本文へジャンプ

ソフトウェア > Lotus > Lotus Developer Domain > 製品別技術情報 > Lotus Notes/Domino > 

IBM Lotus Notes/Domino 6.0.5/6.5.4で強化されたパスワード強度設定について 

(技術情報)
当技術情報は、Lotus製品の知識や理解を深めていただくために、弊社営業技術部門が執筆したものです。(最終更新日: 2005年5月)

資料概要

パスワードはセキュリティーを保つ上で大切な要素ですが、そのパスワードの定期的な変更や一定以上の複雑さといった実際の運用は管理者によって頭の痛い問題です。Notes/Domino 6.0.5/6.5.4では管理者の手助けとなる「カスタムパスワードポリシー」が追加されました。本内容はセミナーで講演した内容から抜粋して書き起こしたものです。セキュリティーに関する情報と6.0.5/6.5.4での新機能が混在して記述されていますのでご了承ください。


資料詳細

Lotus Notes/Dominoは誕生した当初から IDをファイルという形式で物理的に持たせ、さらにパスワードを組み合わせることでセキュリティーの仕組みを構築してきました。IDファイルは、後にインターネット証明書で標準となるX.509と同様の、キーリングや認証組織による認証といった仕組みで成り立っています。IDファイルの偽造が困難な上に、不正アクセスを成功させるためには正当なIDファイルの入手が必要です。

さらに、Lotus Notes/Dominoが備えるパスワードの定期的な失効/変更要求機能や、古いパスワードが格納されたIDファイルでのアクセス防止機能と相まって、Lotus Notes/Dominoでの不正アクセス防止の「インフラストラクチャー」はかなり整備されているといえるでしょう。

さりとて、安心はできません。セキュリティーには「絶対」が存在しないからです。昨今、ITシステムを脅かす様々なセキュリティ上の脅威が増加していますが、やはり古典的な手法が多いのも事実です。パスワードを推測する(辞書を元に総当り攻撃をする)、といった手法や指先を覗き見るショルダーハッキングといった類です。パスワードの複雑さが攻撃者の戦意を削ぐのに大いに有効であることは間違いありません(安全を保証するものではありませんが)。

従来パスワードの長さや、過去使用したパスワードの使用制限が実際的な手法で、Lotus Notes/Dominoにも取り入れられてきました。R5からは「複雑さ」という指標も加わり、単純な文字長だけでは受け付けてくれない仕掛け(「パスワードクォリティレベル」)も取り入れられました。ただし、この機能はシングルバイト圏の各種辞書をベースに判断していますので、日本語をローマ字化したものでは、日本人にとっては簡単なものも「十分に複雑」と判断されることもあり有効とは言えませんでした。また、このパスワードの複雑さを判断するエンジンが非公開であったことから、ユーザーが納得して使うには難があるとのフィードバックも頂きました。

そこで、Lotus Notes/Domino 6.0.5/6.5.4から新たに加わった「カスタムパスワードポリシー」は「パスワードを作る時の決まり」を規定するもので、設定できる内容は以下の通りです。さきの「複雑さ判定エンジン」に比べると、その内容は明確になっていることが分かります。また、「複雑さ判定エンジン」すなわち「パスワードクオリティーレベル」自体もカスタムパスワードポリシーに内包されています。

システム管理者が、あらかじめ以下のような設定項目を個別にセットする事で、それにあわせたパスワードでなければ変更が受け付けられなくなります。今まで「パスワードクォリティスケール」で行っていた安易なパスワード設定の防止を、管理者が具体的な条件を設定することで行えるようになりました。直接的にパスワードとして「生年月日」、「電話番号」といった類推可能なものを禁止する機能ではありませんが、これらの設定項目を駆使することで、同等以上の効果を得ることができるでしょう。


Notes クライアントの最初の使用時にパスワード変更が必須か
パスワードに共通名の使用を許可するか
パスワード最小長
パスワード最大長
最小パスワードクオリティレベル
使用できるアルファベット文字の最小数
使用できる英大文字の最小数
使用できる英小文字の最小数
使用できる数文字の最小数
使用できる特殊文字の最小数
繰り返し使用できる最大文字数
使用できる固有文字の最小数
パスワードの先頭で使用禁止の文字
パスワードの末尾で使用禁止の文字


これらの設定は、Lotus Notes/Domino 6より加わった「ポリシー機能」(管理者がエンドユーザーに強制的に Lotus Notesの設定を適用する仕組み:ただし一部エンドユーザーによりオーバーライド可能なものもあります)を利用して設定します。

※ ポリシー機能自体の概要および設定手順は、LDD Todayの記事「Domino 6でポリシーベースの管理を行う」を参照してください。

ポリシー設定文書は5種類ありますが、そのうち「セキュリティ」ポリシー設定文書を利用します。「セキュリティ」ポリシー設定文書の「パスワード管理」タブの「パスワード管理の基本」タブ(図1)に含まれる「カスタムポリシーを使う」を「はい」に設定すると、「カスタムパスワードポリシー」タブ(図2)が表示され、設定を行うことが出来るようになります。


図1:「パスワードの管理の基本」タブ


図2:「カスタムパスワードポリシー」タブ


この機能の追加される発端になったのはイタリアで制定された法律、ITALIAN PERSONAL DATA PROTECTION CODE (Legislative Decree no. 196 of 30 June 2003)です。この法律のSection 33から36では、最低限のセキュリティー対策、電子的/非電子的手段による処理などについて規定され、具体的な規則に関してはTECHNICAL SPECIFICATIONS CONCERNING MINIMUM SECURITY MEASURES (ANNEX B)に掲載されています。そこにはパスワードは最低8文字でなければならない、といった細目が記されています。EUで制定されたディレクティブではプライバシーに関する原則が謳われていますが、このように具体的な規則を制定したのはイタリアのみです。(原稿執筆時)

Lotus Notes/Dominoもこの法律に準拠するべく開発が行われ、6.0.5/6.5.4では機能が追加されました。ただ、これらの規則は世界的に利用が可能であり、管理者の助けになるのみならず、システムのセキュリティー向上につながる事から、イタリア語版のみの実装ではなく、全ての言語のNotes/Dominoに搭載されて出荷されました。

繰り返しになりますが、この機能はポリシーで各ユーザーに展開します。そのため、機密性の高いデータを扱うユーザーやそうでないユーザーを区別して、異なる設定を適用することが可能です。


特記事項

本資料の記載内容は、正式な日本IBMのテストやレビューを受けておりません。内容について、できる限り正確を期すよう努めてはおりますが、いかなる明示または暗黙の保証も責任も負いかねます。本資料の情報は、使用先の責任において使用されるべきものであることを、あらかじめご了承ください。

掲載情報は不定期に変更されることもあります。他のメディア等に無断で転載する事はご遠慮ください。

本資料の著作権は日本IBMにあります。非営利目的の個人利用の場合において、自由に使用してもかまいませんが、営利目的の使用は禁止させていただきます。

この資料は単独ページでの配布、使用を禁止します。PDF全ページをセットで配布、ご利用ください。

IBMはIBM Corporationの商標。Lotus、Lotus Domino、Lotus NotesはIBMの商標。その他、記載された社名および製品名は、それぞれ各社の商標または登録商標です。
 
上に戻る