DocuWare 組織のセキュリティ設定

この記事では、DocuWare 設定 > セキュリティの領域に関する情報を提供します。

このセクションでは、DocuWare 組織のセキュリティ設定を定義します。すべての設定には有効または無効のステータスがあります。設定が有効に設定されている場合は、組織のセキュリティが向上する可能性があります。

ログインセキュリティ

パスワードポリシーは、ユーザーによる安全ではないパスワードの使用を制限します。

すべてのユーザーを対象とした以下のパスワードの最低要件を指定します。

最小限のパスワードの長さ
必須の文字
パスワードの有効期限
パスワードの有効期限切れの前の通知期間
ログインの最大試行回数
ログイン試行回数の上限を超えてアカウントがロックされた場合の持続時間

新しいパスワードポリシーに関する注意事項をご確認ください。このポリシーはバージョン 7.12 以降で作成されたすべての新しい DocuWare 組織に対して既定で有効化されています。既定のパスワードポリシーは、バージョン 7.12 以前に作成された組織には適用されません。

2 段階認証

DocuWare 7.13 以降では、DocuWare 管理者は組織内のすべてのユーザーに対して 2 段階認証を有効化および無効化できます。DocuWare 7.14 以降では、すべてのユーザーに 2 段階認証を必須にすることも可能です。

2 段階認証が有効化されている場合、ユーザーは DocuWare にログインするためにユーザー名、パスワード、および確認コードを入力する必要があります。DocuWare は確認コードとして時間ベースのワンタイムパスワード（TOTP）を使用します。TOTP 標準は、携帯電話のほとんどの認証アプリでサポートされています。

ワンタイムパスワードの仕組み

ワンタイムパスワード（OTP）とは、ユーザーの本人確認を行うために一度だけ使用可能な数字または英数字のコードのことです。静的なパスワードとは異なり、OTP は要求に応じて生成されます。通常は認証アプリやハードウェアトークンにより、DocuWare と共有されているシークレットキーを使用して生成されます。最も一般的な方式である時間ベースのワンタイムパスワード（TOTP）では、このシークレットキーに現在の時刻を組み合わせて 30 秒ごとに変化する 6 桁のコードが生成されます。各コードは短い時間しか効力を持たず、またシークレットキーがユーザーの端末から外部に出ることがないため、OTP はリプレイ攻撃、資格情報の窃取、フィッシング詐欺のリスクを大幅に低下させます。ユーザーがログイン時に OTP を入力すると、DocuWare は同じアルゴリズムと時刻の参照を用いてコードを検証します。これらが一致すると、アクセス権が付与されます。

DocuWare では、OTP は機能名「2 段階認証」との一貫性を保つため、「確認コード」と呼ばれます。

使用可能なオプションは、2 段階認証が有効化されているか、または必須であるかによって異なります。

すべてのユーザーに対して 2 段階認証を有効にする

有効化... オプションが有効になっている場合、すべてのユーザーが自身のアカウントに対して 2 段階認証を設定できます。これはオプトインモデルと呼ばれます。ユーザーまたはユーザーグループに 2 段階認証の使用を強制する場合は、すべてのユーザーに 2 段階認証を必須にするオプションを参照してください。

ユーザー設定: 各ユーザーは自身の DocuWare プロファイルで 2 段階認証を有効にできます: DocuWare Web Client > プロファイルと設定 > セキュリティタブ。ユーザーは認証アプリも使用する必要があります — 次の項目を参照してください。
認証アプリ: 2 段階認証を使用して DocuWare にログインするには、モバイル端末に TOTP 互換の認証アプリが必要です。DocuWare では、Microsoft Authenticator、Google Authenticator、Duo Mobile など、広く使用されている各種認証アプリを幅広くサポートしています。
2 段階認証の無効化: セキュリティ設定で 2 段階認証がオフになっている場合、ユーザーは 2 段階認証を使用してサインインすることができなくなり、ユーザー名とパスワードのみが必要になります。DocuWare が自動通知を行うことはないため、ユーザーは単に二要素目が要求されなくなったことでこの変化に気づくことになります。
後日管理者が 2 段階認証を再度有効にした場合、すべてのユーザーはシステムからの通知なしに認証アプリを最初から設定し直す必要があります。この設定の突然の切り替えは混乱を招き、不要なサポートへの問い合わせを発生させます。絶対に必要な場合にのみ無効化し、事前にユーザーに通知してください。

すべてのユーザーに 2 段階認証を必須にする

必須... オプションが有効化... オプションに加えて有効になっている場合、すべてのユーザーはログインのたびに確認コードによる認証が必要になります。有効な確認コードなしでログインすることはできません。すべてのユーザーに 2 段階認証を必須にする前に、この章の末尾にある展開ガイドをお読みください。

ユーザー設定: まだ 2 段階認証を設定していないユーザーは、次回のログイン時に設定を求められます。ユーザー名とパスワードを入力した後、DocuWare は QR コードを表示し、認証アプリでスキャンして設定を完了する必要があります。それ以降、ログインにはユーザー名とパスワードの入力後に確認コードが必要になります。
認証アプリ: 2 段階認証を使用して DocuWare にログインするには、モバイル端末に TOTP 互換の認証アプリが必要です。DocuWare では、Microsoft Authenticator、Google Authenticator、Duo Mobile など、広く使用されている各種認証アプリを幅広くサポートしています。
2 段階認証の必須化を解除した場合: 必須化を解除した場合、既に 2 段階認証を有効化しているユーザーはそのまま有効な状態を維持します。まだ設定していないユーザーに対しては設定を求めるメッセージが表示されなくなりますが、自分で有効化するオプションは引き続き利用できます。
2 段階認証が必須の状態で組織全体の 2 段階認証を無効にする場合、DocuWare はまず必須化を解除してから 2 段階認証を無効にします。そのため、対応する 2 つの警告ダイアログが順番に表示されます。
ユーザーとロールの除外: 特定のアカウントやロールをこの要件から除外する必要がある場合は、除外リストに追加します。除外の典型的な候補はサービスアカウントです。詳細については、2 段階認証の展開ガイドを参照してください。
電話または認証アプリの変更: ユーザーは DocuWare Web Client > プロファイルと設定 > セキュリティタブで再設定を開始できます。これにより、古い端末とのリンクが解除され、新しい端末の設定プロセスが開始されます。
重要: ゲストログインと 2 段階認証
ゲストログインは、指定されたゲストユーザーアカウントに対してこれらの方法が強制されている場合でも、2 段階認証やシングルサインオン（SSO）の対象外です。ゲストログインと 2 段階認証についての詳細はこちらをご覧ください。

2 段階認証の導入と使用状況の監視

組織で 2 段階認証を有効にすると、ユーザー管理のユーザーリストに対応する列が追加されます。この列には、どのユーザーが既に 2 段階認証を有効化しているかが表示されるため、組織全体での導入状況を追跡できます。

特定のユーザーの特定の時刻におけるログインを追跡するには、DocuWare 設定 > 監査レポートに移動します。

2 段階認証の安全な展開ガイド

ステップ 1: 管理者の冗長性を確保する

2 段階認証を有効にする前に、少なくとも 2 つの組織管理者アカウントが存在し、それぞれが独立した第 2 要素（別々の電話やハードウェアトークンなど）を持っていることを確認してください。オンプレミス環境の場合は、それぞれ独立した第 2 要素を持つ 2 人のシステム管理者が存在することも確認してください。

管理者アカウントが 1 つしかない場合: 今すぐ 2 つ目の管理者アカウントを作成してください。独立した端末（ハードウェアトークンや別の電話など）で第 2 要素を設定し、安全な場所（施錠された金庫など）に保管してください。これにより、プライマリ管理者が電話を紛失した場合でも DocuWare にアクセスできます。

ステップ 2: サービスアカウントを特定する

DocuWare に対して認証を行うすべてのサービスアカウントと自動化された統合のリストを作成します。これらのアカウントは対話的な 2 段階認証を実行できないため、プロセス全体を通じて除外する必要があります。

ステップ 3: パイロットグループを特定する

DocuWare のすべてのユーザープロファイルのリストを作成します。1 つのプロファイルをパイロットグループとして選択します — 理想的には、少人数の技術的に精通したグループ（IT スタッフなど）です。

ステップ 4: 変更を通知する

2 段階認証を必須にする前に、すべてのユーザーに通知します。

変更内容: ログイン時に 2 段階認証が必須になります
発効日: グループごとの具体的な日付。パイロットグループが最初で、その後に他のグループが続きます
ユーザーが行うべきこと: 次回のログイン時に電話または認証デバイスを準備してください。設定手順は画面上でガイドされます
サポート窓口: 問題が発生した場合の連絡先

ステップ 5: パイロットグループに 2 段階認証を必須にする

設定 > セキュリティ > 2 段階認証を開きます
すべてのユーザーに 2 段階認証を必須にするを選択します
すべてのプロファイルとサービスアカウントを除外リストに追加し、パイロットグループのみが除外されないようにします。
開始前に、少なくとも 2 人の管理者がいることを確認してください（ステップ 1 を参照）。

パイロットフェーズが成功したことが確認されるまで、次のステップに進まないでください。

ステップ 6: 段階的な展開

パイロットフェーズが成功したら、除外リストからプロファイルを 1 つずつ（または少数ずつ）順次削除します。

1. 除外リストから次のプロファイルを削除して保存します

2. 影響を受けるユーザーがログインして 2 段階認証を正常に設定できることを確認します

3. 問題があれば、続行する前に対処します

4. すべてのプロファイルが除外リストから削除されるまで繰り返します

最終ステップ後、除外リストにはサービスアカウントのみが残るようにします。

ユーザーが携帯電話を紛失した場合の対処方法

DocuWare ユーザーが携帯電話を紛失した場合、DocuWare にログインできなくなります。DocuWare のログインダイアログでは、管理者に連絡するようユーザーに案内されます。管理者が取れる対応は、組織のセキュリティ設定によって異なります。

ケース 1: 2 段階認証が有効化されているが、組織で必須化されていない場合

この場合、DocuWare 管理者は DocuWare 設定 > ユーザー管理 > ユーザー xxx で2 段階認証チェックボックスの選択を解除して 2 段階認証を無効化し、ユーザーがユーザー名とパスワードで DocuWare にログインできるようにします。

ケース 2: 2 段階認証が組織で必須化されている場合

DocuWare 管理者は、このユーザーの 2 段階認証を無効化できません。これは企業のセキュリティポリシーに違反するためです。管理者は DocuWare 設定 > ユーザー管理 > ユーザー xxx でリセットリンクを送信できます。

このリンクにより、ユーザーの以前の 2 段階認証が無効化され、新しい電話または認証アプリの設定を求めるメッセージが表示されます。確認コードなしでログインすることはできません。

セッションのタイムアウト

ユーザーが一定時間操作を行わなかった場合、DocuWare クライアントおよび DocuWare 設定から自動的にログアウトされます。一定時間内に操作が行われなかった場合、ユーザーは最初に適切なメッセージが表示された通知を受け取り、その後にログアウトされてログインウィンドウにリダイレクトされます。

タイムアウト時間を超過した場合、ユーザーはすべての DocuWare クライアントのブラウザーウィンドウからログアウトされ、DocuWare 設定からもログアウトされます。ブラウザーのタブの任意の場所をクリックすると、タイマーはカウントダウンを最初から開始します。通知などの自動的な DocuWare クライアントのアクティビティは、タイマーをリセットしません。保存されていない変更内容は、ログアウト時に破棄されます。

この設定は組織内のすべてのユーザーに適用されます。

DocuWare Forms では、自動ログアウトは非公開のフォームに対してのみ有効化されます。公開フォームは実際のログインを必要としないため、タイムアウトの対象外となります。

シングルサインオン

シングルサインオン（SSO）によってユーザーは自社の資格情報を使用して DocuWare にアクセスできるため、DocuWare 専用のユーザー名とパスワードを別途記憶する必要はありません。この機能によりログイン体験は簡素化され、二要素認証などの企業 ID プロバイダーの認証方法を活用することでセキュリティを向上させることができます。

DocuWare でシングルサインオンを有効にするには、DocuWare 組織を外部の ID プロバイダーと統合する必要があります。統合を実行するには、ID プロバイダーへのアクセス権が必要です。

DocuWare 7.13 では、SSO 設定ダイアログに若干の変更が加えられました。また、テストボタンが追加されました。DocuWare バージョン 7.12 以前をご利用の場合、一部の要素が別の場所に配置されていることにお気付きになるかもしれません。また、設定を保存する前にテストを行うことはできなくなっています。ただし、設定のオプション自体は変更されていません。

DocuWare では複数の種類の ID プロバイダーをサポートしています — 以下を参照してください。各 DocuWare 組織は 1 つの外部 ID プロバイダーにのみ接続可能です。

Microsoft Entra ID

Microsoft Entra ID（旧称 Azure Active Directory）は、あらゆる規模の組織を対象にアプリケーションやリソースへの安全なアクセスを提供する包括的な ID およびアクセス管理ソリューションです。

Microsoft Entra ID を外部 ID プロバイダーとして使用した SSO の設定方法についての詳細はこちらをご覧ください。

OpenID Connect (OIDC)

OpenID Connect（OIDC）は、さまざまなアプリケーションやサービスを横断してシングルサインオン（SSO）を実装するために広く利用されているオープン標準です。ほとんどのプロフェッショナルな ID プロバイダーは OIDC をサポートしています。

OIDC 互換の外部 ID プロバイダーの使用に関する詳細情報はこちらをご覧ください。
Okta を使用したサンプル設定についての詳細はこちらをご覧ください。

Microsoft Active Directory Federation Services (ADFS)

Microsoft Active Directory Federation Services（AD FS）はシングルサインオン（SSO）ソリューションであり、組織が組織の境界を越えてアプリケーションやシステムに対する認証済みアクセスを提供できるようにします。

注: Microsoft は ADFS ではなく Microsoft Entra ID の使用を推奨しており（出典）、この機能は将来的に廃止される可能性があります。

Microsoft Active Directory Federation Services を外部 ID プロバイダーとして使用した SSO の設定方法についての詳細はこちらをご覧ください。

シングルサインオンを強制する

この設定は、ユーザーが DocuWare の資格情報で引き続きサインインできるか、外部の ID プロバイダー（IdP）を介してのみ認証を行う必要があるかを制御します。

無効: ユーザーは DocuWare のユーザー名とパスワード、または外部の ID プロバイダーのいずれかの方法を選択できます。
有効: すべてのユーザーは外部の ID プロバイダーを介して認証を行う必要があります。ユーザーまたはロールが除外リストに追加されない限り、DocuWare の資格情報はブロックされます。管理者はこのリストを使用して特定のアカウントが SSO をバイパスできるように設定できます。
除外リストは、シングルサインオンを強制するオプションを有効にすると表示されます。

重要: SSO を強制する前に設定をテストしてください
SSO の設定を強制する前に、十分にテストを実行してください。接続に失敗した場合、組織管理者を含むすべてのユーザーがロックアウトされてしまう可能性があります。

シングルサインオンの強制の安全な展開ガイド

管理者として DocuWare でシングルサインオン（SSO）を設定する場合、この機能をユーザーに展開するには以下の 2 種類の方法があります。

オプションの SSO – ユーザーは DocuWare のユーザー名とパスワードを使用してサインインするか、SSO を介してサインインできます。
強制的な SSO – すべてのユーザーにシングルサインオン認証を強制するを有効にします。除外リストに含まれていない限り、ユーザーは外部の ID プロバイダー（IdP）を介して認証を行う必要があります。

強制的な SSO を有効にするには、以下の 3 つのステップに従います。

ステップ 1 – SSO を有効化してテストを行う

1. DocuWare 設定 > セキュリティで ID プロバイダーを設定します。ただし、「SSO を強制する」のチェックボックスは現時点では外したままにしておいてください。

2. 複数の内部ユーザーに SSO 経由でのログインを依頼し、設定を確認します。

3. DocuWare User Sync またはユーザープロビジョニングでユーザーをインポートする場合は、それらのアカウントが SSO 経由でもログインできることを確認してください。

4. すべての組織管理者が SSO を介して認証できるようにします。除外リストには少なくとも 1 人の管理者を考慮に入れておいてください（ステップ 2 を参照）。

ステップ 2 – 除外するアカウントを特定する

除外の典型的な候補は以下の通りです。

• IdP によって管理されていない外部のユーザー（パートナーや顧客など）

• 外部のアプリケーションによって使用されるサービスアカウント

• 内部の DocuWare ジョブを実行するアカウント（DocuWare 7.13 以降は不要）

• パスワードベースを維持する必要があるその他のアカウント（インターネットへのアクセスがない場合など）

見つける方法は以下の通りです。

1. DocuWare 設定 > ユーザー管理に移動し、ユーザーを CSV としてエクスポートをクリックします。

2. Excel でファイルを開き、社外のメールドメインを探し出します。これらは外部のユーザーのものである可能性が高いです。

3. 統合とワークフローを確認し、サービスアカウントを特定します。

ステップ 3 – 強制的な SSO を展開する

1. すべてのユーザーにシングルサインオン認証を強制するを有効にします。

2. すべてのユーザーまたはロールを除外リストに追加し、誰もロックアウトされないようにします。

3. 数日から数週間をかけて段階的に除外を削除していき、各グループが SSO を介してログインできることを確認します。

4. 完了したら、除外リストにはステップ 2 で特定したアカウントのみを残します。

5. 安全策として、管理者アカウントを少なくとも 1 つ除外した状態を維持してください。

変更を加えた後は、必ず SSO 接続をテストしてください。IdP が利用できなくなった場合に除外設定が存在しないと、管理者を含むすべてのユーザーがロックアウトされてしまう可能性があります。

パブリックアクセスを制限する

DocuWare 7.11 以前では、このセクションはゲストログインという名前でした。DocuWare バージョン 7.12 では、パブリックアクセスを制限するに更新されています。

ゲストログインを使用すると、組織へのネットワークアクセス権を持つすべてのユーザー（「ゲスト」）が資格情報を入力することなく DocuWare にログインできます。ゲストユーザーに付与される権限は、ゲストとして指定された DocuWare ユーザーの権限に一致します。これらの権限によっては、「ゲスト」がシステムに重大な被害をもたらす可能性があります。

パブリックアクセスを制限するをオフにすると、ゲストユーザーのオプションを設定できるようになります。このオプションは、DocuWare のログインページに表示されます。

重要: 可能であれば「パブリックアクセスを制限する」を有効のままにしてください
パブリックアクセスを制限するをオフにすると、ユーザー名とパスワードで ID を確認していない外部のユーザーが DocuWare システムにアクセスできるようになります。これはセキュリティ上のリスクとなります。このセキュリティ設定を無効化する場合は、十分にご検討ください。

重要: ゲストログインは 2 段階認証とシングルサインオンをバイパスします
ゲストログインは、指定されたゲストユーザーアカウントに対してこれらの方法が強制されている場合でも、2 段階認証（2SV）やシングルサインオン（SSO）の対象外です。たとえば、ユーザーアカウント「Elizabeth Cash」がゲストログインとして設定されており、Elizabeth Cash に 2SV または SSO が必須とされている場合でも、ゲストログインを使用するすべてのユーザーは、パスワード、第 2 要素、SSO 認証なしでシステムに入ることができます。ゲストは Elizabeth Cash に割り当てられたすべての権限で操作を行います。
ゲストログインを有効にする前に、指定されたユーザーアカウントに最小限の権限のみが付与されていることを確認してください。組織に対して 2SV や SSO を強制しても、ゲストアクセスは制限されないことにご注意ください。

ファイルの種類

制限されたファイルの種類に入力されたファイルの種類は、DocuWare でのアーカイブ化がブロックされます。リストのいずれかを有効にして含まれているファイルの種類をブロックするか、新しいリストを作成します。これらの制限は、組織のすべてのファイルキャビネットに適用されます。

制限されたファイルの種類のリストは、フルテキストの設定用に許可リストとブロックリストとしても利用できます。

外部接続

外部 URL の安全な場所

この機能は、ドキュメント内にインデックスデータとして保存されている URL のセキュリティを強化します。URL がクリック可能になるのを事前に承認された安全な場所にリンクされている場合にのみ制限を加え、DocuWare にドキュメントが保管される前に埋め込まれている可能性のある悪意のある URL によるリスクを軽減します。

特定の場所を安全な場所としてマークするには、この許可リストに追加する必要があります。関連するドメインまたは URL を「https://」を除外した上ですべてこちらに追加してください。この許可リストにドメインが追加されると、そのドメインに関連するすべてのサブドメインおよびページも既定で安全な場所であると見なされます。

ポータルの統合

DocuWare 7.13 では、ポータルの統合セクション（旧称「セントラルゲートウェイ」）が DocuWare 設定 > セキュリティ設定に組み込まれています。

ポータルの統合セクションは、DocuWare Cloud の組織管理者にのみ表示されます。

こちらに追加したドメインのみが組織の DocuWare リソースにアクセスできるようになります。たとえば、DocuWare の検索ダイアログを Web ポータルに埋め込んで顧客が DocuWare 内のドキュメントを検索できるようにする場合、使用する Web ポータルのドメインをこちらに追加する必要があります。こちらにドメインが記載されていない場合、その Web ポータルでは、フォーム、結果リスト、ダイアログなどの要素の埋め込みがブロックされます。

URL の統合の詳細については、URL の統合の概要を参照してください。

ドメインは「https://subdomain.webseite.com」または「http://subdomain.website.com」のように入力してください。

IP ベースのアクセス制御

DocuWare 7.13 では、IP ベースのアクセス制御セクション（旧称「セントラルゲートウェイ」）が DocuWare 設定 > セキュリティ設定に組み込まれています。

IP ベースのアクセス制御セクションは、DocuWare Cloud の組織管理者にのみ表示されます。

ユーザーは、セントラルゲートウェイに入力された IP アドレスを介してのみ DocuWare Cloud 組織にアクセスできます。これにより、たとえば組織では、どのデバイスが組織のサービスにアクセスできるかを制御できるようになり、不正アクセスを防げるようになります。

DocuWare Cloud のサービスにアクセス可能な特定の IP アドレスまたは IP アドレスの範囲を入力します。たとえば、アクセスを制限して社内ネットワーク内から接続する従業員のみが DocuWare を利用できるようにすることが可能です。

こちらに IP アドレスが 1 つも記載されていない場合には、すべての IP アドレスが DocuWare Cloud 組織にアクセスできます。

ただし、IP アドレスが 1 つでも入力されるとアクセス制御が有効化され、こちらで指定されたアドレスのみが Cloud 組織にアクセスできるようになります。

現在 DocuWare では、インターネットプロトコルバージョン 4（IPv4）に対応しています。

ドメインと IP アドレスの制御によって望ましいデータトラフィックのみがネットワークに流入するようになり、これにより攻撃のリスクが低下します。不正な Web サイトや悪意のある Web サイトがユーザーに代わって要求を行うことを防止することで、セキュリティが改善されます。