FileMaker 18 セキュリティガイド: セキュリティオプションを構成するためのベストプラクティス
FileMaker セキュリティの概要
このガイドについて
このガイドは、FileMaker プラットフォームで使用可能なセキュリティ機能のほか、ソリューション開発者、サーバー管理者、または IT プロフェッショナルとしてこれらのセキュリティ機能を FileMaker ソリューションに適用するための手順について説明します。
セキュリティのコンプライアンスおよび証明書の必要条件に応じて追加の手順が必要となる場合があります。これらの必要条件を十分に把握することはお客様の責任です。
最新の FileMaker セキュリティ更新については、FileMaker ナレッジベースの「FileMaker セキュリティ更新」を参照してください。
メモ
- 「FileMaker Cloud」は FileMaker Pro Advanced、FileMaker Go、および FileMaker WebDirect を使用するカスタム App をクラウド上で使用するためのサービスです。FileMaker Cloud では FileMaker ID と統合されたサインオンシステムを使用してユーザを認証します。FileMaker Cloud は FileMaker, Inc. から直接提供されます。
- 「FileMaker Cloud for AWS」は FileMaker Pro Advanced、FileMaker Go、および FileMaker WebDirect を使用するカスタム App をクラウド上で使用するためのサービスです。FileMaker Cloud for AWS は AWS (Amazon Web Services) クラウド上で実行され、AWS Marketplace から提供されます。
- 「FileMaker Cloud 製品」は FileMaker Cloud および FileMaker Cloud for AWS の両方を意味します。
- 「Admin Console」は特定の製品について説明する場合以外、FileMaker Server、FileMaker Cloud for AWS、および FileMaker Cloud の Admin Console を意味します。「FileMaker Cloud Admin Console」は特定の製品について説明する場合以外、両方の FileMaker Cloud 製品の Admin Console を意味します。
- 「カスタム App」、「ソリューション」、「データベース」、および「ファイル」は FileMaker 製品を使用して作成および操作するものを意味します。
- FileMaker Cloud 製品については、プロダクトドキュメンテーションセンターの FileMaker Cloud 製品のマニュアルを参照してください。
FileMaker セキュリティの機能
FileMaker プラットフォームの機能は、FileMaker Pro Advanced ファイル内でのデータアクセス、処理、および開発を制御するのに役立ちます。主な機能は次のとおりです:
- アカウントによる認証: FileMaker プラットフォームは資格情報を保護するためにソリューション内に保存された資格情報を暗号化します。ユーザを Active Directory、Open Directory、または OAuth アイデンティティプロバイダを使用して認証することもできます。FileMaker Cloud で共有されるソリューションの場合、ユーザを FileMaker ID アカウントで認証します。
- アクセス権セットによるアクセス制御: ソリューションへのアクセスレベルを決定する権限を定義します。必要な数のアクセス権セットを定義できます。
- ディスク上および転送中のデータの暗号化: ソリューション内に保存されたデータを暗号化できます。さらに、FileMaker Server または FileMaker Cloud 製品と FileMaker Pro Advanced、FileMaker Go、FileMaker WebDirect、FileMaker Data API、ODBC、JDBC、および OData 対応クライアントアプリケーションとの間のデータの SSL (Secure Socket Layer) 暗号化を要求することができます。データが暗号化されていない場合、FileMaker Cloud は自動的にデータを暗号化します。
- Server の監視と管理: Admin Console を使用して、ソリューションへのアクセスの監視、アイドルユーザの接続解除、ソリューションのバックアップの作成を実行できます。FileMaker Cloud で共有されるソリューションの場合、FileMaker ID チームマネージャは FileMaker Customer Console を使用してチームにユーザを追加、およびソリューションにアクセスできるユーザのグループを管理できます。
FileMaker プラットフォームは統一されたセキュリティモデルを採用しており、1 つのソリューション向けに確立したセキュリティはすべてのクライアントに反映されます。
FileMaker Pro Advanced を使用してソリューション内で定義されたセキュリティ設定は、ソリューション内に保存された情報とスキーマ (レイアウト、テーブル、フィールド、リレーションシップ、およびスクリプト) にのみ適用されます。
FileMaker Server および FileMaker Cloud 製品で構成されたセキュリティ設定は展開に固有で、サーバーによって共有されているすべてのソリューションに適用されます。
システム必要条件
FileMaker Pro Advanced システム必要条件および FileMaker Server システム必要条件を参照してください。
ソリューション開発者にとってのセキュリティ
概要
FileMaker Pro Advanced 機能を使用して、ユーザの認証、ソリューションへのアクセスの制限、データの暗号化、機能拡張を安全な方法で実行することで、FileMaker Pro Advanced でデザインしたソリューションのセキュリティをさらに強化できます。
ユーザの認証
認証について
FileMaker Pro Advanced ソリューションでは、アカウント名とパスワードの組み合わせを使用してユーザを認証する必要があります。FileMaker Pro Advanced で作成したアカウントアクセスエントリごとに関連付けられたアクセス権セットに基づいてアクセス権が付与されます。「アクセス権セットの定義」を参照してください。
各ユーザまたはグループに固有のアカウントアクセスエントリを作成します。これによりソリューションで誰が個別のレコードの作成や変更、またはその他の操作を行っているかを追跡できます。この情報を追跡するには、入力値の自動化フィールド設定を使用するか、計算とスクリプトで Get (アカウント名) 関数を使用します。「関数、スクリプト、およびスクリプトトリガを使用したセキュリティの強化」を参照してください。
FileMaker ソリューションは内部認証、外部認証サーバー、OAuth アイデンティティプロバイダ、または FileMaker Cloud ホストの場合は FileMaker ID アイデンティティプロバイダでアカウントを認証できます。
- 内部認証では、アカウント名とパスワードはソリューション内に保存されます。ソリューションのセキュリティはサーバーソフトウェアではなくすべて FileMaker Pro Advanced 内で設定されるため、より迅速かつ簡単にアカウントを管理できます。これは 「FileMaker ファイルアカウント」と呼ばれ、FileMaker Cloud 以外のすべてのホストでサポートされています。FileMaker Pro Advanced ヘルプの「FileMaker ファイルアカウントの編集」を参照してください。
- Open Directory または Active Directory での外部認証または OAuth アイデンティティプロバイダ認証では、FileMaker Pro Advanced はユーザ名とグループ名のみを保存します。FileMaker クライアントは外部サーバーまたは OAuth アイデンティティプロバイダに接続してユーザアカウントの資格情報を認証します。FileMaker Server または FileMaker Cloud for AWS でソリューションを共有する必要があり、外部認証または個々の OAuth アイデンティティプロバイダを許可するようにホストを構成する必要があります。「外部認証の設定」および「OAuth アイデンティティプロバイダ認証の設定」を参照してください。
-
FileMaker ID 認証では、FileMaker Pro Advanced はアカウントアクセスエントリを作成した各 FileMaker ID ユーザまたはグループの名前および UUID (Universally Unique Identifier) を保存します。内部で UUID を使用してユーザおよびグループを識別するため、FileMaker ID ユーザ名 (電子メールアドレス) またはグループ名を変更しても、ソリューション開発者が FileMaker Pro Advanced ファイル内で変更する必要はありません。
FileMaker クライアントは FileMaker ID アイデンティティプロバイダに接続してユーザアカウントの資格情報を認証します。ソリューションは FileMaker Cloud で共有されている必要があります。FileMaker ID チームマネージャは FileMaker Customer Console でホストが関連付けられているチームにユーザを追加する必要があります。チームマネージャはユーザのグループを作成することもできるため、ソリューション開発者が FileMaker Pro Advanced でグループにアカウントアクセスを付与すれば、ユーザが追加または取り除かれるたびにソリューションを更新する必要はありません。「FileMaker ID 認証の設定」を参照してください。
デフォルトのアカウントについて
各ソリューションには最初に Admin とゲストの 2 つの FileMaker ファイルアカウントが含まれます。
-
Admin アカウントではソリューション内のすべてのものへのアクセスが許可されます。デフォルトでは、このアカウントには [完全アクセス] アクセス権セットが割り当てられます。このアカウントは完全に編集可能です。名前の変更、パスワードの割り当て、アカウントの非アクティブ化が可能です。Admin アカウントは削除できますが、アクセス権セットを完全に取り除かない限り、ファイルには少なくとも 1 つの [完全アクセス] アクセス権セットを持つアカウントが必要です。
デフォルトでは Admin アカウントにパスワードはありません。FileMaker Pro Advanced で最初に作業を開始するときにパスワードを割り当てます。「Admin アカウントへのパスワードの割り当て」を参照してください。
-
ゲストアカウントを使用すると、ユーザはアカウント情報を入力せずにファイルにアクセスできます。デフォルトではこのアカウントには [閲覧のみアクセス] アクセス権セットが割り当てられますが、任意のアクセス権を割り当てることもできます。
最初は、ゲストアカウントは非アクティブです。また、ゲストアカウントの削除、ゲストアカウント名の変更、およびパスワードの割り当てを行うことはできません。
Admin アカウントへのパスワードの割り当て
新しいソリューションを作成すると、FileMaker Pro Advanced では [完全アクセス] アクセス権セットを持つ Admin アカウントが作成されます。この Admin アカウントにはパスワードはありません。
データおよびデータベーススキーマへの不正アクセスを防ぐために必ずこのアカウントにパスワードを割り当ててください。
FileMaker Pro Advanced ヘルプの「FileMaker ファイルアカウントの編集」および「強力なパスワードの使用」を参照してください。
ゲストアカウントの無効化
ソリューションに必要でない限りゲストアカウントは有効にしないでください。ゲストアカウントを有効にすると、短期間に多数のユーザがゲストアカウントにサインインした場合にすぐに最大接続数に達してしまう可能性があります。
FileMaker Pro Advanced ヘルプの「FileMaker ファイルアカウントの編集」を参照してください。
アカウントアクセスの作成
FileMaker Pro Advanced の [セキュリティの管理] ダイアログボックスでアカウントアクセスエントリを作成する場合は、最初にアカウントタイプを選択してから設定を指定します。
-
FileMaker ファイル: アカウント名、パスワード、およびアクセス権セットを指定します。ローカルファイルおよび FileMaker Cloud for AWS または FileMaker Server で共有されるファイルではサポートされますが、FileMaker Cloud ではサポートされません。
一時的なパスワードを指定してユーザにパスワードの変更を要求することができます。[セキュリティの管理] ダイアログボックスで [次回サインインでパスワード変更を要求] を選択します。
パスワードは一方向ハッシュを使用して保存されます。つまり、パスワードはプレーンテキストとして保存されません。パスワードはリセットできますが、修復することはできません。
- 外部サーバー: グループ名およびアクセス権セットを指定します。FileMaker Server で共有されるファイルでのみサポートされます。「外部認証の設定」を参照してください。
- OAuth アイデンティティプロバイダ: ユーザ名またはグループオブジェクト ID およびアクセス権セットを指定します。FileMaker Server または FileMaker Cloud for AWS で共有されるファイルでのみサポートされます。「OAuth アイデンティティプロバイダ認証の設定」を参照してください。
- FileMaker ID: チームに対してグループ名または FileMaker ID ユーザ名およびアクセス権セットを指定します。FileMaker Cloud で共有されるファイルでのみサポートされます。「FileMaker ID 認証の設定」を参照してください。
FileMaker Pro Advanced ヘルプの「アカウントアクセスの作成と編集」および「強力なパスワードの使用」を参照してください。
ユーザへのパスワード入力の要求
デフォルトでは自動的に Admin アカウントでサインインするため、新しいソリューションではアカウント名またはパスワードの入力は要求されません。ユーザに FileMaker ファイルおよび外部サーバーアカウントのアカウント名とパスワードの入力を要求するには、FileMaker Pro Advanced の [ファイルオプション] ダイアログボックスで [次のアカウントを使用してログイン:] オプションを選択解除します。このオプションは次のソリューションでは無視されます:
- FileMaker Cloud 製品で共有されるソリューション
- セキュアデータベースフォルダ内の FileMaker Server で共有されるソリューション
- OAuth アイデンティティプロバイダまたは FileMaker ID で認証
デフォルトでは、ソリューションは資格情報マネージャ (Windows) およびキーチェーンアクセス (macOS および iOS) に FileMaker ファイルおよび外部サーバーアカウントのアカウント名およびパスワードの保存を許可しません。資格情報マネージャとキーチェーンアクセスを無効にすると、FileMaker クライアントによりユーザがソリューションを開くたびにアカウント名とパスワードの入力が要求されます。このオプションは他のタイプのアカウントでは無視されます。
キーチェーンアクセスを許可している場合は、FileMaker Go がキーチェーンにアクセスする前に、FileMaker Go ユーザに iOS 認証を要求することができます。
FileMaker Pro Advanced ヘルプの「ファイルオプションの設定」および「強力なパスワードの使用」を参照してください。
外部認証の設定
FileMaker Server を使用してファイルを共有している場合は、Active Directory または Open Directory でユーザを認証するファイルに外部サーバーアカウントアクセスエントリを作成できます。その後、各データベースファイルで独立したアカウントの一覧を管理することなく、既存の認証サーバーを使用してデータベースへのアクセスを制御することができます。
または、FileMaker Server を共有しているサーバーマシン上でローカルセキュリティグループとアカウントを使用することもできます。お使いのオペレーティングシステムのヘルプを参照してください。
次の場合に外部認証を使用します:
- 組織がすでに Active Directory または Open Directory を使用している。
- FileMaker Pro Advanced ファイルが複数ファイルソリューションの別のファイルによってアクセスされる。
- 組織がパスワードの最低限基準を定めている。FileMaker クライアントでは、パスワードの長さと変更の頻度など、FileMaker ファイルアカウントの基本的な基準を強制することができます。外部認証では、パスワードの複雑さの必要条件を強制するなど、さらに強力なパスワードの制御が提供されています。
さらに、Windows Server にインストールされた FileMaker Server を使用してファイルを共有し、外部認証に Active Directory を使用すると、Windows のユーザは FileMaker Pro Advanced でシングルサインオンを利用できます。
外部認証を使用する場合、誰かが外部認証環境をシミュレートするかグループを不適切に管理することによって、ファイルにアクセスできるリスクがあります。各自の責任において外部認証サーバーのセキュリティを保守し、これを防ぐ必要があります。このリスクを削減するには、ソリューションファイルのデータベース暗号化を有効にします。データベース暗号化では、ユーザが FileMaker Server 上でファイルを共有する前に、ユーザに暗号化パスワードの入力を要求します。「データの暗号化」を参照してください。
FileMaker Pro Advanced を使用してファイル内で外部サーバーアカウントアクセスを設定してから、そのファイルを FileMaker Server で共有して外部認証用に構成します。FileMaker Pro Advanced ヘルプの「外部サーバーアカウントアクセスの編集」、「外部認証の有効化」、および FileMaker ナレッジベースの 「LDAP プロトコルを使った外部認証を使用するための FileMaker Pro Advanced クライアントと FileMaker Server のセットアップ方法」を参照してください。
外部認証を使用する際の重要な情報
- 外部認証サーバーを使用してパスワードをリセットする必要があります。
- FileMaker クライアントに認証させる順序でアカウントアクセスエントリを設定します。FileMaker ファイルアカウントおよび外部サーバーアカウントが同じアカウント名とパスワードで認証する場合、または複数のグループが同じ外部サーバーアカウントを含む場合、FileMaker クライアントは (認証の) 優先順位で最初に一致するアクティブなアカウントアクセスエントリを使用してファイルを開きます。それ以降の一致するアカウントアクセスエントリは無視されます。FileMaker Pro Advanced ヘルプの「アカウントアクセスの優先順位の変更」を参照してください。
- [完全アクセス] アクセス権セットを持つアカウントアクセスのタイプを外部サーバーアカウントアクセスのみにすることはできません。FileMaker Server からファイルを取り除く必要がある場合に備えて、管理目的の FileMaker ファイルアカウントを維持してください。FileMaker ファイルアカウントがない場合、ファイルが共有されていて外部認証サーバーが使用できるときにのみ FileMaker クライアントでファイルを開くことができます。
OAuth アイデンティティプロバイダ認証の設定
FileMaker Server または FileMaker Cloud for AWS を使用してファイルを共有している場合、サポートされている OAuth アイデンティティプロバイダでユーザを認証するファイルにアカウントアクセスエントリを作成できます。これにより、サードパーティのアイデンティティプロバイダを使用してソリューションへのアクセスを制御できるようになります。各ファイルで独立したアカウントの一覧を管理する代わりに、OAuth アイデンティティプロバイダを使用してソリューションへのアクセスを制御することができます。OAuth アイデンティティプロバイダによる追加のセキュリティ対策として、複数の認証方式が要求されるマルチファクター認証などを利用できる場合もあります。
OAuth アイデンティティプロバイダで認証するには、FileMaker Pro Advanced を使用してソリューション内でアカ ウントアクセスエントリを設定します。次に、そのソリューションを FileMaker Server または FileMaker Cloud for AWS で共有し、OAuth アイデンティティプロバイダで認証するようにホストを構成します。FileMaker Pro Advanced ヘルプの「OAuth アカウントアクセスの編集」および「OAuth アイデンティティプロバイダ認証の有効化」を参照してください。
OAuth アイデンティティプロバイダを使用する際の重要な情報
- OAuth アイデンティティプロバイダを使用してパスワードをリセットする必要があります。
- FileMaker クライアントに認証させる順序でアカウントアクセスエントリを設定します。アカウントアクセスを持つ複数のグループに OAuth アイデンティティプロバイダで認証するアカウントがある場合、または OAuth アカウントユーザが個々のユーザおよびグループのメンバーの両方としてアカウントアクセスを持つ場合、FileMaker クライアントは (認証の) 優先順位で最初に一致するアクティブなアカウントアクセスエントリを使用してファイルを開きます。それ以降の一致するアカウントアクセスエントリは無視されます。FileMaker Pro Advanced ヘルプの「アカウントアクセスの優先順位の変更」を参照してください。
- [完全アクセス] アクセス権セットを持つアカウントアクセスのタイプを OAuth アカウントアクセスのみにすることはできません。ホストからファイルを取り除く必要がある場合に備えて、管理目的の FileMaker ファイルアカウントを維持してください。FileMaker ファイルアカウントがない場合、ファイルが共有されていて OAuth アイデンティティプロバイダが使用できるときにのみ FileMaker クライアントでファイルを開くことができます。
FileMaker ID 認証の設定
FileMaker Cloud で共有されるファイルでは、FileMaker ID アイデンティティプロバイダでユーザを認証するアカウントアクセスエントリを作成する必要があります。FileMaker ID チームマネージャは FileMaker Customer Console を使用して共有ファイルへのアクセスを制御します。各データベースファイルで個々のユーザの FileMaker ID アカウントの独立した一覧を管理する代わりに、FileMaker Customer Console でチームにユーザを追加およびユーザのグループを管理することができます。FileMaker ID アイデンティティプロバイダによる追加のセキュリティ対策として、複数の認証方式が要求されるマルチファクター認証などを利用できる場合もあります。
FileMaker ID アイデンティティプロバイダで認証するには、FileMaker Pro Advanced を使用してソリューション内でアカウントを設定します。次に、そのソリューションを FileMaker Cloud を使用して共有します。FileMaker Cloud の Admin Console で構成する必要はありません。FileMaker Pro Advanced ヘルプの「FileMaker ID アカウントアクセスの編集」および「グループおよびユーザの FileMaker ID 認証の有効化」を参照してください。
FileMaker ID アイデンティティプロバイダを使用する際の重要な情報
- FileMaker ID ユーザは FileMaker Customer Console のプロファイルページでパスワードをリセットすることができます。
- FileMaker クライアントに認証させる順序でアカウントアクセスエントリを設定します。アカウントアクセスを持つ複数のグループにFileMaker ID ユーザが含まれている場合、または FileMaker ID ユーザが個々のユーザおよびグループのメンバーの両方としてアカウントアクセスを持つ場合、FileMaker クライアントは (認証の) 優先順位で最初に一致するアクティブなアカウントアクセスエントリを使用してファイルを開きます。それ以降の一致するアカウントアクセスエントリは無視されます。FileMaker Pro Advanced ヘルプの「アカウントアクセスの優先順位の変更」を参照してください。
- FileMaker Cloud でファイルが共有されている場合に完全アクセス権を持つには、[完全アクセス] アクセス権セットを持つ FileMaker ID アカウントアクセスエントリを少なくとも 1 つ作成する必要があります。FileMaker Cloud ホストは他のタイプのアカウントをサポートしません。また、ホストからファイルを取り除く、およびローカルでファイルを開く必要がある場合に備えて、[完全アクセス] アクセス権セットを持つ FileMaker ファイルアカウントを維持してください。FileMaker ファイルアカウントがない場合、FileMaker Cloud でファイルが共有されているときにのみ FileMaker クライアントでファイルを開くことができます。
複数ファイルソリューションでの認証
FileMaker Pro Advanced ファイルでは 1 つの複数ファイルソリューション内で互いにアクセスすることができます。これはたとえば、一元的にアクセス可能な従業員の連絡先情報があって、複数の内部ソリューションがそれを使用する場合に役立ちます。
あるファイルから別のファイルを開く場合 (例: 外部データを閲覧、外部ファイルでスクリプトを実行)、FileMaker クライアントはユーザが 1 番目のファイルへのサインイン時に使用した資格情報を 2 番目のファイルに渡します。ユーザのアカウントアクセスが同じ場合、FileMaker クライアントによってユーザは自動的に 2 番目のファイルにサインインします。対応するアカウントアクセスエントリがない場合、ユーザが 2 番目のファイルにサインインする必要があります。
同じ FileMaker ファイルアカウントを複数のファイルで手動で作成できますが、データ入力エラーを招くことがあります。このようなエラーを削減するために外部認証、OAuth アイデンティティプロバイダ認証、または (FileMaker Cloud でファイルが共有されている場合) FileMaker ID 認証を使用してください。「外部認証の設定」、「OAuth アイデンティティプロバイダ認証の設定」、または「FileMaker ID 認証の設定」を参照してください。
複数ファイルソリューションの各ファイルのアカウントアクセスエントリとアクセス権セットを確認します。アクセス権セットがファイル間で一致していない、またはあるファイルでアカウントに追加のアクセス権がある場合は、ユーザは通常はアクセスが制限されているデータにアクセスできる場合があります。「アクセス権セットの定義」を参照してください。
さらに、ユーザがソリューションのファイルを参照するには、ソリューション設計者のサポートが必要であることを確認してください。そうでない場合は、ユーザが制限されたデータへアクセスできる場合があります。「ソリューションへの参照の制限」を参照してください。
アクセス権セットの定義
アクセス権セットについて
アクセス権セットは、ユーザが表示できる機能とユーザが実行できるタスクへのアクセス権を付与するものです。アクセス権セットによって、データとスキーマへのアクセスを制御できます。複数のアカウントアクセスエントリで 1 つのアクセス権セットを使用できます。
新規 FileMaker Pro Advanced ソリューションには、あらかじめ定義された次の 3 つのアクセス権セットが用意されています:
- 完全アクセス: すべての開発機能を含めて、ファイルへの完全アクセスが許可されます。
- データ入力のみ: レコードの作成、編集、削除、およびデータのインポートとエクスポートが許可されます。開発機能へのアクセスは許可されません。
- 閲覧のみアクセス: レコードデータの表示とエクスポートが許可されます。グローバルフィールドの値を除き、ファイルへの変更は許可されません。
各自の特定の要件に合わせて、新しいアクセス権セットを作成することもできます。通常、組織内のそれぞれの役割に合ったアクセス権セットを作成します。アクセス権セットは次のアクセスオプションで構成されています:
- データアクセスとデザインのアクセス権: レコード、レイアウト、値一覧、スクリプトを含む幅広いセキュリティ制御へのアクセスが提供されます。
- 拡張アクセス権: ユーザが共有ファイルにアクセスする方法が決定されます。
- その他のアクセス権: 印刷、エクスポート、セキュリティを管理する限定的な権限、および他の一部の機能が許可されます。
FileMaker Pro Advanced ソリューションにアクセスするクライアントとツールはすべて、ユーザのアクセス権セットに準拠します。たとえばフィールドへのアクセスが許可されていないアクセス権セットがユーザに割り当てられている場合、そのユーザは、FileMaker Pro Advanced、FileMaker Go、FileMaker WebDirect、カスタム Web 公開、FileMaker Data API、ODBC および JDBC アプリケーション、OData クライアントアプリケーション、AppleScript や ActiveX などの外部ツール、またはその他の手段を使用してフィールドにアクセスすることはできません。
アクセス権セットの作成
アクセス権セットを作成するには、ソリューションを使用するためにユーザに付与するアクセス権に名前を付けてそれを構成します。
デフォルトでは、ほとんどのアクセス権が無効になっています。これによって、ユーザのアクセス権はユーザが役割を果たすために必要なもののみに制限されます。
FileMaker Pro Advanced ヘルプの「アクセス権セットの作成と編集」を参照してください。
データアクセスとデザインのアクセス権の定義
データアクセスとデザインのアクセス権は、ファイルの異なる部分へのアクセスを許可し、すべてのテーブル、レイアウト、値一覧、スクリプトに適用されます。
また、さらにアクセス権を制限するため、カスタムアクセス権をデザインすることもできます。
- テーブルごと、またはレコードごとにユーザアクセスを制御するには、レコードのカスタムアクセス権をデザインします。たとえば CRM システムで、販売の管理者はすべてのレコードを閲覧でき、各販売担当者は自分が担当する顧客または見込み客のレコードのみを閲覧できるようにすることができます。
- ユーザがレイアウトを表示または変更できるかどうか、およびその方法、ユーザがそのレイアウトで作業するときにレコードを表示または変更できるかどうかを制御するには、レイアウトのカスタムアクセス権をデザインします。FileMaker プラットフォームでは常にアクセスルールの最も安全な組み合わせを使用します。たとえばレコードを編集できるユーザでも、アクセス権が許可されていないレイアウト上でのレコードの編集は禁止されます。
- ユーザが個々の値一覧とスクリプトを表示、実行、変更、削除、または作成できるかどうかを制御するには、カスタムアクセス権をデザインします。
FileMaker Pro Advanced ヘルプの「レコードアクセス権の編集」、「レイアウトアクセス権の編集」、「値一覧アクセス権の編集」、および「スクリプトアクセス権の編集」を参照してください。
拡張アクセス権の定義
拡張アクセス権によりユーザが共有ファイルにアクセスする方法を決定します。アクセス権セットの拡張アクセス権を有効にすると、そのアクセス権セットに属するアカウントは、拡張アクセス権で許可される内容に従ってファイルにアクセスできます。例:
- fmapp 拡張アクセス権は、FileMaker Pro Advanced および FileMaker Go がファイルにアクセスできるかどうかを制御します。
- fmwebdirect 拡張アクセス権は、Web ブラウザが FileMaker WebDirect を使用してファイルにアクセスできるかどうかを制御します。
- fmreauthenticate[x] 拡張アクセス権は、FileMaker Go の休止状態または使用が中断された後に再度ユーザがファイルにアクセスするとき、どれくらいの時間が経過するとサインインが必要になるかを制御します。
重要: FileMaker Go を使用している場合は、fmreauthenticate[x] 拡張アクセス権を指定してください。
FileMaker Go がバックグラウンドに移動すると、開いているすべてのソリューションの状態が保存されます。
fmreauthenticate[x] 拡張アクセス権を使用すると、FileMaker Go が手前に切り替わる時点で、指定された制限時間の [x] 分が経過していれば、ユーザはアカウント名とパスワードを再入力する必要があります。たとえば、fmreauthenticate10 の拡張アクセス権では、ユーザは最大 10 分まで FileMaker Go の使用を中断しても、再サインインを求められません。異なる時間の拡張アクセス権を必要な数だけ作成し、それらを異なるアクセス権セットに割り当てることができます。ユーザが誤ったアカウント名とパスワードを 5 回入力すると、FileMaker Go によってファイルが閉じられます。FileMaker Go が手前に戻るたびにユーザにサインインさせるには、[x] を 0 に設定します。
また、fmreauthenticate[x] 拡張アクセス権では、ネットワークの機能停止後に、FileMaker Pro Advanced または FileMaker Go クライアントが FileMaker ホストに再接続されます。クライアントがホストから接続解除された状態で x 分が経過した場合、クライアントは再認証が必要です。
カスタム拡張アクセス権を作成してスクリプトを単純にすることや、適用する必要のあるビジネスルールを管理することができます。たとえば、カスタム拡張アクセス権を作成してユーザに特定のレポートの実行を許可できます。
FileMaker Pro Advanced ヘルプの「アクセス権セットの拡張アクセス権の編集」を参照してください。
その他のアクセス権の定義
その他のアクセス権では、アクセス権セットによってユーザに次のことを許可するかどうかを指定します:
- 印刷 – レコードの印刷と PDF としての保存の両方を含む
-
エクスポート – レコードのエクスポート、レコードの Excel ファイルとしての保存、対象レコード内のレコードのクリップボードへのコピー、ファイルのコピーの保存、Apple events によるデータへのアクセス、インポートのソースとしてのファイルの使用を含む
メモ: このアクセス権は ActiveX によるデータへのアクセスには影響しません。
- 拡張アクセス権の管理
- 完全アクセス権のないアカウントの管理
- データ入力警告の無視を許可
- クライアントがアイドル状態の時、共有されているソリューションからユーザの接続を解除
- ユーザ自身のパスワードの変更
- メニューコマンドへのアクセス (すべて、編集のみ、最小)
FileMaker Pro Advanced ヘルプの「その他のアクセス権の編集」、「信頼するユーザにセキュリティを管理する限定的な権限を許可」、および「アイドルユーザの接続解除」を参照してください。
[完全アクセス] アクセス権セットを取り除く
通常はユーザのみがアクセスできるソリューションとスキーマの一部へのアクセス権をユーザが取得できないようにするには、FileMaker Pro Advanced を使用して、[完全アクセス] アクセス権セットをソリューションから完全に取り除きます。
重要: [完全アクセス] アクセス権セットを完全に取り除くと、ソリューションで [完全アクセス] アクセス権セットを使用していたすべてのアカウントが削除されます。これにより、レイアウトモードおよびスクリプトワークスペースに完全にアクセスできなくなります。[拡張アクセス権の管理] または [完全アクセスのないアカウントを管理] アクセス権が有効な他のアカウントがない限り、[セキュリティの管理] ダイアログボックスにもアクセスできなくなります。これには、Runtime アプリケーションと FileMaker Pro Advanced のどちらで開かれるかに関係なく、ソリューション内のすべてのデータベースファイルが含まれます。ファイルのスキーマとデザイン要素は修復できません。テーブル、フィールドの定義、リレーションシップ、スクリプト、またはすべてのアクセス権を変更するには、[完全アクセス] アクセス権セットを取り除く前の元のファイルを使用する方法しかありません。
FileMaker Pro Advanced ヘルプの「データベースへの管理アクセスの削除」を参照してください。
データの暗号化
ソリューションの暗号化
FileMaker Pro Advanced を使用して、ファイル内に保存されているすべての情報を暗号化できます (保存データの暗号化 (Encryption at Rest) とも呼ばれる)。データベース暗号化では、誰かがファイルへの物理的なアクセス権を取得した場合にソリューションを保護します。
データベース暗号化には、暗号化するすべてのファイルへの [完全アクセス] アクセス権を持つ FileMaker ファイルアカウント、暗号化パスワード、および共有 ID が必要です。ユーザは、FileMaker Pro Advanced または FileMaker Go でローカルファイルを開くとき、または FileMaker Server または FileMaker Cloud 製品で共有する前にファイルを開くときに、暗号化パスワードを入力する必要があります。共有 ID は複数の暗号化ファイルをリンクします。ある暗号化ファイルが別の暗号化ファイルへのアクセスを試行したときに、ファイルの暗号化パスワードと共有 ID が一致していれば、ユーザは暗号化パスワードの再入力を要求されることはありません。
FileMaker Pro Advanced ヘルプの「データベースファイルの暗号化」および「強力なパスワードの使用」を参照してください。
FileMaker Server または FileMaker Cloud 製品で暗号化ファイルを開く場合は、パスワードを保存して、サーバーの再起動時に暗号化ファイルを自動的に開くように設定できます。FileMaker は、マシンからの情報に基づく複合キーを使用してパスワードを暗号化し、サーバー上にパスワードを安全に保存する双方向 AES-256 暗号化を採用しています。
FileMaker Server ヘルプの「共有ファイルの開き方」および「データベース暗号化パスワードの消去」、FileMaker Cloud 製品のマニュアルでデータベースファイルの暗号化とアップロードを参照してください。
ファイルが暗号化されていない場合、FileMaker Cloud は自動的にファイルを暗号化します。データベースの暗号化パスワードを表示するには、[データベース] タブをクリックします。データベース名の右側の下向矢印をクリックしてから [暗号化パスワードを表示] をクリックします。FileMaker Cloud 製品のマニュアルを参照してください。
重要:FileMaker Cloud からローカルマシン上にダウンロードしたファイルは暗号化されたままになるため、ファイルを開くには暗号化パスワードが必要です。FileMaker Cloud の Admin Console で暗号化パスワードを表示して安全な場所に保管してください。
フィールドデータの暗号化
FileMaker プラットフォームでは、指定されたキーを使用して次の関数でデータを暗号化および復号します:
- CryptEncryptBase64: テキストおよびオブジェクトデータを受け取って、暗号化された Base64 エンコードテキストを返します。
- CryptDecryptBase64: CryptEncryptBase64 で暗号化された Base64 エンコードテキストを受け取って、暗号化される前と同じタイプ (テキストまたはオブジェクトデータ) の復号されたデータを返します。
暗号化データをエンコードおよび初期化する方法をさらに細かく制御する必要がある場合、CryptEncrypt および CryptDecrypt 関数を使用することができます。
これらの関数は PBKDF2 アルゴリズムを使用して指定されたキーを暗号化キーに変換してからデータを暗号化および復号します。このキーにより、データは 128 ビットレベルで AES-GCM 認証付き暗号化アルゴリズムを使用して暗号化されます。結果にはデータの暗号化された SHA256 ハッシュ値が含まれ、復号中はこの結果によりデータが検証されます。
重要:これらの関数は FileMaker Pro Advanced ファイルのセキュリティスキーマ (アカウント、アクセス権セット、拡張アクセス権) に直接関係しません。そのため、データのセキュリティはソリューション内でこれらの関数を使用する方法に依存します。
開発者としてキーを安全に管理する方法を検討してください:
- 作成: 安全性の高いキーを作成 (生成) するには、少なくともキーの長さ、複雑さ、ランダム性の 3 つの要素を盛り込む必要があります。
- 格納: キーを復号するデータとは別の場所に、安全に保存する必要があります。
- 保持: 暗号化データを使用できる間は常にキーが使用できる必要があります。たとえば、キーが使用できないとバックアップが使用できません。
- 破損: キーがなければデータを復号できないため、これらの関数を使用する方法により、キーが破損するとそのキーで暗号化したデータも破損することになります。
これらの関数のいずれかを利用するとフィールド内のデータの信頼性を保護することができます (フィールドレベルの暗号化とも呼ばれる)。ただし、このレベルの暗号化は、ファイル全体 (バックアップを含む) を不正な改ざんから保護する保存データの暗号化 (Encryption at Rest) の代用にはなりません。「ソリューションの暗号化」を参照してください。
また、次も検討してください:
- すでに復号済みのデータを復号しようとするとデータが破損する場合があります。代わりにデータが暗号化されているかどうかを示す識別フラグを使用して必要な場合のみ復号するようにします。
- 暗号化されているフィールドのコンテンツを後で復号してから再度暗号化する場合、暗号化されるたびに異なる値になります。
- キーが漏えいした場合、漏えいしたキーで暗号化データを復号して新しいキーで再度暗号化できるように、暗号化データを含むすべてのレコードを見つけられるようにしておく必要があります。
オブジェクトデータの暗号化
ソリューションでデータベース暗号化を有効にするかオブジェクトデータを外部に保存するように構成すると、すべてのオブジェクトデータはデフォルトで暗号化されます (セキュア格納)。データベースファイルを暗号化するかオブジェクトデータを外部に保存するときにオブジェクトデータを暗号化しない場合は、オープン格納でオブジェクトデータを保持できます。(ただし、FileMaker Cloud で共有されるファイルの場合、外部に保存したオブジェクトデータを暗号化する必要があるためこの操作はできません。) FileMaker Pro Advanced ヘルプの「データベースファイルの暗号化」および「データを外部に保存するオブジェクトフィールドの設定」を参照してください。
メモ:
- FileMaker Cloud で共有されるファイルの場合、セキュア格納を使用したデータを埋め込みオブジェクトデータに転送することはできません。FileMaker Cloud では、外部に保存するように構成されたオブジェクトデータに FileMaker データストレージを使用します。
デジタル署名データ
ソリューションで、デジタル署名データを生成または RSA キーを使用して署名されたデータを検証するように要求する Web サービス用に REST API を使用する場合、CryptGenerateSignature および CryptVerifySignature 関数を使用します。
レイアウトでのソリューションへのアクセス制限
ユーザのニーズとアクセス権セットに従って、ユーザのデータ表示と機能へのアクセスを制限するレイアウトをデザインします。また、ステータスツールバーを非表示にして、代わりに許可されたタスクを実行するボタンを提供することも検討します。
ソリューションが FileMaker WebDirect または FileMaker Go で使用される場合は、これらのクライアントで使用するための専用のレイアウトをデザインします。FileMaker WebDirect ガイドおよび FileMaker Go デベロップメントガイドを参照してください。
メモ: レイアウトでソリューションのデータと機能へのアクセスを制限しても、ユーザがスクリプトステップ、関数、AppleScript、またはその他の手段でデータへアクセスするのを防ぐことはできません。すべてのクライアントでデータと機能へのユーザのアクセスを制限するアクセス権セットを定義します。「アクセス権セットの定義」を参照してください。
信頼するユーザにセキュリティを管理する限定的な権限を許可
ソリューションを開発する一方で、自分自身ではアカウントアクセスを許可および取り除く通常のタスクの管理を望まない場合、完全アクセス権を許可せずにセキュリティを管理する限定的な権限を信頼するユーザに付与することができます。こうすることで自分の知的財産を保護し、他人の変更でソリューションが破壊されることを防ぎながら日常的なタスクの負担を取り除くことができます。
FileMaker Pro Advanced の次のアクセス権では、セキュリティを変更する限定的な権限を許可します:
| アクセス権 | ユーザが実行できること | ユーザが実行できないこと |
|---|---|---|
| 完全アクセスのないアカウントを管理 |
|
|
| 拡張アクセス権の管理 |
|
|
アカウントアクセスエントリにセキュリティを管理する限定的な権限を許可するには、次の手順を実行します:
- アクセス権セットを作成します。
- [アクセス権セットの編集] ダイアログボックスでこれらのアクセス権のいずれか、または両方を有効にします。
-
[利用できるメニューコマンド:] オプションを [すべて] に設定します。
これにより、ユーザは [ファイル] メニュー > [管理] > [セキュリティ...] を使用できるようになります。
- このアクセス権セットをアカウントアクセスエントリに割り当てます。
FileMaker Pro Advanced ヘルプの「アクセス権セットの作成と編集」および「アカウントアクセスの作成と編集」を参照してください。
関数、スクリプト、およびスクリプトトリガを使用したセキュリティの強化
FileMaker 関数、スクリプト、およびスクリプトトリガを使用して、レコードの削除、監査、保守などの一般的なタスクのセキュリティを強化できます。たとえば、スクリプトを使用して次のことを実行できます:
- アカウントの追加または削除、アカウントパスワードのリセット、パスワードの変更、アカウントの有効化または無効化 (FileMaker ファイルアカウントのみ)
- 別のユーザとしての再ログイン (FileMaker ファイルアカウント、ゲストアカウント、および外部サーバーアカウントのみ)
- ユーザによりレコードが削除されては困る場合のレコードのアーカイブ
- 規制コンプライアンスおよび監査のためのユーザの現行セッションおよび状況に関する情報収集
- セキュリティ制限がユーザに影響する場合のカスタムメッセージの提供
重要: 関数、スクリプト、またはスクリプトトリガを使用して、FileMaker セキュリティ機能を置き換えないでください。
メモ
- デフォルトでは、スクリプトは現在サインインしているアカウントのアクセス権セットを使用して実行されます。これにより、スクリプトがユーザに実行するアクセス権がない処理の実行を試行したときに問題が発生する場合があります。データの整合性を保護するには、すべてのアクセス権セットですべてのスクリプトをテストします。
- スクリプトステップを使用して FileMaker プラットフォーム外部のシステムと通信する場合は、使用可能なオプションの中から、SSL 暗号化を使用してやり取りする方法を選択します。たとえば、[URL から挿入] スクリプトステップには [SSL 証明書の検証] オプションが含まれており、[メールを送信] スクリプトステップでは SSL 暗号化を使用する SMTP サーバーと通信できます。
- Get (アカウント名)、Get (アカウントグループ名)、および Get (アカウントタイプ) などの関数を使用して現在のユーザに関する情報を取得できます。たとえば、Get (アカウント拡張アクセス権) 関数を使用して、ユーザに特定の拡張アクセス権があるかどうかをテストできます。
FileMaker Pro Advanced ヘルプの「関数リファレンス」、「スクリプトステップリファレンス」、および「スクリプトトリガリファレンス」を参照してください。
ソリューションへの参照の制限
ソリューションへの参照を制限して、ソリューションのスキーマが認証されていないファイルによってアクセスされるのを防ぐことができます。別のファイルがソリューションのスキーマおよびデータにアクセスするには、ソリューション内でそのファイルが認証されているか、ユーザがソリューションの有効な資格情報を入力する必要があります。
[完全アクセス] アクセス権セットを持つアカウントのみがソリューションへの参照を作成できるように指定して、ソリューションの設計者と管理者のみがソリューションを参照できるようにします。デフォルトでは、新規作成ファイルではこのオプションが有効になっています。
複数ファイルソリューションでは、別のファイルのスキーマにアクセスする必要のある各ファイルを認証する必要があります。
FileMaker Pro Advanced ヘルプの「ファイルのアクセス認証」を参照してください。
クライアントの最低バージョンの設定
ソリューションへのアクセスを許可する FileMaker Pro Advanced または FileMaker Go の最低バージョンを設定します。新しいバージョンの FileMaker クライアントは古いバージョンでは対応していない機能とセキュリティ変更を備えているため、ソリューションにアクセスできるクライアントを制限します。FileMaker Pro Advanced ヘルプの「ファイルオプションの設定」を参照してください。
プラグインの有効化
プラグインはインターネット上でソリューションにアクセスして変更を加え、他のサービスに接続する場合があるため、信頼できるソースからのプラグイン (なるべく開発者によってデジタル署名されているプラグイン) のみを使用してください。
セキュリティを強化して不正なプラグインがインストールされるのを防ぐため、FileMaker Pro Advanced ユーザはプラグインファイルのインストールを有効または無効にすることができます。これは、ファイルの環境設定ではなくアプリケーションの環境設定で、プラグインをユーザのコンピュータへインストール可能にするかどうかを決定します。
プラグインが有効な場合、FileMaker Pro Advanced はインストールされた後および起動したときにプラグインのロードを試行します。FileMaker Pro Advanced がプラグインのデジタル署名を検証できない場合、またはプラグインが署名されていない場合、ユーザに通知されてプラグインをロードするかどうかを選択できます。ユーザが常にプラグインをロードすることを選択した場合、この環境設定はファイルではなくユーザのアプリケーションの環境設定に保存されます。
FileMaker Pro Advanced ヘルプの「環境設定: プラグイン」および「環境設定: 許可されたホストとプラグイン」を参照してください。ホストでプラグインを有効にするには「FileMaker Server および FileMaker Cloud for AWS でのプラグインの有効化」を参照してください。
メモ
- プラグインは FileMaker Cloud ではサポートされません。
サーバー管理者にとってのセキュリティ
概要
FileMaker Cloud 製品および FileMaker Server は次のクライアントに対応したソリューションを共有します:
- FileMaker Pro Advanced
- FileMaker Go
- FileMaker WebDirect
- カスタム Web 公開 with PHP およびカスタム Web 公開 with XML を使用した Web 公開エンジンによる Web ユーザと Web アプリケーション (FileMaker Server のみ)
- FileMaker Data API を使用して共有ソリューションのデータにアクセスする Web サービスまたはアプリケーション
- ODBC および JDBC アプリケーション
- OData 対応クライアントアプリケーション (FileMaker Cloud のみ)
以降のセクションでは、FileMaker Server および FileMaker Cloud 製品でセキュリティを設定する手順を概説します。
FileMaker Server を使用している場合、FileMaker Server が安全な場所にインストールされており、SSL 暗号化を使用してクライアントとサーバー間の HTTPS 通信を暗号化していることを確認します:
外部認証の有効化
メモ: この機能は FileMaker Cloud 製品では使用できません。
FileMaker Server では、各ファイルで独立したアカウントの一覧を管理することなく、既存の認証サーバーを使用してファイルへのアクセスを制御することができます。
FileMaker Pro Advanced を使用してファイル内で外部認証アカウントを設定してから、そのファイルを FileMaker Server で共有して外部認証用に構成します。FileMaker Pro Advanced でアカウントを設定するには「外部認証の設定」を参照してください。
FileMaker Server で外部認証を有効にするには、次の手順を実行します:
- FileMaker Server Admin Console で、[管理] > [外部認証] タブをクリックします。
- [データベースにサインイン] で [外部サーバーアカウント] を有効にします。
Active Directory または Open Directory を使用するには、FileMaker Server がインストールされているサーバーが、外部認証に使用されるドメインのメンバーとなっている必要があります。
徹底的にテストします。「セキュリティ設定のテスト」を参照してください。
OAuth アイデンティティプロバイダ認証の有効化
FileMaker Server または FileMaker Cloud for AWS では、各ファイルで独立したアカウントの一覧を管理することなく、サポートされている OAuth アイデンティティプロバイダを使用してファイルへのアクセスを制御することができます。
FileMaker Pro Advanced を使用してファイル内で OAuth アイデンティティプロバイダで認証するアカウントアクセスを設定してから、そのファイルを FileMaker Server または FileMaker Cloud for AWS で共有して OAuth アイデンティティプロバイダ認証用にホストを構成します。FileMaker Pro Advanced でアカウントアクセスを設定するには「OAuth アイデンティティプロバイダ認証の設定」を参照してください。
FileMaker Server で OAuth アイデンティティプロバイダ認証を有効にするには、次の手順を実行します:
- FileMaker Server Admin Console で、[管理] > [外部認証] タブをクリックします。
- [アイデンティティ認証設定] で、アクセス認証に使用する OAuth アイデンティティプロバイダ (Amazon、Google、または Microsoft) を構成します。
- [データベースにサインイン] で [外部サーバーアカウント] を有効にします。
- [アイデンティティ認証設定] で構成した OAuth アイデンティティプロバイダを有効にします。
FileMaker Cloud for AWS で OAuth アイデンティティプロバイダ認証を有効にするには、次の手順を実行します:
- FileMaker Cloud for AWS の Admin Console で [Administration] > [External Authentication] タブをクリックします。
- [Identity Authentication Settings] で、アクセス認証に使用する OAuth アイデンティティプロバイダ (Amazon、Google、または Microsoft) を構成します。
- [Database Sign In] でサインイン設定を有効にします。
メモ: FileMaker Cloud for AWS では、Amazon アイデンティティプロバイダ認証は、FileMaker Cloud for AWS の管理者とクライアントにより共有されます。Amazon クライアント ID とクライアントシークレットは同期されます。
徹底的にテストします。「セキュリティ設定のテスト」を参照してください。
グループおよびユーザの FileMaker ID 認証の有効化
FileMaker Cloud で共有されるファイルの場合、ユーザは FileMaker ID アイデンティティプロバイダで認証されます。チームマネージャは FileMaker Customer Console で FileMaker ID ユーザをチームに追加およびユーザのグループを作成できます。FileMaker Pro Advanced ファイルでグループまたは個々のユーザの FileMaker ID アカウントアクセスを作成、編集できます。グループのアクセスに割り当てたアクセス権セットはグループのすべてのユーザに適用されます。個々のユーザのアクセスの場合、割り当てたアクセス権セットはそのユーザのみに適用されます。
FileMaker ID グループおよびユーザのアカウントアクセスを作成するには、次の手順を実行します:
- FileMaker Customer Console の [ユーザ] ページでユーザをチームに招待します。
- [グループ] ページでグループを作成してから、グループにユーザを追加します。
- グループまたは個々のユーザのアカウントアクセスエントリを作成するには、FileMaker Pro Advanced の [セキュリティの管理] ダイアログボックスの [認証方法:] で [FileMaker ID - <チーム名>] を選択して [新規] をクリックします。
- [グループまたはユーザ名:] で FileMaker ID グループまたはユーザ名を選択してアクセス権を割り当て、[OK] をクリックします。
メモ:FileMaker Customer Console での変更で [セキュリティの管理] ダイアログボックスの FileMaker ID 情報を更新するには、[認証方法:] を別の項目に変更してから FileMaker ID チーム名に戻るか、[セキュリティの管理] ダイアログボックスを再度開きます。
FileMaker Pro Advanced ヘルプの「FileMaker ID アカウントアクセスの編集」および FileMaker Customer Console ヘルプを参照してください。
共有ソリューションの一覧の制限
FileMaker クライアントおよび FileMaker Customer Console の [ホーム] ページに共有ソリューションの一覧が表示されます。ホストのタイプによっては表示されるソリューションを制限できる場合があります。
| FileMaker Pro Advanced の [ホスト] ダイアログボックスおよび FileMaker Go および FileMaker WebDirect の起動センターの場合 | FileMaker Pro Advanced の [マイ App] ウインドウ、FileMaker Go の [マイ App] タブ、および FileMaker Customer Console の [ホーム] ページの場合 | |
|---|---|---|
| FileMaker Server | デフォルトでは、すべてのオープンソリューションが表示されます。ただし、この一覧の表示を現在のユーザがアクセスできるソリューションのみに制限できます。一覧をフィルタリングするには、FileMaker Cloud 製品のマニュアルおよび FileMaker Server ヘルプの「データベースのフィルタの設定」を参照してください。 | 使用不可 |
| FileMaker Cloud for AWS | 使用不可 | |
| FileMaker Cloud | 現在のユーザに使用できるすべてのオープンソリューションが表示されます。 ソリューションにそのユーザの FileMaker ID ユーザ名またはそのユーザを含むグループのアカウントアクセスエントリが含まれている場合、ソリューションを使用できます。FileMaker Pro Advanced ヘルプの「FileMaker ID アカウントアクセスの編集」を参照してください。 FileMaker ID チームマネージャは、[FileMaker WebDirect によるアクセス] 拡張アクセス権 (FileMaker Pro Advanced で設定) を割り当てたユーザに対して使用できるソリューションを制限することもできます。FileMaker Customer Console の [設定] ページで [ホームページに FileMaker WebDirect ファイルのみを表示] を有効にします。FileMaker Customer Console ヘルプを参照してください。 |
|
共有ファイルのパスワードの要求
すべての共有データベースでクライアントにアカウントとパスワードの指定を要求するようにしてください。次の場合、データベースは安全ではありません:
- ゲストアカウントで [完全アクセス] アクセス権セットを使用
- [完全アクセス] アカウントのパスワードがない
- [完全アクセス] アカウントのパスワードがデータベースに保存されている (FileMaker Pro Advanced の [ファイルオプション] ダイアログボックスの [次のアカウントを使用してログイン] オプションを使用)
デフォルトでは、FileMaker Server は安全でないデータベースが共有されないようにします。FileMaker Server ヘルプの「データベースの共有」を参照してください。FileMaker Cloud 製品は共有データベースに対して常にパスワード保護を要求します。
FileMaker Pro Advanced は、FileMaker Pro Advanced ユーザが [ホストにアップロード...] メニュー項目を使用してデータベースのアップロードを試行すると、データベースがパスワードで保護されていることを検証します。ホストでデータベースのパスワード保護が要求される場合、FileMaker Pro Advanced は上記の安全でないタイプのデータベースのアップロードを許可しません。
ログファイルの表示
FileMaker Server および FileMaker Cloud 製品は、稼働するとサーバーアクティビティをログに記録します。ログファイルを使用してクライアントアクセス情報と、規制および監査目的で必要なその他の情報を収集できます。
FileMaker Server ヘルプの「ログファイルのエントリの参照」および FileMaker Cloud 製品のマニュアルで FileMaker Cloud 製品の構成を参照してください。
アイドルユーザの接続解除
FileMaker ユーザが FileMaker Server または FileMaker Cloud 製品によって共有されているファイルに接続されている場合に、アイドル状態を持続できる最大時間を設定します。このアイドル時間制限により、無人のコンピュータやモバイルデバイスによってファイルがアクセスされるリスクを減らします。ただし、アイドル時間は頻繁な接続解除が起こらないように十分な長さにしてください。
FileMaker Pro Advanced では、[アクセス権セットの編集] ダイアログボックスで、ユーザがアイドル状態の場合に接続解除するアクセス権セットごとに [アイドル状態の時、サーバーからユーザの接続を解除する] を選択します。このオプションはアクセス権セットごとに設定できるため、特定のユーザがアイドル状態のときに接続解除されても、その他のユーザは常に接続が維持されます。FileMaker Pro Advanced および FileMaker Go では、[完全アクセス] アクセス権セットでログインしているユーザは、アイドル状態のときでも接続解除されることはありません。
アイドル時間を指定するには、FileMaker Server ヘルプの「FileMaker クライアントのセッションタイムアウト」および FileMaker Cloud 製品のマニュアルで FileMaker Cloud 製品の構成を参照してください。
バックアップの設定
データの損失を防ぐためにソリューションをバックアップすることが重要です。ファイル内のデータが破損した場合はバックアップに復帰できます。
FileMaker Server でのバックアップ
FileMaker Server では、自動、オンデマンド、スケジュール、プログレッシブなどのさまざまなタイプのバックアップを提供しています。
- 自動バックアップでは、FileMaker Server はすべての共有データベースの完全バックアップを 1 日 1 回作成します。
- オンデマンドバックアップでは、[今すぐバックアップ] をクリックすることで、すべての共有データベースの完全バックアップをいつでも作成することができます。
- バックアップスケジュールでは、FileMaker Server は最後のバックアップ以降にデータが変更されたかどうかを確認し、変更されたすべてのデータベースとオブジェクトデータを完全にコピーします。
- プログレッシブバックアップでは、FileMaker Server はすべての共有データベースのプログレッシブバックアップフォルダに 2 つの完全バックアップを作成します。その後、指定された間隔が経過すると最も古いバックアップコピーに変更内容を適用します。
FileMaker Server は、ローカルディスクにのみバックアップを保存します。その他のツールを使用してローカルバックアップをコピーし、災害時に修復できるようにオフサイトのバックアップを準備してください。保存されるバックアップ用に安全性が確保された物理的な場所を指定してください。
重要: FileMaker Server はこれらのバックアップ用にディレクトリ構造を作成します。バックアップファイルを使用する場合は、元のバックアップファイルは変更せずにバックアップフォルダ内に残しておきます。元のバックアップファイルは FileMaker Pro Advanced で開いて編集、またはバックアップフォルダ以外の場所に移動しないでください。代わりにファイルをコピーして、そのコピーのみで作業します。
FileMaker Server ヘルプの「バックアップオプションの理解」を参照してください。
FileMaker Cloud for AWS でのバックアップ
FileMaker Cloud for AWS は、データベース、構成、ログを含むすべてのデータが保持されるストレージボリュームのスナップショットとしてバックアップを提供しています。バックアップは 20 分ごとに実行され、FileMaker Cloud for AWS は 1 週間分のバックアップを保存します。FileMaker Cloud for AWS では、Amazon Simple Storage Service にもバックアップを保存できます。
FileMaker Cloud でのバックアップ
FileMaker Cloud はデータベースがアップロードされた後にデータベースの完全バックアップを作成します。変更されたデータベースは 20 分ごとに自動的にバックアップされます。バックアップは 30 日間保存され、それ以降は自動的に削除されるようになります。バックアップを保存、保存済みの一覧からバックアップを取り除く、バックアップラベルを編集、およびバックアップを復元することができます。
管理者の追加
FileMaker Server の非ルート管理者
外部認証されたアカウントに対して、Admin Console にサインインしてサーバー管理者としての操作を許可することができます。許可されたアカウントは、Admin Console のユーザ名とパスワードを除くすべての FileMaker Server の設定を変更することができます。
- [アイデンティティ認証設定] でアクセス認証に使用するグループ名を入力して [Admin Console にサインインするための外部アカウント] の設定を構成します。(形式は グループ名、ドメイン¥グループ名、または グループ名@ローカルマシン です。)
- [Admin Console にサインイン] で [外部アカウント] を有効にします。
FileMaker Cloud for AWS の非ルート管理者
ルート管理者は、非ルート管理者に FileMaker Cloud for AWS へのサインインとインスタンスのほとんどの要素の管理を許可することができます。非ルート管理者は、他の管理者のアカウントの変更、SSL 証明書のインポート、または FileMaker Cloud for AWS の登録解除を行えません。
[サーバー上のスクリプト実行] スクリプトステップを許可するかどうかの判別
メモ: この機能は FileMaker Cloud 製品では使用できません。
ソリューション開発者は、パフォーマンス上の理由から [サーバー上のスクリプト実行] スクリプトステップを使用するように FileMaker Pro Advanced データベースをデザインする場合があります。FileMaker Server 管理者は、セキュリティを考慮して共有されたソリューションで [サーバー上のスクリプト実行] を許可するかどうかを決定できます。
[サーバー上のスクリプト実行] の使用を無効にするには、CLI コマンド fmsadmin serverconfig set scriptsessions=0 を使用してスクリプト同時セッション最大数を 0 (ゼロ) に設定します。ゼロより大きい値では共有ソリューションでの [サーバー上のスクリプト実行] スクリプトステップの実行が許可されます。
FileMaker Server ヘルプの「コマンドラインインターフェースの使用」を参照してください。
FileMaker Server および FileMaker Cloud for AWS でのプラグインの有効化
ソリューション開発者は、サーバー側のプラグインを使用するように FileMaker Pro Advanced データベースをデザインできます。FileMaker Pro Advanced でプラグインを有効にするには「プラグインの有効化」を参照してください。
FileMaker Server または FileMaker Cloud for AWS の Admin Console で、[コネクタ] (Connectors) > [プラグイン] (Plug-ins) タブで [FileMaker スクリプトエンジンプラグイン] (FileMaker Script Engine Plug-ins) と [Web 公開プラグイン] (Web Publishing Plug-ins) を有効にします。これらの設定により、FileMaker スクリプトエンジンを有効にしてプラグインに実装された外部関数およびスクリプトステップを使用することができます。FileMaker Server ヘルプの「プラグインの管理」、および FileMaker Cloud for AWS ヘルプのサーバープラグインの管理を参照してください。
Admin Console で、スケジュールに従って実行するスクリプト、[サーバー上のスクリプト実行] スクリプトステップ、FileMaker WebDirect、およびカスタム Web 公開によってプラグインをインストール、更新、およびロードするようにできます。[コネクタ] (Connectors) > [プラグイン] (Plug-ins) タブで、[[プラグインファイルのインストール] スクリプトステップ] (Install Plug-in File Script Step) の設定を有効にします。
メモ
- プラグインは FileMaker Cloud ではサポートされません。
- FileMaker Cloud for AWS では Linux 上でプラグインを実行できますが、バイナリファイルに署名する業界標準の方法がありません。そのため、FileMaker Cloud for AWS はプラグインのデジタル署名を検証しません。
電子メール通知の安全性の確認
FileMaker Server Admin Console で、[構成] > [通知] タブを使用して電子メールサーバーの SMTP 設定情報を入力する際に、その電子メールサーバーのセキュリティを検証してください。電子メールサーバーは、常に最新の TLS (Transport Layer Security) プロトコルを通信に使用する必要があります。
FileMaker Server ヘルプの「通知設定」を参照してください。
メモ: FileMaker Cloud Admin Console から送信される電子メールでは TLS が使用されています。
IT プロフェッショナルにとってのセキュリティ
概要
FileMaker ソフトウェアは、お使いのコンピュータとネットワーク上で稼働します。クライアントは、社内イントラネットを使用して、またはインターネット経由で共有データにアクセスできます。FileMaker プラットフォームのセキュリティを検討する場合は、システム環境のセキュリティを考慮してください。
以降のセクションでは、FileMaker プラットフォームのシステム環境をより安全にする方法について説明します。
FileMaker Server を稼働するマシンの保護
アカウントとアクセス権セットでデータベースを十分に保護することができますが、完全に安全なソリューションを提供しているわけではありません。FileMaker Server を使用している場合、単に FileMaker Pro Advanced のアクセス権に頼るだけでなく、ファイルと情報へのアクセスを保護する必要があります。例:
- データベースファイルが格納されているコンピュータ、ハードドライブ、バックアップ用記憶媒体の物理的なセキュリティを確保してください。たとえば、FileMaker Server を稼働するコンピュータは施錠された部屋に配置します。
- FileMaker, Inc. に認定されているオペレーティングシステムの最新バージョンを使用してください。
- FileMaker Pro Advanced データベースを、ネットワークで共有される 1 台のコンピュータで共有する場合は、オペレーティングシステムのセキュリティ設定とパスワードを使用して、フォルダとファイルへのアクセスを権限のあるユーザに制限してください。
- オペレーティングシステムのスクリーンセーバー機能で、スクリーンセーバーを解除するためにパスワードが必要となるように設定してください。
- FileMaker Server と同じマシン上で電子メールサーバーなどの他のネットワークサービスは決して稼働しないでください。
- 他のすべてのネットワークサービスが、最新の TLS プロトコルなどの可能な限り最高レベルのセキュリティをサポートしていることを確認します。これらのネットワークサービスでは、SSLv2 や SSLv3 などの安全でないプロトコルのサポートを無効にする必要があります。
ファイアウォールの背後への FileMaker Server コンポーネントのインストール
FileMaker Server には、最大 3 つのコンポーネントが含まれます:
- データベースサーバー
- Web 公開エンジン
- Web サーバーモジュール
これらのコンポーネントをマスタマシンに展開し、追加の Web 公開エンジンおよび Web サーバーモジュールをワーカーマシンに追加することができます。これにより、各マシンがファイアウォールに関連している部分を制御できます。たとえば、すべてのコンポーネントをファイアウォールの背後に配置して、LAN ネットワークへのアクセスを制限することができます。展開でいずれかのマシンをファイアウォールの背後に配置する場合、FileMaker WebDirect をインターネット上で利用できるようにするために、ファイアウォールで FileMaker WebDirect が使用するポートを開ける必要があります。「FileMaker Server および FileMaker Cloud 製品によって使用されるポート」を参照してください。
重要: データベースソリューションのセキュリティを強化するために、特にインターネット上では FileMaker Server 展開の公開側でファイアウォールを使用し、Web サーバーで SSL を使用します。「SSL 暗号化の設定」を参照してください。
FileMaker Server インストールおよび構成ガイドを参照してください。
SSL 暗号化の設定
FileMaker Server または FileMaker Cloud 製品、FileMaker クライアント、ODBC および JDBC アプリケーション、REST API クライアント、および OData クライアントとの間で渡されるデータは SSL テクノロジーを使用して暗号化します。SSL 証明書は、認証局 (CA) によって提供されるデータファイルで、安全なトランザクションの送信者、受信者、または双方をデジタルで識別します。SSL 証明書は、FileMaker Server または FileMaker Cloud 製品と FileMaker クライアント間で安全な接続を確立するために、FileMaker アプリケーションが稼働するマシンにインストールされます。
インターネット経由で共有されるデータにクライアントがアクセスしている場合は SSL 暗号化が特に重要です。暗号化を使用しない場合はネットワークを監視しているソフトウェアによってデータが閲覧される可能性があります。
FileMaker Server で SSL 暗号化を有効にするには、カスタム SSL 証明書をインポートします。FileMaker Server ヘルプの「データの保護」を参照してください。
メモ
- 電子メールサーバーなどの安全性の低いネットワークサービスを稼働しているマシンと FileMaker Server マシンとの間で同じ SSL 証明書を共有しないでください。
- FileMaker Server と電子メールサーバーなど、異なるマシンで使用される複数の SSL 証明書を生成するために同じ秘密キーを使用しないでください。電子メールサーバーへの攻撃が成功すると、同じ秘密キーを使用している他のすべての証明書が侵害される可能性があります。
- 複数のマシンにまたがる FileMaker Server 展開では、マスタマシンおよびワーカーマシンでサブジェクトの別名 (SAN) 証明書またはワイルドカード証明書を使用してください。その他の場合は展開内の各マシンがその固有のホスト名に一致する SSL 証明書を要求します。
FileMaker ナレッジベースの「FileMaker ネットワークセキュリティと SSL - 概要」を参照してください。
FileMaker Server のデフォルト証明書について
FileMaker Server は、FileMaker, Inc. によって署名された、サーバー名が検証されていないデフォルトの SSL 証明書を提供しています。
重要: この FileMaker デフォルト証明書はテスト用にのみ利用できます。実際に運用環境で使用する場合はカスタム SSL 証明書が必要です。
FileMaker Cloud for AWS のデフォルト証明書について
FileMaker Cloud for AWS は、デフォルトの SSL 証明書を提供しています。デフォルト証明書を更新するか独自のカスタム証明書をインポートすることができます。SSL 証明書を管理するには、FileMaker Cloud 製品のマニュアルを参照してください。
FileMaker Cloud の SSL 証明書について
FileMaker Cloud は、ホストの SSL 証明書を提供および構成しています。FileMaker Cloud でカスタム証明書を使用することはできません。
HTTP Strict Transport Security の有効化
FileMaker Server が有効な SSL 証明書を保持している場合、HSTS (HTTP Strict Transport Security) は Web クライアントを HTTPS 接続に制限します。Web クライアントが HSTS により HTTPS を使用して FileMaker Server に接続した場合、クライアントは Web ブラウザで FileMaker Server により共有されるコンテンツへの HTTP 接続を使用できません。
カスタム SSL 証明書をインポートすると、FileMaker Server 内で HSTS が有効になります。
メモ
- HSTS は FileMaker Cloud 製品は常に有効になります。
- macOS: FileMaker WebDirect で HSTS が有効になっている場合、カスタムホームページおよびカスタム Web コンテンツが Web 公開エンジン HTTPS ディレクトリで共有されていることを確認します。
SSL 暗号化のテスト
FileMaker Server または FileMaker Cloud 製品と FileMaker Pro Advanced クライアントまたは FileMaker Go クライアントとの間の暗号化をテストするには、Get (接続状態) 関数を使用します。この関数は次の値を返します:
- 0 現在のファイルに対し、ネットワーク接続なし。
- 1 暗号化されていない接続 (SSL が無効になっている FileMaker Server、または FileMaker Pro Advanced ホストへの接続)。
- 2 暗号化されているものの、FileMaker Server の SSL 証明書を検証できない接続。実際の接続先に偽装したサーバーに接続している可能性があり、機密情報が漏えいするおそれがあります。
- 3 検証された SSL 証明書で暗号化されている接続。
たとえば、FileMaker Server への接続が安全でない場合に、ファイルが開かれたときにユーザへの警告を実行するスクリプトを記述します。
ユーザは、FileMaker Pro Advanced の [ファイルを開く] ダイアログボックス、FileMaker Pro Advanced ウインドウの右上隅、または FileMaker Go の [ファイルを開く] 画面に表示されるロックアイコンを確認できます。
は Get (接続状態) が 1 を返した場合と同等
は Get (接続状態) が 2 を返した場合と同等
は Get (接続状態) が 3 を返した場合と同等
メモ: クライアントが完全修飾ホスト名ではなくサーバーの IP アドレスを使用している場合は、FileMaker Server の SSL 証明書を検証できない暗号化された接続が示されることがあります。検証された SSL 証明書で暗号化された接続を確認するには、クライアントが FileMaker Pro Advanced の [ホスト] ダイアログボックスおよび FileMaker Go の起動センターで、お気に入りのホストとして完全修飾ホスト名を追加する必要があります。
Java セキュリティの考慮事項
FileMaker Server および FileMaker Cloud 製品には Java Runtime Environment の最小要件の更新が必要です。FileMaker Server のインストール時に推奨されるバージョンが使用できない場合は、FileMaker Server インストーラによって Java Runtime Environment がインストールされます。FileMaker Cloud 製品ではインスタンスの作成時に Java の推奨されるバージョンがインストールされます。
Java のセキュリティ更新は java.com Web サイトに頻繁に投稿されています。FileMaker Server および FileMaker Cloud 製品の更新に Java の更新が含まれる場合がありますが、java.com Web サイトの方がより頻繁に Java 更新を提供しています。
FileMaker ナレッジベースには「FileMaker Server と Java - 概要とトラブルシュート」という記事が継続的に掲載されており、FileMaker Server とともに使用する Java の推奨されるバージョンが記載されています。FileMaker Server がインストールされているマシン上の Java に更新を適用する前にこの記事の情報を確認してください。Java への更新の適用後に問題が発生した場合は、更新を取り除いて FileMaker Server で必要な推奨されるバージョンの Java に戻してください。
PHP セキュリティの考慮事項
カスタム Web 公開 with PHP の場合、FileMaker Server があるマシン上に PHP エンジンが必要です。FileMaker Server のインストール時に、PHP エンジンのいずれかのバージョンがインストールされます。ただし、専用の PHP エンジンを使用することもできます。
PHP のセキュリティ更新は php.net Web サイトに頻繁に投稿されています。FileMaker Server の更新に PHP の更新が含まれる場合がありますが、php.net Web サイトの方がより頻繁に PHP 更新を提供しています。PHP 更新をより頻繁に適用するには、専用の PHP エンジンをインストールして維持します。
専用の PHP エンジンを維持している場合は、カスタム Web 公開 with PHP を使用するために FileMaker API for PHP を手動でインストールする必要があります。『FileMaker Server カスタム Web 公開ガイド』を参照してください。
メモ:FileMaker Cloud 製品はカスタム Web 公開をサポートしていないため PHP を使用しません。
デフォルトの Web サーバーページの置き換え
FileMaker Server はデフォルトの FileMaker データベースサーバー Web サイトページを使用します。このページにはサーバーに関するセキュリティ情報は表示されませんが、サーバーが FileMaker Server を稼働中であることは示されます。クライアントは次の URL でデフォルトページを表示できます:
- http://[ホスト]
- https://[ホスト]
[ホスト] には、FileMaker Server 展開内のマスタマシンの IP アドレスまたはドメイン名を指定します。
このデフォルトページを置き換えるには、マスタマシン上の次の場所にある「index.html」ファイルを置き換えます:
- Windows: [ドライブ]:¥Program Files¥FileMaker¥FileMaker Server¥HTTPServer¥conf¥index.html
- macOS (HTTP の場合): /Library/FileMaker Server/HTTPServer/htdocs/index.html
- macOS (HTTPS の場合): /Library/FileMaker Server/HTTPServer/htdocs/httpsRoot/index.html
その他のセキュリティの考慮事項
更新の定期的な適用
FileMaker 製品のソフトウェア更新にはセキュリティ強化が含まれることがあります。FileMaker ソフトウェアをできる限り安全な状態に保つため、更新をインストールしてください。FileMaker ナレッジベースの「FileMaker セキュリティ更新」を参照してください。
FileMaker, Inc. に認定されているオペレーティングシステムの最新バージョンを使用してください。
デバイスドライバや、ODBC ドライバなどの FileMaker ソフトウェアで使用される追加のソフトウェアに更新を適用します。
強力なパスワードの使用
FileMaker プラットフォームは、いくつかの領域での認証にパスワードを使用します。FileMaker Server および FileMaker Cloud 製品は管理者アカウントのパスワードを要求します。FileMaker Pro Advanced では、アカウントパスワードと暗号化パスワードを定義できます。パスワードの作成時に FileMaker ソフトウェアによってパスワードが分析され、パスワードの強度について通知されます。
アカウントパスワードの場合、外部認証 (FileMaker Server のみ) または OAuth アイデンティティプロバイダ認証 (FileMaker Server または FileMaker Cloud for AWS) を使用できます。外部認証では、FileMaker ソフトウェアにパスワードを保存するのではなく、Windows の Active Directory または macOS の Open Directory を使用してパスワードを管理します。OAuth アイデンティティプロバイダ認証では、Amazon や Google などサポートされている OAuth アイデンティティプロバイダを使用してパスワードを管理します。「外部認証の設定」および「OAuth アイデンティティプロバイダ認証の設定」を参照してください。
FileMaker Cloud の場合、ユーザとチームマネージャは FileMaker ID アカウントで認証され FileMaker Customer Console を使用および共有ファイルを開くことができます。FileMaker ID ユーザは自分のパスワードを管理してマルチファクター認証を設定することができます。
セキュリティ設定のテスト
FileMaker プラットフォームのセキュリティ機能の設定が完了したら、ソリューションのセキュリティをテストします。
- アクセス権セットごとにテストアカウントを設定します。これらのアカウントはテストする場合にアクティブにし、運用システムでは非アクティブにします。
- テストする機能と関数のチェックリストを定義します。各テストアカウントでチェックリストをすべてチェックします。
- 結果をドキュメント化します。
- 新しい機能が追加された場合はテストを繰り返します。
データが引き続き確実に保護されるようにするため、継続的にセキュリティ実装を評価します。ユーザのオペレーティングシステムと FileMaker ソフトウェアが最新で最も安全なバージョンであることを確認します。
規制要件の順守
それぞれの責任において、独自のセキュリティのコンプライアンス要件を十分に理解し、適切な手順を実行する必要があります。
このドキュメントで概説したガイドラインに加え、それぞれの内部または規制の要件 (COBIT、HIPAA、ISO、PCI、NIST、FIPS など) に応じて、追加手順の実行が必要になる場合があります。
- すべてのネットワークトラフィックを暗号化する必要がある場合は FileMaker Server で SSL を有効にしてから、FileMaker Server または FileMaker Cloud 製品と通信するアプリケーションと外部サーバーの SSL を構成します。
- パスワードの最低基準が定められている場合は外部認証サーバーを使用します。
- 監査証跡が必要な場合は FileMaker Pro Advanced でテーブルとスクリプトを使用して作成できます。より複雑な要件の場合は市販の監査プラグインの使用を検討してください。
- Windows: FileMaker Server は SSL の管理を Windows に依存しているため、最新の Windows セキュリティ更新プログラムをインストールしてください。
ユーザへの通知
ソリューションのレイアウトや Web ページに、ソリューションと安全にやり取りする方法の説明文をユーザに表示します。アカウントおよびパスワード、FileMaker Server または FileMaker Cloud 製品に安全に接続する方法、関数とスクリプトの使用方法、およびソリューションに関するその他のセキュリティ上の考慮事項や要件に関する情報を含めます。
追加のリソース
毎日の操作のためのクイックリファレンスガイド
| 目的 | 手順 |
|---|---|
| アカウント、アクセス権、拡張アクセス権、またはファイルアクセスを管理する | FileMaker Pro Advanced: [ファイル] メニュー > [管理] > [セキュリティ...] を選択します。 |
| ユーザによるデータへのアクセスを即時に停止させる | Admin Console:
FileMaker Customer Console:
クライアントを接続解除せずにライセンスが付与されたユーザを取り除く場合、即座にデータへのアクセスができなくなるわけではありません。ユーザは FileMaker ID のサインアウトを実行するまでデータへのアクセスを続けることができます。 FileMaker Pro Advanced:
ファイルのアカウントアクセスエントリを非アクティブにする場合、現在サインインしているユーザには影響がありません。以降のサインインの試行のみを妨害します。 ユーザが外部認証グループを使用してアクセスしている場合は、外部認証グループからユーザを取り除くか、外部認証サーバーのユーザのアカウントを無効にします。 緊急の場合は、ファイルを閉じて誰もアクセスできないようにします。 |
| ユーザにパスワードを変更させる (FileMaker ファイルアカウントのみ) | FileMaker Pro Advanced:
メモ: 複数のユーザにこの処理を強制的に実行させるために、スクリプトを記述することもできます。 ユーザが外部認証を使用してアクセスしている場合は、Active Directory サーバーまたは Open Directory サーバーを使用してパスワードを管理します。 |
| ログファイルを表示する | Admin Console:
|
FileMaker で使用される暗号化の種類
FileMaker は、データの保存または送信方法に応じてさまざまな方法でデータを暗号化します。次の表は、FileMaker プラットフォームがデータを暗号化する際に使用する暗号化の種類を一覧します。
| オプション | 暗号化の種類 |
|---|---|
| アカウントパスワード | 一方向ハッシュ |
| Admin Console パスワード | 一方向ハッシュ |
| データベース暗号化 | AES-256 CBC モード |
SSL/TLS 1.2
|
メモ: SSL では、暗号化モードはホストとクライアントのネゴシエーションによって決まるため、暗号化モードは CBC または GCM (または将来的にはその他) になります。 |
| オブジェクトデータのセキュア格納 (データベース暗号化が無効な場合) | AES-128 CBC モード |
| オブジェクトデータのセキュア格納 (データベース暗号化が有効な場合) | AES-256 CBC モード |
FileMaker Server および FileMaker Cloud for AWS によって使用されるポート
FileMaker ナレッジベースの「FileMaker Server によって使用されるポート番号」を参照してください。
FileMaker Cloud for AWS によって使用されるポートは、Amazon Web Services Elastic Cloud Compute (EC2) ダッシュボードで表示および編集することができます。セキュリティグループ内でポートを管理する場合、FileMaker Cloud for AWS 入門ガイドを参照してください。