第83回 セキュリティの設定 ①

こんにちは、エヌ・ケイ・カスタマイズの東川内でございます。
昨年の4月に入社してからFileMakerを始めてきました!
いざ、やってみるととっても難しく、毎日苦戦しながら勉強しています・・・(泣)
奥が深すぎてわからないことだらけですが、少しずつできるようになれたらと思っています!

今回は「セキュリティの設定」の機能をみていきます。
ちなみに「セキュリティの設定」とは、アカウントとパスワードによる認証と
権限によりカスタムAppの使用や構造の変更を制限する機能こと。
情報を扱う上では、とっても重要かつ大事な機能になるので情報漏洩などを防ぐためにも習得したいテクニックですね。
ここでは、「セキュリティの設定」の「アカウント」について確認していきましょう!

セキュリティ

「セキュリティ」を簡単に言えば「保護」のこと。これは使ってもよいユーザ以外が操作するのを避けるためです。
例えると、パソコンやiPhone などのデバイスにパスワードを設定することです。

カスタム App も同じです。ユーザが「何をおこなってよいのか」を考えて、すべてできる人から、なにもできない人までを考えてセキュリティの設定を考えます。
はじめは、セキュリティをなるべく高く(厳しく)設定します。低く(甘く)することもできますが、セキュリティが高い方が情報を守りやすいのでお勧めします。

セキュリティを計画する

カスタム App の役割とデータの内容によって、どのように保護するか考えて計画を立て、セキュリティを設定します。
まずは、下記の2つのことを考えます。

●計画すること
アカウント(アカウント名とパスワードの組み合わせ)」と「アクセス権セット」を設定することで『ユーザがなにをできるか』を制限します。

●権限
「なにをできるかのこと」を「権限」と呼びます。1 つのアカウントに必ず 1 つのアクセス権セットを付与します。

次の 2 つ を計画して設定します。
・ユーザを限定する場合は、アカウントを使用します。
・ユーザごとにできることを変更するには、アクセス権セットを使用します。

通常は「Admin」(パスワードなし)と[ゲスト]のアカウントが自動作成されます。
しかし、それだけでは不十分です。原則としてユーザごとに作成します。

アクセス権セットは、自動作成されたものが計画に合致していればそれを利用できますし、そうでない場合には独自のものを作成します。全体を考えていくつかのアクセス権セットを使い分けるのが良い方法です。
後述する完全アクセス権のアカウントを誰が使用できるかは、充分に検討が必要です。

アカウント

認証(サイトイン)

認証」とは、サインインのためのダイアログに入力されたアカウントが、ファイルに設定されているものと同じであるかどうかを確認するためのものです。

・ 認証に成功 = ファイルに設定されているものと同じ
・ 認証に失敗 = ファイルに設定されているものと違う

ということになります。共有されているファイルは数回認証に失敗するとアカウントがロックされて、数分の間、認証することができません。

認証ダイアログと認証エラーのダイアログ

アカウント

アカウント名とパスワードのセットのことです。ファイルごとに登録してアクセス権セットを付与します。
アカウントの認証が成功したら、ユーザは付与されたアクセス権セットの権限に従ってカスタム App を使用することができます。登録にはいくつかルールがありますが、次のことが重要です。

・1 つのファイルに同じ文字列のアカウント名を複数登録することはできない

アカウント名は大文字と小文字を区別しません。「Admin」を登録すると「admin」は登録できません。
逆に考えると「admin」でもパスワードが正しければ「Admin」として認証されるのです。

アカウントの管理の基本

アカウントを管理する上で、いくつか注意したいことがあります。

●ユーザへの注意喚起
アカウントをユーザに通知するとき、その情報の管理方法についても注意を促します。
例えば、付箋に書いてパソコンに貼ってあるような状況は、設定したセキュリティが低く……
というより無駄になってしまいます。

●アカウントは 1 人に 1 つ
必ずユーザ 1 人に 1 つ設定します。複数人で 1 つのアカウントを使用するとセキュリティが低くなります。
データ修正者を記録したい場合にアカウント名を記録しても皆が同じアカウントを共用していたら見分けがつきません。

●パスワードは絶対に設定する
必ずパスワードを設定します。パスワードが設定されていないとアカウント名だけで認証できてしまうため、セキュリティが低くなります。

アカウント認証方法の種類

アカウントの認証方法は、カスタム App の共有の有無に応じて次の種類があります。

「FileMaker ファイルアカウント」について説明します。
この認証方法では、カスタム App ファイルがアカウント情報を持っています。
その他の認証方法については、ヘルプ等を参照してください。

アカウントの種類

アクセス権セット

アカウントには、アクセス権セットが必要です。ファイルごとのユーザの権限を決めるためのものです。
セキュリティは、[ セキュリティの管理 ]ダイアログで管理をおこないます。

●初めての[セキュリティの管理]ダイアログ
 下記の順にファイルの設定を確認します。

(1) [ファイル]-[管理]メニューの[セキュリティ …]を選択します

(2) [セキュリティの管理]ダイアログが開きます。

ダイアログの内容を確認します。Admin と[ゲスト]だけがあります。これがアカウントです。
FileMaker Pro は、新しいファイルを作成するとこの 2 つのアカウントを自動で作成します。
しかし、パスワードは設定しません。
Admin をクリックすると右側に設定内容が表示されます。

[ セキュリティの管理] ダイアログ

ファイルにパスワードを設定する

Admin は完全アクセス権セットのアカウントです。パスワードがないままではセキュリティが低い状態です。
パスワードを設定する前にファイルをバックアップします。
バックアップを取ったら、Admin アカウントにパスワードを設定します。

下記の順に設定します。

(1) 「Admin」をクリックで選択します。

(2) < パスワードがありません > の右の鉛筆アイコンをクリックします。

(3) [パスワードの設定]ダイアログが表示されます(上図を参照)。

(4) パスワードを入力します。[パスワードの質]が「強く」なるようにします。
   例えば「6sF$H2))gF7vO」のような 13 文字以上で、大文字小文字交じりのアルファベッ トと数字と記号がランダムに並んでいるような文字列です。

(5) [パスワードの設定]をクリックします。

(6) [OK]をクリックします。完全アクセス権のアカウント名とパスワードを要求されます。

(7) いま設定したアカウント「Admin」と、そのパスワードを入力して[サインイン]をクリックします。

設定をおこなうために完全アクセス権のアカウントで認証する

(8) パスワードを設定しました。続いてファイルオプションを設定します。

(9) [ファイル]-[ファイルオプション]メニューを選択します。

(10)[次のアカウントを使用してログイン]を オフ にして[OK]をクリックします。

ファイルオプションの設定

(11) 一旦ファイルを終了し、再度開いて認証ダイアログが表示されるか確認します。

(12) 認証(サインイン)します。

●セキュリティの管理と認証
[セキュリティの管理]ダイアログで設定を変更して閉じるとき、必ず完全アクセス権のアカウントでの認証を要求されます。
この認証はセキュリティを守るための重要な作業です。

パスワードを忘れたら・・・

FileMaker Pro では、忘れたパスワードを解析することはできません。
完全アクセス権セットのアカウントで新しいパスワードを設定するなどして対応します。

完全アクセス権セットのアカウント

完全アクセス権セットのアカウントのパスワードを忘れてしまったら……。とても困ります。
さまざまな作業ができなくなります。ですから、とても注意してアカウントを管理してください。
例えば、完全アクセス権セットのアカウントを 2 つ登録しておいて、1 つは緊急時用として別の場所に保管しておくと安全です。

ファイルオプション

Admin アカウントにパスワードを設定の演習で、チェックをオフにした[次のアカウントを使用してログイン]は新規のファイルを作成すると自動設定されるものです(「ログイン」や「サインイン」は認証のことです)。

これはファイルを開く際に、特定のアカウント名とパスワードを使用して自動的にログインするための設定です。
これまでは、Admin とパスワード無しで自動的にログインしていたのです。

アカウント名

用意されているアカウント名「Admin」と[ゲスト]のうち、「Admin」は変更できます。
通常、アカウントの作成時には任意のアカウント名を入力して設定します。

●[ ゲスト ]
当初 [ ゲスト ] は、無効になっています。[ゲスト]は特殊なアカウントです。アカウント名を変更できません。
パスワードを設定することもできません。
通常、データは閲覧できるがなにもできない不特定なユーザの利用が必要な場合などに利用します。

完全アクセス権はアカウント名が Admin であるとわかっている場合、あとはパスワードだけがわかれば認証できてしまいます。セキュリティを高くするには、Admin 以外の文字列に変更します。
※ アカウント名は全角文字列も可能です。


以上、「セキュリティの設定」の「アカウント」についてみていきました!
設定が難しそうと感じますが、情報を守るためにも憶えておきましょう。
まだまだ「セキュリティの設定」には、たくさんの機能があるので、少しずつ習得したいと思います。

今回、ここまで!
続きは、次のブログ担当者にバトンタッチして、「セキュリティの設定」の機能をまた見ていきましょう!