DocuWare 組織のセキュリティ設定

この記事では、"DocuWare の構成" > "セキュリティ" の順に移動した先の領域に関する情報を提供します。

このセクションでは、DocuWare 組織のセキュリティ設定を定義します。 すべての設定には "有効" または "無効" のステータスがあります。 設定が "有効" に設定されている場合は、組織のセキュリティが向上する可能性があります。

ログインセキュリティ

パスワードポリシー

パスワードポリシーは、ユーザーによる安全ではないパスワードの使用を制限します。

すべてのユーザーを対象とした以下のパスワードの最低要件を指定します。

• 最小限のパスワードの長さ

• 必須の文字

• パスワードの有効期限

• パスワードの有効期限切れの前の通知期間

• ログインの最大試行回数

• ログイン試行回数の上限を超えてアカウントがロックされた場合の持続時間

新しいパスワードポリシーに関する注意事項をご確認ください。このポリシーはバージョン 7.12 以降で作成されたすべての新しい DocuWare 組織に対して既定で有効化されています。 既定のパスワードポリシーは、バージョン 7.12 以前に作成された組織には適用されません。

二段階認証

DocuWare 7.13 以降では、DocuWare 管理者は組織内のすべてのユーザーに対して二段階認証を有効化および無効化することができます。

二段階認証が有効化されている場合:

すべてのユーザーが自身のアカウントに対して二段階認証を構成するオプションを持っています。 これは、オプトインモデルと呼ばれています。

• ユーザー構成: 各ユーザーは、自身の DocuWare プロファイルで二段階認証を有効にすることができます: 有効化は "DocuWare Web Client" > "プロファイルと設定" > "セキュリティ" タブの順に移動した先で行うことができます。 ユーザーは認証アプリを使用する必要もあります。次の項目を参照してください。

• 認証アプリ: 二段階認証を使用して Docuware にログインする場合、ユーザーはモバイル端末に TOTP 互換の認証アプリをインストールする必要があります。 DocuWare では、Microsoft Authenticator、Google Authenticator、Duo Mobile など、広く使用されている各種認証アプリを幅広くサポートしています。

  ワンタイムパスワードの仕組み

  ワンタイムパスワード (OTP) とは、ユーザーの本人確認を行うために一度だけ使用可能な数字または英数字のコードのことを指しています。 静的なパスワードとは異なり、OTP は要求に応じて生成されます。通常は認証アプリやハードウェアトークンにより、DocuWare と共有されているシークレットキーを使用して生成されます。 最も一般的な方式である時間ベースのワンタイムパスワード (time-based one-time password、TOPT) では、このシークレットキーに現在の時刻を組み合わせて 30 秒ごとに変化する 6 桁のコードが生成されます。 各コードは短い時間しか効力を持たず、またシークレットキーがユーザーの端末から外部に出ることがないため、OTP はリプレイ攻撃、資格情報の窃取、フィッシング詐欺のリスクを大幅に低下させます。 ユーザーがログイン時に OTP を入力すると、DocuWare は同じアルゴリズムと時刻の参照を用いてコードを検証します。これらが一致すると、アクセス権が付与されます。

• 強制適用はありません: DocuWare では、組織内のすべてのユーザーに対して二段階認証を強制的に適用するオプションは提供されていません。

• 二要素認証の追跡

  • 二要素認証の構成を使用しているユーザーを確認します。 "Docuware の構成" > "一般" > "ユーザーの管理" > "ユーザー" の順に切り替えます。 二段階認証を構成しているユーザーには、"2SV" オプションが有効化されています。

  • "DocuWare の構成" > "監査レポート" の順に移動した先で、特定のユーザーの特定の時刻におけるログイン記録を追跡します。

二段階認証が無効化されている場合:

二段階認証がオフになっている場合、ユーザーは二段階認証を使用してサインインすることができなくなり、ユーザー名とパスワードがあればログインできるようになります。 DocuWare が自動通知を行うことはないため、ユーザーは単に二要素目が要求されなくなったことでこの変化に気づくことになります。

後日管理者が二段階認証をもう一度有効化した場合、すべてのユーザーはシステムからの通知なしに認証アプリをもう一度最初から設定し直すことになります。

この突然の設定変更は混乱を招き、サポートへの不要な問い合わせを発生させます。 絶対に必要な場合にのみ無効化するようにし、実施する場合には事前にユーザーに対して通知を行うようにしてください。

ユーザーがスマートフォンを紛失した場合はどうすればいいですか?

DocuWare ユーザーがスマートフォンを紛失した場合、DocuWare にログインすることができなくなります。 そういった場合には、DocuWare 管理者は "DocuWare の構成" > "ユーザーの管理" の順に移動した先で二段階認証を無効化することができます。これにより、ユーザーはユーザー名とパスワードのみで DocuWare にログインできるようになります。

セッションのタイムアウト

ユーザーが一定時間操作を行わなかった場合、DocuWare クライアントおよび DocuWare の構成から自動的にログアウトされます。 一定時間内に操作が行われなかった場合、ユーザーは最初に適切なメッセージが表示された通知を受け取り、その後にログアウトされてログイン画面へとリダイレクトされます。

タイムアウト時間を超過した場合、ユーザーはすべての DocuWare クライアントのブラウザーウィンドウからログアウトされ、DocuWare の構成からもログアウトされます。 ブラウザーのタブの任意の場所をクリックすると、タイマーはカウントダウンを開始します。 通知などの自動の DocuWare クライアントアクティビティは、タイマーをリセットしません。 保存されていない変更内容は、ログアウト時に破棄されます。

この設定は組織内のすべてのユーザーに適用されます。

DocuWare Forms では、自動ログアウトは非公開のフォームに対してのみ有効化されます。 公開フォームは実際のログインを必要としないため、タイムアウトの対象外となります。

シングルサインオン

シングルサインオン (SSO) によってユーザーは自社の資格情報を使用して DocuWare にアクセスすることができるため、DocuWare 専用のユーザー名とパスワードを別途記憶する必要はありません。 この機能によりログイン体験は簡素化され、二要素認証などの企業 ID プロバイダーの認証方法を活用することによってセキュリティを向上させることができます。

DocuWare でシングルサインオンを有効にするには、DocuWare 組織を外部の ID プロバイダーと統合する必要があります。 統合を実行するには、ID プロバイダーへのアクセス権が必要です。

DocuWare 7.13 では、SSO 構成ダイアログに若干の変更が加えられました。 また、"テスト" ボタンが追加されました。 DocuWare バージョン 7.12 以前のバージョンをご利用の場合、一部の要素が別の場所に配置されていることにお気付きになるかもしれません。また、構成を保存する前にテストを行うことはできなくなっています。 ただし、構成のオプション自体は変更されていません。

DocuWare では複数の種類の ID プロバイダーをサポートしています。以下を参照してください。 各 DocuWare 組織は 1 つの外部 ID プロバイダーにのみ接続可能です。

パブリックアクセスを制限する

DocuWare 7.11 以前では、このセクションは「ゲストログイン」という名前でした。 DocuWare バージョン 7.12 では、「パブリックアクセスを制限する」へと更新されています。

ゲストログインを使用すると、組織へのネットワークアクセス権を持つすべてのユーザー ("ゲスト") が資格情報を入力することなく DocuWare にログインできるようになります。 ゲストユーザーに付与されるpermissionsは、ゲストとして指定された DocuWare のユーザーの権限に一致します。 これらの権限によっては、ゲストがシステムに重大な被害をもたらす可能性があります。

"パブリックアクセスを制限する" をオフにすると、ゲストユーザーのオプションを設定できるようになります。このオプションは、DocuWare のログインページに表示されます。

リスク

"パブリックアクセスを制限する" をオフにすると、ユーザー名とパスワードで ID を確認していない外部のユーザーがお客さまの DocuWare システムにアクセスできるようになります。 これは、セキュリティ上のリスクとなります。 このセキュリティ設定を無効化する場合は、十分にご検討ください。

ファイルの種類

制限されたファイルの種類に入力されたファイルの種類は、DocuWare でのアーカイブ化がブロックされます。 リストのいずれかを有効にして含まれているファイルの種類をブロックするか、新しいリストを作成します。 これらの制限は、組織のすべてのファイルキャビネットに適用されます。

制限されたファイルの種類のリストは、フルテキストの構成用に許可リストとブロックリストとしても利用することができます。

外部接続

外部 URL の安全な場所

この機能は、ドキュメント内にインデックスデータとして保存されている URL のセキュリティを強化します。 これは URL がクリック可能になるのを事前に承認された安全な場所にリンクされている場合にのみ制限を加え、DocuWare にドキュメントが保存される前に埋め込まれている可能性のある悪意のある URL によるリスクを軽減します。

特定の場所を安全な場所としてマークするには、その場所をこの許可リストに追加する必要があります。 関連するドメインまたは URL を "https://" を除外した上ですべてこちらに追加してください。 この許可リストにドメインが追加されると、そのドメインに関連するすべてのサブドメインおよびページも既定で安全な場所であると見なされます。

ポータルの統合

DocuWare 7.13 では、ポータルの統合 (旧称 "セントラルゲートウェイ") セクションが "DocuWare の構成" > "セキュリティ設定" の順に移動した先に組み込まれています。

"ポータルの統合" セクションは、DocuWare Cloud の組織管理者にのみ表示されます。

こちらに追加したドメインのみが組織の DocuWare リソースにアクセスできるようになります。 たとえば DocuWare の検索ダイアログを Web ポータルに埋め込んで顧客が DocuWare 内のドキュメントを検索できるようにする場合、使用する Web ポータルのドメインをこちらに追加する必要があります。 こちらにドメインが記載されていない場合、その Web ポータルでは、フォーム、結果リスト、ダイアログなどの要素の埋め込みがブロックされます。

URL の統合の詳細については、URL の統合の概要を参照してください。  

• ドメインは "https://subdomain.webseite.com" または "http://subdomain.website.com" のように入力してください。

IP ベースのアクセス制御

DocuWare 7.13 では、IP ベースのアクセス制御 (旧称 "セントラルゲートウェイ") セクションが "DocuWare の構成" > "セキュリティ設定" の順に移動した先に組み込まれています。

"IP ベースのアクセス制御" セクションは、DocuWare Cloud の組織管理者にのみ表示されます。

ユーザーは、セントラルゲートウェイに入力された IP アドレスを介してのみ DocuWare Cloud 組織にアクセスできます。 これにより、たとえば組織では、どのデバイスが組織のサービスにアクセスできるかを制御できるようになり、不正アクセスを防げるようになります。

DocuWare Cloud のサービスにアクセス可能な特定の IP アドレスか、 IP アドレスの範囲を入力します。 たとえば、アクセスを制限して社内ネットワーク内から接続する従業員のみが DocuWare を利用できるようにすることなどが可能です。

こちらに IP アドレスが 1 つも記載されていない場合には、すべての IP アドレスが DocuWare Cloud 組織にアクセスできます。

ただし、IP アドレスが 1 つでも入力されるとアクセス制御が有効化され、こちらで指定されたアドレスのみが Cloud 組織にアクセスできるようになります。

• 現在 DocuWare では、インターネットプロトコルバージョン 4 (IPv4) に対応しています。

ドメインと IP アドレスの制御によって望ましいデータトラフィックのみがネットワークに流入するようになり、これにより攻撃のリスクが低下します。 不正な Web サイトや悪意のある Web サイトがユーザーに代わって要求を行うことを防止することで、セキュリティが改善されます。