際に ID をどのようにして復旧するかに注意を向けたいと思います。
ID 復旧の前は、ユーザーが ID ファイルを紛失したにしろ、パスワードを忘れているだけにしろ、あまり差はありませんでした。どちらの場合でも、もしあなたが ID ファイルのバックアップと既知のパスワードを持っていれば、あなたがそれをスニーカー・ネット(sneaker net)経由や、ユーザーのローカル管理者、ないしマネジャーに送ることでユーザーに送付できたのでした。そうでなければ、ユーザーに完全に新しい ID ファイルを与えなければなりませんでした。
ID 復旧があれば、パスワード忘れからの復旧の仕方と ID 紛失からの復旧の仕方が変わってきます。ユーザーがパスワードを忘れているだけの場合、全ての復旧過程は電話上で行なわれることができ、それはもし管理チームが有効なら、ユーザーは数分で作業に復帰することができます。もし ID ファイルがメキシコ湾の底なら、物理的な ID がユーザーに届けられねばなりません。しかし少なくとも全ての証明書と秘密キーは新しいものになります。
基本的な過程は、次の4つの段階からなります。
復旧データベースから ID ファイルをコピーします。
あなたが(または誰かしら証明者ファイルに復旧権限として認可されている人)管理クライアントを使って、その ID への復旧パスワードを見つけるために ID を復旧します。この作業は、復旧権限である他の管理者にも行なわれ、復旧パスワードが最低数集まるまで行なわれます。
サーバーの [設定] タブに行き、[ツール] - [認証] をクリックします。そして [復旧パスワードの抽出] をクリックします。あなたが復旧したい ID へのあなたのパスワードが要求されます。
パスワードを入力し、あなたが復旧したい ID を選択します。もしあなたの ID が選択した ID の復旧を許可されていたら、それは、あなたがその ID の復旧権限としてリストされていると言うことです。次の文章が現れます。
もしあなたの名前がその ID の証明者の復旧リストに無ければ、その ID ファイルの復旧権限がないと言うことを示すエラー・メッセージが表示されます。
異なる管理者によって、 ID ファイルの復旧に必要な数の復旧パスワードが得られるまで、この過程は繰り返されなくてはなりません。例えば、もし ID 復旧過程が少なくとも3つの復旧権限を要求すれば、3人の復旧権限が ID の復旧パスワードを復旧しなくてはなりません。最良なセキュリティーのために、ユーザーは、それぞれの復旧権限に別々に掛け合うことで、ユーザー本人のみが ID ロック解除に必要なパスワードを把握しているべきでしょう(そして仲介者は誰一人として存在するべきではありません)
3. ユーザーに復旧情報を与える
ここでは、あなたは基本的に2つの選択肢があります。電話上でユーザーに復旧パスワードを読んで伝えるか、自身で ID を復旧し、より簡単なパスワードを割り当て、ID とパスワードをユーザーの管理者か上司に送ります。ユーザーの中には 16 個のランダムな文字列の入力に苦労し、むしろより簡単なパスワードになった ID ファイルそのものを待つ人もいます。また、あなたの組織がローカルの管理者にユーザー向けの復旧を期待する場合もあります。
4. あなた、またはユーザーが復旧パスワードを入力して ID ファイルを復旧する
実際の ID ファイルの復旧は、あなた自身による ID の復旧、あるいはあなたが与えた復旧情報を使ったユーザーによる復旧、のどちらのシナリオでも起こり得ます。
もしあなたが、管理者として、ユーザーのために ID ファイルを復旧しようとしている場合、次のステップを踏むと良いでしょう。
あなたがユーザーの ID を復旧し、彼(彼女の)パスワードをリセットし、彼女に ID ファイルを送るにせよ、あるいは彼女が自分で復旧作業を行なうにせよ、ユーザーが Windws NT または Windows 2000、そしてドミノ同期化コードを使っているのなら、もう1つやるべきことがあります。ユーザーは、Windows とノーツのパスワードを同期化することを要求されます。これは、復旧した ID のパスワードを設定を終えた直後、または復旧した ID を最初に利用する時、どちらかに起こります。
これで以上です。これでなぜ、シンディー・ヘルプ・デスクに ID を無くしたブッバ・スミスの助けがあんなにも簡単だったのか、お分かりになるでしょう。ID 復旧過程は起動と利用が直線的です。唯一努力を要するのは、ユーザーにその重要性を理解させることです、彼らが自分のラップトップをメキシコ湾に落としてしまう前に。それ以外ならば、一度あなたがデータベースと証明者を立ち上げ、既存のユーザーに復旧情報を送り、彼らの更新された ID ファイルを取り戻すと、あなたには機能的な復旧システムがあり、あなたとあなたのユーザーの暮らしを楽にするのです。
著者について
ティモシー・スピードは、ロータス プロフェッショナル・サービス(LPS)のインフラストラクチャー・セキュリティー設計者です。ティムは、インターネットとメッセージ・セキュリティーについて、この9年間取り組んできました。また彼は、長野五輪におけるドミノ・インフラストラクチャーに携わり、シドニー五輪ではロータス ノーツ・システムを援助しました。彼の認証には、MCSEc、VCA (VeriSign Certified Administrator)、ロータス ドミノ CLP 主任管理者、ロータス ドミノ CLP 主任開発者を含みます。ティムは2冊の本の共著者です。「The Internet Security Guidebook」(ISBN: 0122374711 2001 年 2 月)、そして 「The Personal Internet Security Guidebook」(ISBN: 0126565619、2001 年 10 月)です。ティモシーへの連絡は次のメール・アドレスで。
メリー・ラロッシュは、ロータス プロフェッショナル・サービス(LPS)の IT セキュリティー・コンサルティングとインフラストラクチャーの専門家です。メリーは、メッセージ・セキュリティーとノーツ、組織セキュリティーにこの8年間従事しています。彼女は最近、安全な組織間ドミノ・インフラストラクチャーの実施のために、いくつかの連邦政府関係機関で働いていました。彼女への連絡はこちらへ。
