search

shield-checkセキュリティ

SafePassword の管理者コンソールには、組織のセキュリティポリシーをネットワーク単位で管理できるようにするため、セキュリティ メニューが追加されました。このメニューでは、ユーザーがどの場所からサービスへアクセスできるか、またどの場所からファイルをダウンロードできるかを、IP ベースで制御できます。管理者コンソールの左側メニューで セキュリティ を選択すると、右側の設定領域に アクセス制御ファイル制御 の 2 つのタブが表示されます。

  • アクセス制御: 承認された IP 範囲からのみ SafePassword サービスにアクセスできるように制限します。

  • ファイル制御: 承認された IP 範囲外ではファイルのダウンロードを遮断します。

  • ファイルアクセスレベル: ファイル制御では、IP 範囲ごとにファイル利用レベルを個別に設定できます。

この 2 つの機能は似ているように見えますが、適用範囲は異なります。アクセス制御はサービス自体への入口を制限する機能であり、ファイル制御はサービスの利用自体は許可しつつ、ファイルダウンロードのみを制御する機能です。そのため、組織のポリシーに応じてどちらか一方だけを使うこともできますし、より強いセキュリティが必要な場合は両方を併用することもできます。

hashtag
画面構成

セキュリティメニューを開くと、上部に検索エリアがあり、その下に アクセス制御 タブと ファイル制御 タブが並んで表示されます。各タブでは、設定スイッチ、登録 ボタン、適用 ボタン、そして登録済みの承認 IP 一覧を確認できます。

オフィスパスワード管理者コンソールのセキュリティメニュー

hashtag
アクセス制御

アクセス制御は、組織が承認した IP 範囲からのみ SafePassword にアクセスできるように制限する機能です。この機能を有効にすると、登録され、かつ有効化された承認 IP 帯域内で使用している端末からのみ、ログインとサービス利用が許可されます。反対に、承認されていない IP アドレスから接続した場合は、サービスへのアクセスが遮断されます。

hashtag
アクセス制御の目的

アクセス制御は、次のような環境で役立ちます。

  • 会社のオフィスや指定された事業所ネットワークからのみ接続を許可したい場合

  • 外部ネットワークからのログイン自体を防ぎたい場合

  • 組織のセキュリティポリシー上、許可されたネットワークでのみアカウント利用を認める必要がある場合

この機能は単なる通知ではなく、実際に接続可能かどうかを決定するポリシーです。そのため、有効化する前に承認 IP 範囲をあらかじめ正確に確認し、指定しておく必要があります。

hashtag
アクセス制御の設定方法

アクセス制御タブの上部には、承認された IP 範囲からのみアクセスを許可 スイッチがあります。このスイッチをオンにすると画面に案内文が表示され、この機能を有効にすると承認された IP 範囲からのみアクセスが許可されること、また現在ログイン中のセッションが自動的にログアウトされる可能性があることが案内されます。

設定手順は次のとおりです。

  1. セキュリティ > アクセス制御 タブを選択します。

  2. 承認された IP 範囲からのみアクセスを許可 スイッチをオンにします。

  3. 右側の +登録 ボタンをクリックし、承認 IP 範囲の登録 ポップアップで 名前IP 範囲 を入力し、使用 スイッチをオンにします。

circle-info

このポップアップには、公開 IP 範囲のみ登録できます という案内が表示されます。つまり、アクセス制御ポリシーはプライベート IP ではなく、外部から識別可能な公開 IP 帯域を基準に設定する必要があります。名前 は管理しやすくするための識別値で、たとえば本社、支社、VPN、IDC など、運用目的に合った名称にすると便利です。IP 範囲 は開始アドレスと終了アドレスを入力して 1 つの承認帯域を構成します。使用 をオンにすると、その範囲が実際のポリシーに反映され、オフにすると一覧には保存されても適用対象からは除外される場合があります。

  1. アクセスを許可する IP 範囲を確認して 登録 ボタンを押し、ポップアップを閉じます。

  2. 承認された IP アドレス一覧に登録済みの IP 帯域が表示されたら、アクセス制御を有効にするため 適用 ボタンをクリックします。

アクセス制御タブの基本画面
承認 IP 範囲登録ポップアップ

hashtag
アクセス制御に設定された承認 IP アドレス項目の編集と削除

登録された承認 IP 帯域を一覧で修正したい場合は、対象の IP 名称の右側に表示される メニューから 編集削除 を使用できます。

アクセス制御に設定された承認 IP アドレス項目の編集と削除

hashtag
設定適用時の注意事項

アクセス制御は、単にスイッチをオンにしただけでは有効なポリシーにはなりません。実際に使用できる承認 IP 範囲が、少なくとも 1 件以上必要です。登録された IP がない場合や、登録されていても有効化された承認 IP 範囲が 1 件もない状態で 適用 ボタンをクリックすると、警告ポップアップが表示されます。このポップアップには 承認された IP 範囲がありません というメッセージとともに、少なくとも 1 件の IP 範囲を追加して有効化しなければこの設定を利用できないことが案内されます。

この動作は、管理者が誤ってすべてのユーザーの接続を遮断してしまう状況を防ぐための安全装置です。

承認された IP 範囲を登録していない状態でアクセス制御を適用すると、少なくとも 1 件の有効な IP 範囲を登録するよう警告ポップアップが表示されます。

hashtag
アクセス遮断時のユーザー画面

アクセス制御が有効化された後、ユーザーが承認されていない IP アドレスから接続すると、通常のサービス画面の代わりに遮断案内画面が表示されます。この画面では、現在の IP アドレスからのアクセスは組織のセキュリティポリシーによって許可されていないこと、セキュリティ上の理由でセッションが自動的にログアウトされたこと、そして許可された IP アドレスから再度ログインする必要があることが案内されます。

ユーザーの立場では単なるエラーのように見える場合があるため、マニュアルでは、この画面がサーバー障害やアカウントエラーではなく、組織のセキュリティポリシーによる正常な遮断画面 であることを明確に説明しておくと分かりやすくなります。

承認されていない IP アドレスから接続した場合に表示されるアクセス遮断画面

hashtag
ファイル制御

ファイル制御は、承認された IP 範囲外からのファイルダウンロードを遮断する機能です。アクセス制御とは異なり、サービス自体へのアクセスは遮断しませんが、ファイル持ち出しに関係する操作のみを別途制御できる点が特徴です。つまり、ユーザーはサービスにログインして内容を確認できても、接続元が承認された IP 範囲外であれば、ファイルダウンロードは制限される場合があります。

hashtag
ファイル制御の目的

ファイル制御は、次のような場面で効果的です。

  • 外部アクセスは許可したいが、ファイルダウンロードは制限したい場合

  • オフィスネットワークではダウンロードを許可し、外部ネットワークではプレビューのみを許可したい場合

  • ファイル流出リスクを接続場所によって異なる形で管理したい場合

この機能は、在宅勤務、協力会社からの接続、外部業務環境など、さまざまな接続場所を許可しなければならない組織で特に有用です。

hashtag
ファイル制御の設定方法

ファイル制御タブの上部には、承認された IP 範囲外からのファイルダウンロードを遮断 スイッチがあります。この機能をオンにすると、承認された IP 範囲外の IP アドレスからは、すべてのファイルダウンロードが遮断されます。画面には、承認された IP 範囲外の IP アドレスからのすべてのファイルダウンロードを遮断するという案内文も表示されるため、管理者はこの設定が単なる参考情報ではなく、実際のダウンロードポリシーであることをすぐに理解できます。

設定手順は次のとおりです。

  1. ファイル制御 タブを選択します。

  2. 承認された IP 範囲外からのファイルダウンロードを遮断 スイッチをオンにします。

  3. 登録 ボタンをクリックして承認 IP 範囲を追加します。登録ポップアップについては、以下の「ファイル制御用の承認 IP 登録」セクションで詳しく説明します。

circle-info

hashtag
ファイル制御用の承認 IP 登録

ファイル制御でも 登録 ボタンをクリックすると、登録ポップアップが開きます。この画面にも 公開 IP 範囲のみ登録可能 という案内が表示されます。入力項目は次のとおりです。

  • 名前

  • IP 範囲

  • ファイルアクセスレベル

アクセス制御とは異なり、ファイル制御では ファイルアクセスレベル が必須項目として含まれています。これがファイル制御における最も重要な違いです。

  1. 各 IP 範囲に対して適切な ファイルアクセスレベル を選択します。

  2. 登録 ボタンをクリックしてポリシーを保存します。

  1. 各 IP 範囲に対して適切な ファイルアクセスレベル を選択します。

  2. 登録 ボタンをクリックしてポリシーを保存します。

ファイル制御タブの基本画面

hashtag
ファイルアクセスレベル

ファイル制御では、承認された IP 範囲ごとに、次の 2 つのレベルのいずれかを選択できます。

  • プレビュー & ダウンロード

  • プレビューのみ

各レベルの意味は次のとおりです。

  • プレビュー & ダウンロード: その承認 IP 範囲では、ファイル内容を確認でき、ファイルダウンロードも許可されます。

  • プレビューのみ: その承認 IP 範囲では、ファイル内容の閲覧のみ可能で、ダウンロードは許可されません。

つまり、ファイル制御は単に「許可」または「遮断」で分ける機能ではなく、承認されたネットワーク内でもファイル利用範囲を細かく分けられる機能です。たとえば、本社ではダウンロードまで許可し、外部協力ネットワークではプレビューのみを許可する、といった形でポリシーを分けられます。

ファイルアクセスレベルのドロップダウン選択
承認された IP 範囲に対して、プレビュー & ダウンロードまたはプレビューのみのいずれかを指定できます。

hashtag
ファイル制御に設定された承認 IP アドレス項目の編集と削除

登録された承認 IP 帯域を一覧で修正したい場合は、対象の IP 名称の右側に表示される メニューから 編集削除 を使用できます。

ファイル制御に設定された承認 IP アドレス項目の編集と削除

hashtag
設定適用時の注意事項

ファイル制御も、承認 IP を登録していない状態では適用できません。ファイル制御を有効化した後、承認された IP 範囲が 1 件もない状態で 適用 ボタンをクリックすると、アクセス制御と同じく 承認された IP 範囲がありません という警告ポップアップが表示されます。このポップアップでは、少なくとも 1 件の有効な承認 IP 範囲を追加しなければこの設定を利用できないことが案内されます。

つまり、ファイル制御も実務上は、まずポリシー対象を登録し、その後で機能を有効化する順序で作業するのが安全です。

hashtag
外部アクセス基本ポリシー

管理者コンソールの セキュリティ メニューで ファイル制御 タブを開くと、従来の指定 IP アドレス範囲ごとのファイルアクセスポリシーに加えて、外部アクセス基本ポリシー 項目が追加されています。この機能は、管理者が個別に登録した IP アドレス範囲以外の外部環境から接続したユーザーに対して、どのファイルアクセス権限を付与するかを決めるための基本ポリシーです。

従来のファイル制御では、特定の IP 範囲を登録した後、それぞれの範囲に対してアクセスレベルを設定できました。たとえば、本社ネットワーク、支社ネットワーク、または特定の VPN 帯域を登録し、その範囲内では プレビューおよびダウンロードを許可、または プレビューのみ許可 といったポリシーを適用することができました。しかし、実際の運用環境では、登録済み IP 範囲以外の外部から接続するケースも発生します。その場合に、外部接続を一律に遮断するのか、一部の機能のみを許可するのか、あるいは全面的にアクセスを許可するのかを、一貫したルールとして定めておく必要があります。外部アクセス基本ポリシー は、まさにこのような状況のために用意された基本ポリシー設定機能です。

つまり、この機能は 「指定された IP アドレスに含まれない残りすべての接続に対して、どのようなファイル権限を付与するか」 を定めるための項目です。管理者は、登録済み IP 範囲に対しては個別ポリシーを維持しながら、それ以外の環境には共通の基本ポリシーを適用できます。

hashtag
外部アクセス基本ポリシーの設定

この機能は、次の経路で確認できます。

  • 管理者コンソール > セキュリティ > ファイル制御

ファイル制御画面の下部には、外部アクセス基本ポリシー のオプションが表示されます。この領域では、指定された IP の外部から接続するユーザーに対する権限 を選択でき、選択されたポリシーは登録済み IP 範囲に含まれないすべての接続に対して、基本値として適用されます。

ファイル制御画面下部の外部アクセスの基本方針。指定されたIP範囲に含まれていない接続に適用するデフォルトのファイル権限を選択できます。

hashtag
外部アクセス基本ポリシーの動作方式

外部アクセス基本ポリシーは、登録済み IP 範囲ポリシーを置き換える機能ではなく、登録済み IP 範囲に該当しない場合にのみ適用される基本ポリシー です。

そのため、まずシステムは、現在の接続 IP がファイル制御に登録された特定の IP 範囲に含まれているかどうかを確認します。含まれている場合は、その IP 範囲に設定された個別のアクセスレベルが優先して適用されます。反対に、どの登録 IP 範囲にも該当しない場合は、その時点で 外部アクセス基本ポリシー で選択した権限が適用されます。

たとえば、ファイル制御のアクセスポリシー設定に次のように登録したとします。

  • IP 範囲: 192.168.0.0 ~ 192.168.0.255

  • アクセスレベル: プレビューおよびファイルダウンロード

この場合、上記の範囲内から接続したユーザーは、登録されたポリシーに従ってファイルをプレビューでき、ダウンロードも許可されます。しかし、この範囲外の IP アドレスから接続した場合は、該当する登録 IP ポリシーがないため、外部アクセス基本ポリシー が適用されます。

つまり、外部アクセス基本ポリシーで何を選択したかによって、その外部ユーザーに許可されるファイルアクセスレベルが決まります。

この構造は、実務上とても重要です。登録済みの内部ネットワークや信頼済みネットワークには広い権限を与え、それ以外の外部ネットワークには制限付き権限または遮断ポリシーを与えるという形で、ポリシーを段階的に運用できるためです。

hashtag
選択可能な外部アクセス基本ポリシー

外部アクセス基本ポリシーでは、次の 3 つのオプションのいずれかを選択できます。

  • アクセス遮断 – すべてのファイルに対するアクセスなし

  • プレビューのみ – Office 文書のみプレビュー可能

  • フルアクセス – すべてのファイルのプレビューおよびダウンロードを許可

各オプションの意味は次のとおりです。

1. アクセス遮断 – すべてのファイルに対するアクセスなし

このオプションを選択すると、指定された IP 範囲の外部から接続したユーザーは、ファイルにアクセスできません。 つまり、登録された承認 IP 範囲に含まれないすべての外部接続では、ファイルの閲覧とダウンロードの両方が制限されます。

このポリシーは、最も厳格な外部アクセス制御方式です。主に次のような場合に適しています。

  • 会社内部ネットワークまたは指定された業務ネットワークでのみファイルを扱わせたい場合

  • 外部ネットワークからのファイル閲覧自体を防ぐ必要がある場合

  • 機密資料の外部露出リスクを最小限に抑えたい場合

登録済みの信頼 IP 範囲内では既存ポリシーが適用され、それ以外の環境ではファイルをまったく利用できなくなります。

2. プレビューのみ – Office 文書のみプレビュー可能

このオプションを選択すると、指定された IP 範囲の外部から接続したユーザーは、ファイルをダウンロードできず、一部の文書についてはプレビューのみ可能になります。

指定された IP 範囲以外の外部ユーザーは、サポートされている Office 文書形式に限って内容を画面上で確認でき、実際のダウンロードは許可されないポリシーです。

このポリシーは次のような場合に適しています。

  • 外部から文書内容を確認する必要はあるが、ファイル持ち出しは防ぎたい場合

  • 在宅勤務や出張環境で資料の閲覧は許可しつつ、保存は制限したい場合

  • 協力会社または外部接続ユーザーに対して、文書確認権限のみを付与したい場合

つまり、このオプションは、業務上の確認は可能にしつつ、資料流出の可能性は抑える折衷型ポリシーといえます。

3. フルアクセス – すべてのファイルのプレビューおよびダウンロードを許可

このオプションを選択すると、指定された IP 範囲の外部から接続したユーザーも、すべてのファイルに対してプレビューとダウンロードが可能になります。

つまり、登録済み IP 範囲外であってもファイル利用権限を制限せず、内部ユーザーに近いレベルで許可するポリシーです。

このポリシーは、次のような環境で検討できます。

  • 外部接続が非常に頻繁であり、接続場所によるファイル制御が実質的に不要な場合

  • 組織の構成員がさまざまなネットワーク環境で自由に業務を行う必要がある場合

  • 指定された IP 範囲は優先ポリシーとして扱い、それ以外の環境も基本的に許可したい場合

ただし、このオプションはセキュリティレベルが最も緩い形となるため、組織のセキュリティ要件を十分に確認したうえで使用する必要があります。

hashtag
登録済み IP ポリシーと外部アクセス基本ポリシーの関係

ファイル制御は、現在では 2 段階で動作すると考えると分かりやすくなります。

最初の段階では、ユーザーの現在の接続 IP が、管理者が直接登録した指定 IP 範囲に含まれているかを確認します。 次の段階では、登録済み範囲に含まれていない場合に、外部アクセス基本ポリシー で選択した権限を適用します。

そのため、ポリシーの優先順位は次のように理解できます。

  1. 登録済み IP 範囲ポリシーを優先適用

  2. 該当する登録 IP がない場合は外部アクセス基本ポリシーを適用

たとえば、次のように運用できます。

  • 本社 IP 帯域: プレビューおよびダウンロードを許可

  • 支社 IP 帯域: プレビューのみ許可

  • それ以外の外部接続: アクセス遮断

このように設定すると、信頼レベルの高いネットワークにはより広いファイル権限を付与し、信頼されていない外部環境には、より制限されたポリシーを自動的に適用できます。

hashtag
設定方法

外部アクセス基本ポリシーは、ファイル制御画面で次の順序で設定できます。

  1. 管理者コンソール > セキュリティ > ファイル制御 に移動します。

  2. 必要に応じて、画面上部の指定 IP アドレス一覧に、信頼する IP 範囲を先に登録します。

  3. 画面下部の 外部アクセス基本ポリシー 領域で、外部ユーザーに適用する基本権限を選択します。

  4. 希望するオプションを選択した後、適用 ボタンをクリックします。

ここで重要なのは、外部アクセス基本ポリシーも、単にオプションを選択するだけでは完了せず、実際に反映するには必ず 適用 ボタンをクリックする必要があるという点です。

ファイル制御の外部アクセス基本ポリシー設定画面。これは、外部アクセスユーザーに対してレビューのみを選択し、[適用]ボタンでポリシーを保存した場合です。

hashtag
アクセス制御とファイル制御の違い

両機能はいずれも IP ベースのポリシーですが、実際に制御する範囲は明確に異なります。

  • アクセス制御 は、サービス自体へのアクセスを制限します。

  • ファイル制御 は、サービス利用は許可しつつ、ファイルダウンロードを制限します。

  • ファイル制御 では、承認された IP 範囲内でもファイル利用レベルを分けられます。

分かりやすく言えば、アクセス制御は「誰がこのサービスに入れるか」を決める機能であり、ファイル制御は「入った後にファイルをどこまで使えるか」を決める機能です。そのため、組織のポリシーが「外部アクセスそのものを禁止したい」であればアクセス制御が適しており、「外部アクセスは許可するがファイル持ち出しは防ぎたい」であればファイル制御が適しています。

実際に適用・運用する際は、次の点をあらかじめ確認しておくことをお勧めします。

  • 登録対象は 公開 IP 範囲 である必要があります。

  • 登録しただけでは十分ではなく、実際に適用するには 適用 ボタンをクリックする必要があります。

  • アクセス制御を適用すると、現在ログイン中のセッションが自動的にログアウトされ、再度ログインが必要になる場合があります。

  • ファイル制御では、IP 範囲ごとにファイルアクセスレベルを異なる形で設定できます。

  • 該当する IP ポリシーを適用する前に、管理者自身の接続元 IP が許可範囲に含まれているかをあらかじめ確認しておくと安全です。

セキュリティメニューは単なる設定画面ではなく、SafePassword のサービスアクセス経路とファイル利用ポリシーを組織の規定に合わせて統制するための中核的な管理機能です。アクセス制御とファイル制御を適切に組み合わせることで、許可されたネットワークからのみサービスへアクセスできるようにしながら、接続場所に応じてファイル利用レベルを細かく差別化する、より精緻なセキュリティ運用が可能になります。

Previousログ管理Next管理者アクションに関する注意事項

Last updated