ONLYOFFICE Docs 9.3 リリース:PDFエディターの強化、新しい署名オプション、ドキュメントのマルチページビュー、スプレッドシートのSolver機能、プレゼンテーションでのGIF再生、AIアップデートなど
ONLYOFFICE Docs 9.3 リリース
  • ホーム
  • ワークスペースエンタープライズセキュリティガイド
この記事はAIによって翻訳されました

ワークスペースエンタープライズセキュリティガイド

はじめに

ONLYOFFICEは、ポータルを適切に保護するための多くの方法を提供しています。このガイドでは、ポータル、機密データ、クラウドおよびデスクトップエディターでの作業のセキュリティレベルを向上させるためのすべての機能とツールを紹介します。

SSL証明書

SSL証明書は、ウェブサイトのアイデンティティを認証し、暗号化された接続を可能にするデジタル証明書です。コントロールパネルを使用してSSL証明書を生成するか、サードパーティの証明書をアップロードすることができます。

証明書の生成

Let’s Encryptサービスを使用して、CA署名付きの証明書を提供します。

Let’s Encrypt証明書を正常に生成するには、ポート80を開放する必要があります。

新しい証明書を生成するには、

  1. 左側のサイドバーの共通設定セクションでHTTPSページを開きます。
  2. 生成して適用ボタンをクリックします。証明書と秘密鍵が正常に生成されたことを知らせるポップアップメッセージボックスが表示されます。

コントロールパネルとポータルはこのプロセス中に再起動され、利用できなくなります。最大で5分かかることがあります。証明書のインストールプロセスが完了すると、ポータルはHTTPSで利用可能になります。

証明書のアップロード

サードパーティの証明書(例:AmazonやGoDaddy)をアップロードするには、

  1. 左側のサイドバーの共通設定セクションでHTTPSページを開きます。
  2. CRT証明書フィールドの横にあるプラスボタンをクリックし、.crt証明書を選択してアップロードします。
  3. HTTPSキーフィールドの横にあるプラスボタンをクリックし、プライベート.keyキーを選択してアップロードします。
    アップロードする前に、秘密鍵が暗号化されていないことを確認してください。パスワード保護された.keyファイルがある場合は、最初に復号化する必要があります。
  4. .crt.keyファイルをアップロードしたら、ページの下部にある適用ボタンをクリックします。

その後、コントロールパネルとポータルは再起動され、このプロセス中に利用できなくなります。最大で5分かかることがあります。証明書のインストールプロセスが完了すると、ポータルはHTTPSで利用可能になります。証明書が発行されたドメイン名は、コントロールパネルHTTPSページのドメインで生成セクションに表示されます。

SSL証明書 SSL証明書

証明書を生成したり購入してアップロードした後、SSL Labsサービスや同様のサービスを使用してセキュリティレベルを確認できます。セキュリティレベルはA以上である必要があります。

HTTPSへの切り替えについて詳しくは、こちらの記事をお読みください。

自動バックアップ

自動バックアップはコントロールパネルで有効にできます。また、サードパーティのサービスを使用してポータルのコピーを定期的に作成することも良い選択です。

自動バックアップをオンにするには、

  1. 左側のサイドバーの共通設定セクションでバックアップページに切り替え、自動バックアップセクションを見つけます。
  2. 無効スイッチをクリックして機能を有効にします。
    自動バックアップ 自動バックアップ
  3. バックアップファイルのストレージを選択します(利用可能なオプションはAmazon AWS S3、Google、Rackspace、Selectelのクラウドストレージサービス、またはその他のWebDAVサービスです。一時ストレージはデータバックアップセクションでのみ利用可能です)。
  4. バックアップを作成する時間間隔を指定します:毎日毎週、または毎月、必要な時間帯を指定します。
  5. 保存するバックアップコピーの最大数を設定します(1から30までの必要な値をドロップダウンリストから選択します)。
  6. バックアップにメールを含めるボックスをチェックすると、メールデータもバックアップされます。
  7. 保存ボタンをクリックします。

バックアップは指定された周期で自動的に作成されます。

バックアップと復元オプションについて詳しくは、こちらの記事をお読みください。

ポータルセキュリティ設定の調整

ポータルにユーザーを追加する前に、ポータルアクセスルールを設定する必要があります。これはポータルのポータルアクセスページで行うことができます。このページには次の方法でアクセスできます:設定 > セキュリティ > ポータルアクセス

パスワード設定を決定することでポータルアクセスを制限できます:パスワード文字数の調整大文字の含有を要求、および数字と特殊文字をユーザーのパスワードに含めることを要求します。

ポータルセキュリティ設定の調整 ポータルセキュリティ設定の調整

ポータルログインには二要素認証が利用可能です。AuthyまたはGoogle Authenticatorアプリを使用する設定が可能で、後者が強く推奨されます。もう一つの方法はSMSを介した2FAです。これを使用するには、SMC、Clickatell、またはTwillioを使用する必要があります(統合タブサードパーティサービスページでこれらのオプションをオンにし、対応するサービスのAPIキーを使用します)。

一部の大量メールドメインには既知のセキュリティ問題があるため、登録に使用できる信頼されたメールドメインを指定できます。この機能をオンにするには、信頼されたメールドメイン設定カスタムドメインチェックボックスを選択し、表示されたフィールドに信頼されたドメイン名を入力します。

信頼されたユーザーのIPのホワイトリストを設定するには、IPセキュリティ機能を使用します。

この制限により、新しい場所から認証しようとする場合、既存のポータルユーザーのアクセスも制限されます。

ONLYOFFICE Workspaceにはセッションの有効期限機能もあります。これを有効にすると、各ユーザーのセッションの持続時間を設定し、その後自動的にログアウトされます。

ポータルアクセスの制御方法について詳しくは、こちらの記事をお読みください。

アクセス集中化のためのLDAP

LDAPサーバーからユーザー資格情報をインポートできます。これはコントロールパネルポータル設定セクションのLDAPページで行うことができます。

LDAP認証を有効にするスイッチをオンにし、次のデータを提供します:

  • サーバー情報をURLアドレスとして指定します。
  • LDAPサーバーにアクセスするために使用されるポート番号。
  • インポートしたいユーザーデータのディレクトリへのパス(ユーザーDN)。
  • 特定のユーザーのみをそのディレクトリからインポートする必要がある場合のユーザーフィルターとログイン属性値。
    LDAP設定 LDAP設定

グループのインポートは、LDAPサーバーからユーザーをインポートするのと同じ方法で行われます。

ONLYOFFICEポータルでの認証のためのログインドメインは、LDAPドメインに対応します。

LDAPサーバーデータをONLYOFFICEポータルと同期させて、ユーザープロファイルに正しく表示されるようにすることもできます。

LDAPサーバーを使用してユーザーとグループをインポートする方法について詳しくは、こちらの記事をお読みください。

プライベートSMTPサーバーの使用

ONLYOFFICE Workspaceでは、ユーザー通知(例:ポータルやコミュニティの更新、ドキュメントアクセスの許可、プロジェクトの変更など)のデフォルトサーバーはONLYOFFICE SMTPサーバーです。より高いセキュリティのために、独自のSMTPサーバーを使用することをお勧めします。これにより、メッセージがサードパーティのサービスを通過しません。

これを行うには、以下の手順に従ってください:

  1. 設定モジュールを開き、統合セクションでSMTP設定ページを開きます。
  2. SMTPサーバーのドメインとポートを指定します。
  3. ログイン資格情報を指定します。
  4. 受信者のための送信者名と送信者のメールアドレスを指定します。
  5. オプション 。 セキュリティを強化するために、サーバーがサポートしている場合は、SSLを有効にするチェックボックスを選択してください。
    プライベートSMTPサーバーの使用 プライベートSMTPサーバーの使用

SMTPサーバーの設定を完了した後、テストメールを送信ボタンをクリックしてテストメールを送信してみてください。メールが正常に配信された場合は、保存ボタンをクリックしてください。

SMTPサーバーの設定方法について詳しくは、こちらの記事をご覧ください。

ユーザーのログインとその他のアクションの監視

ONLYOFFICE Workspaceを使用すると、ユーザーのアクションやログインを簡単に追跡できます。コントロールパネルを使用して、ユーザーのアクションとログインのリストを確認できます。

ログイン情報はログイン履歴ページに保存されます:

ログイン履歴の追跡 ログイン履歴の追跡

最新の半年間の詳細な統計を表示するには、レポートをダウンロードして開くボタンをクリックしてください。レポートは.xlsxスプレッドシートで開かれます(LoginHistory_ReportStartDate-EndDate.xlsx)

ログイン履歴レポートには、次の詳細が含まれます:ユーザーのIPアドレス、登録されたイベントが発生した際に使用されたブラウザプラットフォーム、イベントの日付と時刻、ログイン/ログアウトを試みたユーザーの名前、アクションが実行されたポータルのページ、特定のアクション(例:ログイン失敗。関連するソーシャルアカウントが見つかりません)。

アクション履歴は監査証跡ページに保存されます:

監査証跡データの受信 監査証跡データの受信

最新の半年間の詳細な統計を表示するには、レポートをダウンロードして開くボタンをクリックしてください。レポートは.xlsxスプレッドシートで開かれます(AuditTrail_ReportStartDate-EndDate.xlsx)

監査証跡レポートには、次の詳細が含まれます:ユーザーのIPアドレス、登録されたイベントが発生した際に使用されたブラウザプラットフォーム、イベントの日付と時刻、操作を実行したユーザーの名前、アクションが実行されたポータルのページ、一般的なアクションタイプ(例:ダウンロード、添付、アクセスの更新)、特定のアクション(例:プロジェクト[製品開発とプロモーション]。タスク[クーポンの配布]。ステータス更新:完了)、変更されたエンティティに関連する製品モジュール

ログイン履歴と監査証跡の両方の保存期間を対応するページで設定することも可能です。

ルートアクセスの無効化

データ漏洩を防ぐために、ルートとしてのログインを許可しない方が良いです。ルートユーザーはシステムのすべてのデータに完全にアクセスできるためです。これはサーバーのターミナルを通じて、ルートログインの許可をいいえに設定することで行えます。

不要なポートの閉鎖

ポータルの機能に必要なポートのみを開いたままにしておくべきです。余分な開放ポートはデータ漏洩の原因となる可能性があります。ONLYOFFICE Workspaceの機能に必要なポートのリストはこちらです。

ファイルバージョン保存のパラメーター調整

データ保護のため、インターネット接続が不安定なユーザーがいる場合、ドキュメントモジュール設定セクションを使用してファイルバージョニングを調整できます。すべての中間バージョンを保持し、更新されたファイルのコピーを自動的に作成するか、変更を適用した後に既存のファイルを更新することが可能です。詳細はこちらをご覧ください。

ドキュメントの権限とポータルアクセス権の設定

特定の作業グループの認可されたメンバーにのみドキュメントへのアクセスを提供する必要があります。必要なドキュメントの近くにある共有ボタンをクリックしてアクセスレベルを調整できます。開いたウィンドウでユーザーを追加し、次のアクセスレベルを設定できます:

  • 読み取り専用,
  • フォームの記入,
  • カスタムフィルター,
  • コメント,
  • レビュー,
  • フルアクセス.

開発者はドキュメントの権限レベルを個別に、より詳細に設定することもできます:ドキュメント履歴へのアクセス禁止、コンテンツのコピー禁止、ドキュメントのダウンロード禁止など。ドキュメントアクセスパラメーターの設定についての詳細はこちらで確認できます。

ポータルアクセス権を設定することも可能です。異なるユーザーやグループに対して特定のモジュールへのアクセスを制限するには、設定モジュールを使用します。セキュリティセクションからアクセス権ページを開く必要があります。そこで管理者を調整し、アクセス権を変更できます。また、そのページの下部で特定のモジュールへのアクセスを許可または禁止することができます。

ドキュメントを安全に扱うためのプライベートルーム

ONLYOFFICEでは、すべてのユーザーがプライベートルームを使用してドキュメントを扱うための安全なワークスペースを作成できます。プライベートルームドキュメントのセクションです。プライベートルーム内の.docx、.xlsx、.pptxオフィスファイルはAES-256暗号化アルゴリズムで暗号化されています。

プライベートルームを使用するには、

  1. コントロールパネルで機能を有効にします。
  2. デスクトップエディターをダウンロードし、アプリケーションのメインページでクラウドに接続します。

ポータル内のプライベートルームで作業するには、ドキュメントモジュールの適切なセクションを使用します。プライベートルームからドキュメントをポータル上で通常の方法で共有することができます。

データ暗号化保護

ONLYOFFICEにはデータ暗号化の機能があり、サーバーバージョンのコントロールパネルを使用して管理できます。

暗号化により、データを機密かつ安全に保存するために変換できます。ONLYOFFICEの暗号化は、データ全体を暗号化するEncrypt-then-MACタイプの暗号化(AES-256-CBC + HMAC-SHA256)に基づいています。AES-256国際データ暗号化標準に準拠しています。

ポータルを暗号化の準備をするには:

  1. ポータルにサインインし、スタートページコントロールパネルアイコンをクリックします。
    または、ポータルの設定に移動し、左側のパネルでコントロールパネルリンクを選択します。
  2. バックアップセクションに切り替え、データをバックアップします。
  3. 自動データバックアップ機能を無効にします。
  4. 静的データ用ストレージを接続CDNとしてストレージを接続の両方にローカルストレージオプションを選択します。
  5. ハードドライブに十分な空き容量があることを確認します。

事前準備が整ったら、次のステップに進むことができます。

ストレージを暗号化するには:

  1. コントロールパネルストレージセクションに切り替えます。
  2. 暗号化プロセスが開始されるときにすべてのアクティブユーザーにメールで通知するために、ポータルが利用できなくなることをユーザーに通知チェックボックスをオンにします。
    暗号化プロセスが正常に完了すると、すべてのアクティブユーザーにもメール通知が送信されます。暗号化プロセス中にエラーが発生した場合、通知ユーザーオプションに関係なく、すべての管理者に暗号化プロセスの失敗のメール通知が送信されます。
  3. ストレージを暗号化ボタンをクリックし、OKをクリックして暗号化プロセスを開始します。
    暗号化が有効になっている場合、新しく作成されたデータアーカイブのバックアップコピーには復号化されたファイルが含まれます。そのようなコピーが復元されると、ファイルは再びディスク上で暗号化されます。

手続きの完了にかかる時間はデータ量に依存します。暗号化プロセス中はすべてのポータルが利用できなくなります。暗号化が終了すると、ポータルデータは作業可能になります。

ストレージを暗号化 ストレージを暗号化

ストレージを復号化するには:

  1. コントロールパネルストレージセクションに切り替えます。
  2. ポータルが利用不可になることをユーザーに通知のチェックボックスをオンにして、復号化プロセスが開始されるときにすべてのアクティブユーザーにメールで通知します。
    復号化プロセスが正常に完了すると、すべてのアクティブユーザーにもメール通知が送信されます。復号化プロセス中にエラーが発生した場合、ユーザー通知オプションに関係なく、すべての管理者に失敗した復号化プロセスのメール通知が送信されます。
  3. ストレージを復号化ボタンをクリックし、OKをクリックして復号化プロセスを開始します。

手順の完了に必要な時間はデータ量に依存します。暗号化プロセス中はすべてのポータルが利用不可になります。暗号化が終了すると、ポータルデータは作業可能になります。

ストレージを復号化 ストレージを復号化
次の項目が含まれている記事:タグ:
すべてのタグを見る