SharePointセキュリティ-パート1:はじめに

誰もがエンタープライズシステムにおけるセキュリティの高い役割を認識していると思います。 このようなシステムは、組織の情報の中央リポジトリです。 これにより、組織のドキュメントを構造化された形式で表示して、検索を簡素化できます。 システムのタイプ(CRM、ERP、ECM)に応じて、情報の意味は次のとおりです。

-従業員に関する情報。

-顧客の連絡先情報。

-契約書およびその他の重要な文書。

-レポートと統計。

-財務情報。



第三者によるこの情報へのアクセスは、重大な結果につながる可能性があります。 したがって、セキュリティシステムの主なタスクは、情報の整合性とアクセス可能性を確保するだけでなく、不正アクセスから保護することです。



物事は明白で理解できるように思われ、誰もが産業グレードのソフトウェア製品におけるセキュリティの重要性を理解していますが、実際には実装されたソリューションのセキュリティは常に適切なレベルではありません 。 これにはいくつかの理由があるように思えます。



最初の明白な理由は、規模によるシステムの複雑さです。 これから逃れることはできません。 この種のシステムは通常、相互作用する多くのコンポーネントで構成されています。 これは確かにセキュリティシステムに影響を与えます。通常、そのような接続ごとに、セキュリティの問題を考慮する必要があります。アカウントの作成と構成、権限の付与、暗号化の構成など



このサイズのシステムは、多くの場合、オペレーティングシステムのコンポーネントおよびサードパーティのプログラムと密接に統合されています。 これには、そのようなシステムを実装および保守する管理者が経験に裏付けられた深刻な知識を持っていることが必要です。 どんなシステムやテクノロジーの場合でも、エンタープライズシステムの場合でも、ドライ理論は十分ではありません。 そして、そのようなシステムの実装とサポートの経験を持つ管理者を見つけるのは簡単ではありません。



通常ほとんど考えられない2番目の理由は、システムの実装前のセキュリティ計画の欠如です。 そして、このステップは非常に重要です。 多くのセキュリティ問題は、システムのインストール後に対処し始めるという事実に関連しています。 多くの場合、インストール中にデフォルト設定が適用されますが、特定の組織の要件をほとんど満たしていないという事実は考慮されていません。 そして、それぞれのケースは個別に考慮する必要があります。



セキュリティ計画の欠如の理由は、多くの場合、プロジェクトの納期が厳しいことです(ビジネスコンポーネントをより重視しています)。 ただし、理由がデフォルト設定の普遍性と特定のケースへの適用性に対する「神聖な信仰」である場合があります。



SharePointはエンタープライズシステムなので、上記のトピックも適用されます。 この一連の記事の目的は、このMicrosoft製品の基本的なセキュリティ情報をまとめることです。



記事の情報は、次のバージョンのSharePointに関連しています。MicrosoftOffice SharePoint Server 2007およびWindows SharePoint Services 3.0



SharePointのセキュリティは、いくつかの論理レベルで実装されます(Microsoftの記事では、多層防御という用語がよく使用されます)。 本格的で安全なポータルおよびアプリケーションを作成するには、各レベルのセキュリティシステムを明確に理解する必要があります。



SharePointには多くのコンポーネントが含まれており、サードパーティ製品との簡単な統合をサポートしていますが、主にWebアプリケーション用のプラットフォームです。 Webアプリケーションプラットフォームとは、イントラネットポータルとそのコンポーネント(ページ、入力フォーム、ワークプロセス、検索エンジン、フォーラム、ブログ、Wikiなど)を簡単に作成および構成するためのシステムを意味します。



SharePointでは、アプリケーションのイントラネットに加えて、匿名アクセスと無料登録、およびエクストラネットソリューションを備えた通常のインターネットサイトを作成することもできます。 これは、特に認証および暗号化方式の選択において、SharePointセキュリティシステムにも反映されます。



SharePointの特徴的な機能は、オブジェクトの作成、削除、表示、およびその他の操作を行う権利の分配における最大限の柔軟性です。 ユーザーのグループ、特定のユーザー、特定のドキュメントの両方に権限を付与できます。 オブジェクトへの権利の読み書きができないと、「セキュリティホール」につながり、システムのハッキングや将来の情報の損失につながる可能性があります。 したがって、権利と役割の分配システムがどのように配置されているかを明確に理解し、組み込みのユーザーグループの目的と権利を知る必要があります。



SharePointは、サードパーティのアプリケーション、システム、データベースと統合できることでも知られていますが、これはセキュリティシステムに確実に影響します。 便宜上、記事の情報はいくつかの部分に分かれています。



上記のように、重要なポイントは、セキュリティの事前計画、サービスのアカウントの適切な選択です。 これらの問題、およびセキュリティアーキテクチャの一般的な説明については、記事の第2部で説明します。



多くの場合、SharePointやこのレベルの他のシステムのセキュリティを構成するとき、主な焦点は、外部からの不正アクセスからシステムを保護することです。 ただし、これに加えて、すでに許可されているユーザーのアクセス権の制限に注意する価値があります。 このトピックについては、記事の第3部で説明します。 SharePointサイトのセキュリティ保護の基本(ロール、グループ、権利、権利レベル)、および標準ユーザーグループについて説明します。



この記事の第4部では、SharePoint Security APIについて説明します。 この記事には、ユーザー、ユーザーの権利、グループの作成、削除、およびオブジェクトへのアクセス権の割り当てに関するコード例が含まれます。 コードを使用したロールの継承と偽装の問題も考慮されます。



SharePointは、リスト、コンテンツタイプ、ワークフロー、フォーム、および最終的なWebパーツのカスタム記述を開発することにより、機能を拡張する機能で知られています。 インターネットにはこの問題に関する記事がたくさんありますが、残念ながら、独自のコンポーネントを開発する際にセキュリティの問題に触れているのはごく一部です。 記事の5番目の部分では、この問題をさらに詳しく取り上げます。 CAS(コードアクセスセキュリティ)、信頼レベル、および安全管理の詳細な説明が提供されます。 また、SharePointアカウント(ワークフロー、イベントリスナー、タイマージョブ)を実行するアカウントに関する情報も提供します。



ただし、この記事では、SharePointセキュリティの問題に関するすべての情報が提供されるわけではないことに注意してください。 したがって、テキストと各記事の最後には、特定の問題の詳細な説明が記載されているリソースへのリンクが記載されています。



PSこの紹介の「水っぽい性質」にもかかわらず、以下の記事は本質的に技術的であり、主にSharePointサーバーの管理者およびSharePoint用のアプリケーションを開発してそのAPIを使用するプログラマーを対象としています。



コメント、コメント、健全な批判を歓迎します。 ご清聴ありがとうございました。



All Articles