共有ファイルのセキュリティの計画
概要
Claris Pro
ユーザが初めて Claris クライアントを起動するときは、Claris ID アカウントでサインインする必要があります。新しい Claris Pro ファイルは作成者の Claris ID アカウントで常に保護されます。作成者がファイルを開くときは常に、Claris クライアントは作成者の Claris ID アカウントで自動的にサインインします。作成者のアカウントには [完全アクセス] アクセス権セットが割り当てられているため、作成者はファイル内のすべてにアクセスして変更することができます。
アカウントとアクセス権セットを使用してファイルのセキュリティを確保することができます。ファイルのセキュリティをどの程度確保するかは、ファイルを他のユーザと共有するかどうかで大きく異なります:
-
自分のコンピュータのファイルを他人に開かれたくない場合は、ファイルを暗号化することができます。データベースファイルの暗号化と復号を参照してください。
-
ファイルを他のユーザと共有し、ユーザ毎に異なるレベルのファイルアクセスを提供するには、次の手順に従って共有ファイルに必要なセキュリティを計画する必要があります。
FileMaker Pro
FileMaker Pro がローカルに作成した新しい FileMaker Pro ファイルは、デフォルトでは保護されていません。ファイルを開くと、ユーザは、自動的に、[完全アクセス] アクセス権セットが割り当てられている Admin アカウントでログインします。これにより、ユーザがファイルのすべての要素にアクセスおよび変更することができます。
FileMaker Cloud で作成された新しい FileMaker Pro ファイルは、このファイルを作成したチームマネージャの Claris ID または外部アイデンティティプロバイダ (IdP) アカウントにより保護されています。このアカウントには [完全アクセス] アクセス権セットが割り当てられています。
アカウントとアクセス権セットを使用して、ファイルのセキュリティを確保することができます。ファイルのセキュリティをどの程度確保するかは、ファイルを他のユーザと共有するかどうかで大きく異なります:
-
自分のコンピュータのファイルを他人に開かれたくない場合は、ファイルをパスワードで保護することができます。パスワードによるローカルファイルの保護 (FileMaker Pro のみ) を参照してください。
-
ファイルを他のユーザと共有し、ユーザに応じて異なるレベルのファイルアクセスを提供するには、次の手順に従って共有ファイルに必要なセキュリティを計画する必要があります。
FileMaker セキュリティガイドを参照してください。
共有ファイルのセキュリティを計画するには:
-
ファイルに対して必要なアクセス権セットを決定します。
特定のテーブル、フィールド、レコード、レイアウト、値一覧、およびスクリプトなど、ファイルの保護範囲のリストを作成します。必要なさまざまなレベルのアクセスを確保するために必要なアクセス権セットの数を計画します。
メモ 各ファイルには、3 つのアクセス権セットがあらかじめ定義されています。これだけで充分な場合もあれば他のアクセス権セットが必要な場合もあります。事前定義済みアクセス権セットについてを参照してください。
-
Claris Pro のみ: アクセスを付与するユーザを決定します。
Claris Pro の Claris ID アカウントでは個人ユーザのみがサポートされています。Claris ID アカウントアクセスの編集 (Claris Pro のみ) を参照してください。
-
FileMaker Pro のみ: アクセスを個人ユーザ、ユーザグループ、またはその両方に付与するかを決定します。
認証方法として FileMaker ファイル、Claris ID、外部 IdP、Apple ID または OAuth アイデンティティプロバイダを使用するアカウントでは、個人ユーザがサポートされています。一方、グループを使用する場合は、サポートされているアイデンティティプロバイダまたは認証サーバーにより、ファイルの外部でユーザとユーザが属するグループが定義されている必要があります。グループは、次の認証方法を使用するアカウントでサポートされています:
-
Claris ID または外部 IdP – Claris ID または外部 IdP アカウントアクセスの編集 (FileMaker Pro のみ) を参照してください。
-
Microsoft Azure AD または一部のサポートされているカスタム OAuth アイデンティティプロバイダ – OAuth アカウントアクセスの編集 (FileMaker Pro のみ) を参照してください。
-
外部認証サーバー – 外部サーバーアカウントアクセスの編集 (FileMaker Pro のみ) を参照してください。
-
-
不特定ユーザがファイルを開くことを許可するかどうかを決定します。
-
Claris Pro: デフォルトアカウントを有効にすると、Claris ID アカウントを持つすべてのユーザがファイルを開くことができます。作成者のアカウントおよびデフォルトアカウントについて (Claris Pro のみ) を参照してください。
-
FileMaker Pro: ゲストアカウントを有効にすると、ユーザはアカウント情報を入力せずにファイルを開くことができます。Admin アカウントとゲストアカウントについて (FileMaker Pro のみ) を参照してください。
-
-
ファイルに対して必要なアクセス権セットを作成します。
アクセス権セットの作成と編集を参照してください。
-
特定のアクセス権セットに対して、拡張アクセス権を有効にするかどうかを判断します。
特定のアクセス権セットに、特定の方法でファイルにアクセスする操作 (FileMaker クライアント App でネットワーク上の共有ファイルを開く操作または Web ブラウザから FileMaker WebDirect でファイルにアクセスする操作など) を許可する必要がある場合は、それらのアクセス権セットに対して拡張アクセス権を有効にする必要があります。必要がない場合は拡張アクセス権セットは有効にしないでください。
-
ファイルでユーザとグループにアカウントアクセスを付与し、適切なアクセス権セットを各ユーザとグループに割り当てます。
デフォルトアカウント (Claris Pro) またはゲストアカウント (FileMaker Pro) を使用している場合もアクセス権セットを割り当てます。アクセス権セットを割り当てない場合はアカウントを無効にしてください。アカウントアクセスの作成と編集を参照してください。
-
各アクセス権セットをテストして、ファイルアクセスが意図したとおりに正しく制限されることを確認します。
さまざまなアカウントを使用してファイルを開き、作成した各アクセス権セットをテストします。制限が意図したとおりに動作することを確認し、アクセス権セットに必要な修正を加えます。
-
オプションで、他のファイルによるファイルのスキーマへのアクセスを制限できます。
ファイル内のテーブル、レイアウト、値一覧、およびスクリプトへのアクセスを認証によって制限することでセキュリティを強化できます。ファイルのアクセス認証を参照してください。
セキュリティに関する追加のヒント
アカウントとアクセス権セットでデータベースを十分に保護することができますが、100% 安全というわけではありません。FileMaker Pro のアクセス権だけに依存せず、他の適切な手段も講じてファイルと情報を保護してください。例:
-
FileMaker Pro ファイルを、ネットワークで共有される 1 台のコンピュータで共有する場合は、オペレーティングシステムレベルのセキュリティ設定とパスワードを使用して、フォルダとファイルへのアクセスを権限のあるユーザだけに制限してください。
-
ディスクに格納されているファイルを保護するには、ファイルを暗号化します。データベースファイルの暗号化と復号を参照してください。
-
オペレーティングシステムのスクリーンセーバー機能で、スクリーンセーバーを解除するためにパスワードが必要となるように設定してください。
-
ファイルが格納されているコンピュータ、ハードドライブ、バックアップ用記憶媒体の物理的なセキュリティを確保してください。