ONLYOFFICE Docs 9.3 リリース:PDFエディターの強化、新しい署名オプション、ドキュメントのマルチページビュー、スプレッドシートのSolver機能、プレゼンテーションでのGIF再生、AIアップデートなど
ONLYOFFICE Docs 9.3 リリース
この記事はAIによって翻訳されました

DocSpace セキュリティガイド

はじめに

ONLYOFFICEは、データを安全に保ち、オンラインでの安全なコラボレーションを確保するための幅広いセキュリティツールを提供しています。このガイドでは、DocSpaceのセキュリティレベルを向上させるためのすべての機能について説明します。

さらに、サーバーの最大限のセキュリティを確保するための一般的なセキュリティ技術、原則、および特定のサービスについても探ることができます。

一般的なDocSpaceのセキュリティ

いくつかのDocSpaceの機能は、セキュリティ分野における業界標準として認識されています:HTTPS、バックアップ、独自のSMTPサーバー、LDAP。

安全なHTTPSプロトコル

ONLYOFFICEでは、HTTPSプロトコルを使用してトラフィックを暗号化することができます。letsencrypt.orgでCA署名付き証明書を簡単に作成し、単一のコマンドでDocSpaceをHTTPSに切り替えるか、独自の証明書を適用することができます。

DockerLinuxWindowsの対応する手順をお読みください。

定期的なバックアップ

データ損失を避けるために、手動および自動でデータをバックアップすることができます。バックアップ/復元機能は、DocSpaceの設定で利用可能です。

バックアップと復元オプションの詳細については、この記事をお読みください。

独自のSMTPサーバー

ONLYOFFICE DocSpaceでは、ユーザー通知のデフォルトサーバーはONLYOFFICE SMTPサーバーです。より高いセキュリティのために、独自のSMTPサーバーを使用することをお勧めします。これにより、メッセージが第三者のサービスを通過しないようにすることができます。

SMTPサーバーの設定方法についての詳細は、この記事をお読みください。

アクセスの集中化のためのLDAP

必要なユーザーやグループをLDAPサーバー(例:OpenLDAPサーバーやMicrosoft Active Directory)からDocSpaceに簡単にインポートできます。新しく作成されたユーザーは、新しいパスワードやログインを覚える必要がなく、LDAPサーバーに保存されている資格情報を使用してDocSpaceにサインインします。

詳細については、この記事をお読みください。

安全なアクセス

DocSpace設定のセキュリティセクションでは、DocSpaceへのアクセスを制御し、すべてのユーザーの活動を監視することができます。

パスワードの強度

強力なパスワードは、データへの不正アクセスを防ぐのに役立ちます。DocSpaceでは、パスワードの長さの要件を設定し、パスワードに使用する文字セット(大文字、数字、特殊文字)を決定することができます。

パスワードの強度設定について詳しく学びましょう。

二要素認証

二要素認証は、DocSpaceへのより安全なアクセスを保証します。二要素認証が有効になっている場合、ユーザーは通常のメールとパスワードを入力するか、ソーシャルメディアアカウントを通じてサインインし、認証アプリによって生成されたコードを入力することでDocSpaceデータにアクセスできます。

二要素認証の使用方法についての詳細は、この記事をお読みください。

その他のアクセス設定
  • DocSpaceでのユーザーの自己登録に使用できる信頼されたメールドメインを指定します。詳細はこちら
  • IPセキュリティ設定により、信頼できるネットワークからのみDocSpaceへのアクセスを許可することで、DocSpaceへのアクセスを制限できます。詳細はこちら
  • ユーザーによるログイン試行の失敗回数を制限することで、ブルートフォース攻撃からDocSpaceを保護します。詳細はこちら
  • セッションライフタイム機能を使用して、DocSpaceユーザーがDocSpaceにアクセスするために再度DocSpaceの資格情報を入力する必要がある時間制限を設定します。詳細はこちら
  • プロファイルの対応する機能を使用して、任意のデバイスでのすべてのアクティブなセッションから手動でログアウトすることもできます。詳細はこちら
ログインとアクションの監視

設定のログイン履歴セクションを使用して、最新のユーザーログイン活動(成功したログインおよび失敗した試行を含む)を簡単に追跡できます。監査証跡セクションでは、DocSpace内のファイルやフォルダーに対してユーザーが行った最新の変更(作成、変更、削除など)のリストを閲覧できます。詳細はこちら

安全なストレージ

外部リンクのパスワード

公開、カスタム、またはフォーム入力ルームへの外部リンクを作成する際、パスワードで保護することができます。リンクを介して共有された公開またはカスタムルームの場合、ファイルとフォルダーのダウンロードを無効にするために、ファイルコンテンツのコピー、ファイルのダウンロード、および印刷の制限オプションを有効にすることもできます。追加のリンクは期間で制限することができます。

外部リンクについて詳しく学びましょう。

機密データのためのバーチャルデータルーム

バーチャルデータルームは、機密ビジネス情報の保存と共有のための高度なファイルセキュリティを提供します。バーチャルデータルームでのデータ作業のための以下のセキュリティ機能が利用可能です:ファイルの有効期限の設定、ファイルのコピーとダウンロードの禁止、透かしの設定。

  • ファイルの有効期限 - 定義された期間後にこのルーム内のファイルを自動的に削除するためにファイルの有効期限を設定します。
  • コピーとダウンロードの制限 - この設定を有効にすると、「ビューア」ロールのユーザーに対してダウンロードとコンテンツのコピーを無効にします。
  • ドキュメントに透かしを追加 - このルーム内のすべてのドキュメントを透かしで保護します。

バーチャルデータルームについて詳しく学びましょう。

暗号化

DocSpaceが提供するデータの保存時の暗号化機能により、DocSpace内の機密データのセキュリティを確保できます。

暗号化は、データ全体の暗号化(AES-256-CBC + HMAC-SHA256)に基づいており、AES-256国際データ暗号化標準に準拠しています。

データの保存時の暗号化機能について詳しく学びましょう。

権限管理

ルーム内でユーザーが利用できるファイルに対する操作を定義する異なる権限レベルを割り当てることができます。たとえば、ビューアはドキュメントを表示するだけで、エディターは既存のファイルに対してすべての編集操作を行うことができ、コンテンツ作成者は新しいファイルやフォルダーを作成およびアップロードできます。詳細はこちら

ドキュメントの安全な作業

ドキュメントを共同編集する際に、他のユーザーのアクセスや編集権限を制限し、データの不正な変更を防ぐためのセキュリティ機能を適用します。

ドキュメントのバージョン

どの変更が行われたかを正確に知るためにバージョン履歴を表示します。必要に応じてドキュメントの以前のバージョンを復元します。詳細はこちら

ドキュメントのパスワード保護

パスワードでドキュメントを保護し、あなたからパスワードを受け取らない限り誰もファイルにアクセスできないようにします。詳細はこちら

ワークブック、シート、範囲の保護

スプレッドシートを操作する際に、ワークブック全体、特定のシートまたはセル範囲を保護し、数式やオブジェクトを非表示にすることができます。詳細はこちら

JWT保護

ドキュメントを不正アクセスから保護するために、ONLYOFFICEエディターはJSON Web Token(JWT)を使用します。トークンは、Document Editorが初期化される際や内部のONLYOFFICE Docsサービス間でのコマンド交換時に設定に追加されます。シークレットキーは、JSON Web Tokenに署名し、ONLYOFFICE Docsへのリクエスト時にトークンを検証するために使用されます。

基本的なセキュリティ原則

ONLYOFFICE製品に関連しないサーバーセキュリティの一般原則やサードパーティのサービスやツールを使用することも検討できます。以下に、役立つ一般的な例やヒントをいくつか紹介します。

ルートアクセスの無効化

データ漏洩を避けるために、ルートとしてのログインを許可しない方が良いです。ルートユーザーはシステムのすべてのデータに完全にアクセスできるためです。これは、サーバーのターミナルを介して、ルートログインの許可を「No」に設定することで行うことができます。

不要なポートのすべてを閉じる

ポータルの機能に必要なポートのみを開いたままにしておくべきです。余分な開いているポートはデータ漏洩の原因となる可能性があります。netstatユーティリティを使用して、すべての開いているポートとそれに関連するソフトウェアを表示します。

ファイアウォールの設定

ファイアウォールは、事前に定義されたルールに基づいて、ネットワークトラフィックの受信および送信を許可またはブロックします。Linuxでは、ファイアウォールはカーネルの一部です(netfilter)が、管理用のユーティリティをインストールする必要があります。たとえば、Debian用のUFWやRHEL用のfirewalldがあります。

最小権限の原則の遵守

特定のタスクを実行するために必要最低限の権限のみを割り当て、ユーザーが必要のない機密領域にアクセスするのを防ぎます。

SSHを使用したリモートOS管理

サーバーをリモートで管理する際は、安全なSSHプロトコルを使用してください。このプロトコルは信頼性がありますが、パスワードの代わりにSSHキーを使用することで、さらに保護を強化することができます。

Fail2banを使用してログインを保護する

Fail2banを使用して、ブルートフォース攻撃からサーバーを保護することができます。ログファイルを監視し、ログイン試行が多すぎる場合に接続をブロックします。

SELinuxまたはAppArmorの有効化

誤設定されたプログラムや侵害されたプログラムからサーバーを保護するセキュリティモジュールを有効にします。RHELベースのシステムでは、SELinuxが使用されます。Debianベースのシステムでは、AppArmorを使用できます。

次の項目が含まれている記事:タグ:
すべてのタグを見る