コンテナおよびドキュメントのセキュリティ
以下のトピックで構成されます:
iManage Security Policy Manager
iManage Security Policy Manager(SPM)は、セキュリティを管理するiManage Workのオプションアドオンアプリケーションです。このアプリケーションによって、セキュリティのさらに詳細な管理、監査、報告が可能になります。それは、iManage Workのアクセス権限の前のセキュリティレイヤーであり、新しいセキュリティ機能を含む追加制御を提供します。iManage Workと連携するように設計されていますが、別のアプリケーションです。iManage Workでは、SPMの値を変更と設定は行えません。SPMは、iManage Records ManagerおよびMicrosoft Windowsファイルシステムなどの他のアプリケーションにも適用できます。アプリケーションの詳細については、iManageにお問い合わせください。
SPMは、コンテナ(ワークスペース、フォルダ、案件、クライアント、ケースなど)とドキュメントを含むアイテムへのアクセス権を決定する際に、最初に適用される以下の2つの条件を導入します。オープンアクセスと制限付きアクセス。
- オープンアクセス。この権限は、選択されたユーザーとグループにこれらのアイテムへのアクセスを許可します。ただし、通常のiManage Workアクセス権は適用されます。たとえば、SPMはユーザーにある案件へのオープンアクセスを付与しても、iManage Workはそのユーザーに対してその案件へのアクセスを許可しません。それによって、ユーザーはアクセスできなくなります。
- 制限付きアクセス。この権限は、選択されたユーザーまたはグループによるアイテムへのアクセスを拒否します。制限付きアクセス権は、iManage Workのアクセス権を変更することなくアクセスを制限する便利な方法で、リファイルイベントの回避も含まれます。たとえば、SPMはユーザーに案件への制限付きアクセス権を割り当てます。iManage Workのアクセス権に関係なく、たとえユーザーに明示的なiManage Workのアクセス権が付与されていても、そのユーザーはその案件にアクセスできません。
以下のセクションでは、ユーザーまたはグループがアイテムへのオープンアクセスを持っていると想定します。
iManage Workオブジェクトセキュリティ
iManage Workセキュリティモデルは、すべてのワークスペース、コンテナ、およびドキュメントにわたってセキュリティを管理する汎用的かつ柔軟な手段を提供します。各アイテムには一連のセキュリティ設定があります。各セキュリティ設定をきめ細かく設定することで、セキュリティを強化し、あらゆるユーザーやグループに対して厳密なアクセスを指定できます。
たとえば、編集者のグループをアイテムに追加し、そのグループメンバーによるドキュメントの編集を許可できます。他のすべてのユーザーに対して、文書の表示から完全に除外できます。この機能は、利益相反を理由に使用される場合があります。さらに、編集者のグループの特定のメンバーを、特定の文書の編集または表示から除外することもできるため、さらに汎用性が高まります。
すべてのアイテムには、以下のセキュリティ特性があります。
- Security Policy Manager(SPM)のアクセス制限
- デフォルトセキュリティ
- アクセス権
- ライブラリとグローバルロールの制限
- セキュリティモデルとグループメンバーシップの紛争解決
すべてのソースを組み合わせた最終的な結果が、有効セキュリティと呼ばれます。
デフォルトのセキュリティ
デフォルトセキュリティ値は基本的なセキュリティレベルであり、常に固有です。値は、コンテナの作成時、ドキュメントの作成時、最初のアップロード時に自動的に割り当てられます。この値は、適切な権限を持つユーザーによって後で変更される可能性があります。セキュリティの変更を参照してください。
以下に示すのは、4つのデフォルトセキュリティ値です。
セキュリティ値 | コンテナの場合 | ドキュメントとEメールの場合 |
|---|---|---|
非公開 | コンテナを作成したユーザー(所有者とも呼ばれる)のみ、アクセスできます。他のユーザーやグループには、明示的にアクセス権を付与でき(アクセス権参照)、そのアクセス権によって許可された制限でのみアクセスできます。ユーザーやグループに対してプライベートのアイテムは、そのユーザーやグループしかアクセスできません。 | ドキュメントを作成したユーザー(オペレーターと呼ばれる)または割り当てられた作成者(ドキュメントへの暗黙的なフルアクセスが提供される)だけがドキュメントにアクセスできます。他のユーザーやグループには、明示的にアクセス権を付与でき(アクセス権参照)、そのアクセス権によって許可された制限でのみアクセスできます。 |
表示 | すべてのユーザーとグループは、コンテナの内容にアクセスできますが、コンテナからアイテムを追加または削除したり、ドキュメントを変更、削除、移動できません。 | すべてのユーザーとグループはドキュメントを表示できますが、ドキュメントを変更、削除、移動できません。 ドキュメントを作成したユーザー(オペレーターと呼ばれる)または割り当てられた作成者(ドキュメントへの暗黙的なフルアクセスが提供される)がドキュメントを変更できます。 |
パブリック | すべてのユーザーとグループがコンテナの内容にアクセスできます。コンテナのアイテムの追加、削除、移動が可能です。 | すべてのユーザーとグループがドキュメントを表示または変更できます。ただし、ドキュメントの削除や移動はできません。 ドキュメントを作成したユーザー(オペレーターと呼ばれる)または割り当てられた作成者(ドキュメントへの暗黙的なフルアクセスが提供される)がドキュメントを削除、移動できます。 |
継承 | コンテナまたはタブに独自の明示的なデフォルトセキュリティがないことを示し、親コンテナのデフォルトセキュリティとアクセス権を想定します。iManage Workは、この権限レベルを自動的に計算します。 ベストプラクティスは、最上位のコンテナ(通常は案件)だけにアクセスレベルを明示的に割り当て、他のすべてのコンテナには継承セキュリティを割り当てることです。 | ドキュメントに独自の明示的なデフォルトセキュリティがないことを示し、親コンテナのデフォルトセキュリティとアクセス権を想定します。iManage Workは、この権限レベルを自動的に計算します。 ベストプラクティスは、最上位のコンテナ(通常は案件)だけにアクセスレベルを明示的に割り当て、他のすべてのコンテナ、ドキュメント、Eメールには継承セキュリティを割り当てることです。 |
アクセス権
アクセス権は、コンテナ、ドキュメント、Eメールに対してユーザーが持つことができるオプションセキュリティ値です。アクセス権とは、あるオブジェクトへのアクセス権を付与されたユーザーのことです。これには、以下の値が含まれます。ユーザーまたはグループは必ずしもアクセス権を持つ必要はありません。アクセス権は、オブジェクトのデフォルトセキュリティよりも厳しい場合もあれば、緩い場合もあります。指定された場合、デフォルトセキュリティを上書きします。指定されていない場合、アイテムのデフォルトセキュリティ値が使用されます。
アクセス権 | コンテナの場合 | ドキュメントとEメールの場合 |
|---|---|---|
アクセス無し | ユーザーやグループは、コンテナの内容を表示したり、コンテナ内のドキュメントを検索したりすることはできません。 | ユーザーやグループは、ドキュメントまたはEメールの内容の表示、アイテムの検索、iManage Workブラウザでのアイテムの表示はできません。 |
読み取り | ユーザーやグループは、コンテナの内容やドキュメントを表示できますが、アイテムを追加、編集、削除できません。 | ユーザーやグループは、ドキュメントやEメールの内容を表示できますが、コンテンツを追加、編集、削除できません。 |
読み取り/書き込み | ユーザーやグループは、コンテナの内容の表示、追加、削除、ドキュメントの表示はできますが、コンテナ自体の削除や移動、コンテナのセキュリティの変更はできません。 | ユーザーやグループは、ドキュメントやEメールの内容を表示、追加、編集できます。 アイテムの削除や移動、アイテムのセキュリティやメタデータプロパティの変更はできません。 |
完全アクセス | ユーザーやグループは、コンテナの内容の表示、追加、削除、ドキュメントの表示ができますが、コンテナ自体の削除や移動、コンテナのセキュリティの変更もできます。これは、コンテナのオーナー権限を持つことと同じです。 | ユーザーやグループは、ドキュメントやEメールの内容を表示、追加、編集できます。 アイテムの削除や移動、アイテムのセキュリティやメタデータプロパティの変更が可能です。 |
ライブラリとグローバルロールの制限
ライブラリロールは、ライブラリレベル権限に名前を付けたものです。ライブラリロールは個別のユーザーに割り当てられます。各ユーザーは、何かしらのロールを持つ必要があります(自動的に各新規ユーザーに割り当てられるデフォルトロールだけでも構いません)。ライブラリレベル権限には、コンテナやドキュメントへのアクセスに影響するものがあります。たとえば、コンテナのデフォルトセキュリティがフルアクセスである場合、ユーザーは明示的にフルアクセス(アイテム削除の許可含む)を許可されます。ただし、ユーザーのライブラリレベルロール権限Deleteが付与されていない場合、ユーザーはアイテムを削除できません。
以下のライブラリレベル権限はユーザーアクセスに影響を与える可能性があります。
ドキュメント
値 | 詳細 |
|---|---|
インポート/作成 | ユーザーがドキュメントをインポート/作成できるようにします。 |
ドキュメントをチェックアウト | ユーザーが、そのユーザーがアクセスを持つライブラリ内のドキュメントのチェックインおよびチェックアウトを行えるようにします。 |
ドキュメントをロック解除 | ユーザーが、チェックアウトされている、または現在使用中のドキュメントをロック解除できるようにします。これは基本的に強制チェックインです。ドキュメントに加えた変更は、ライブラリには保存されません。ドキュメントは、変更とともに、チェックアウトしたコンピューターに残ります。 この場合は注意が必要です。このドキュメントはチェックアウトしたコンピュータに残っており、セキュリティの問題がある可能性があります。 |
削除 | ユーザーが、アクセス権を持つライブラリからドキュメントやコンテナを削除できるようにします。 一部のiManage Cloud環境では、ドキュメントはユーザーのゴミ箱に移され、復元が可能です。その他の環境では、ゴミ箱が有効でない場合、ドキュメントは完全に削除されます。 |
NRTADMINの表示 | NRTADMINが、ドキュメントへの明示的なアクセス権を持っていない場合、プライベートドキュメントのコンテンツを表示できるようにします。 一般的に、これはセンシティブな情報のセキュリティを保証するために、無効であり続ける必要があります。NRTADMINは引き続き、この設定に関係なく、プライベートドキュメントを検索することができます。 |
フォルダとタブ
値 | 詳細 |
|---|---|
公開フォルダを作成 | ユーザーが新規の公開プロジェクトフォルダを作成できるようにします。 ユーザーは、親フォルダから継承したセキュリティでプライベートフォルダまたはサブフォルダを引き続き作成できます。ユーザーが、パブリックでフォルダの作成、またはデフォルトセキュリティの表示をできるようにします。これが無効の場合、ユーザーは引き続きプライベートフォルダを作成することが出来ます。フォルダの作成にも、作成しようとするときに、個人のワークスペースにおけるユーザーのセキュリティ権限を必要とします。 |
公開検索を作成 | ユーザーが公開検索を保存し、公開のマークを付けられるようにします。 ユーザーが、パブリックで検索フォルダの作成、またはデフォルトセキュリティの表示をできるようにします。これが無効の場合、ユーザーは引き続きプライベートフォルダを作成することが出来ます。検索フォルダの作成にも、作成しようとするときに、個人のワークスペースにおけるユーザーのセキュリティ権限を必要とします。 |
ワークスペース
値 | 詳細 |
|---|---|
プライベートワークスペースを作成 | ユーザーがプライベートワークスペースを作成できるようにします。 |
公開ワークスペースを作成 | ユーザーが公開ワークスペースを作成できるようにします。 |
ワークスペースを削除 | ユーザーがワークスペースを削除できるようにします。 ワークスペースおよびコンテナは完全に削除され、思いがけない削除が起きた場合は再度作成する必要があります。ワークスペースのコンテンツは、クラウドの顧客のためにゴミ箱に移され、オンプレミスの顧客に対しては、ゴミ箱が有効でない場合、完全に削除されることがあります。 |
セキュリティの変更
セキュリティレベルを変更できるのは、そのアイテムへのフルアクセスを持つユーザーやグループのみです。これには、フルアクセスの権限を持っているユーザーやグループ、またはデフォルトでフルアクセスを持つアイテムのオペレーター(オーナーとも呼ばれる)が含まれます。
セキュリティは以下の方法で変更できます。
iManage Security Policy Manager:iManage Security Policy Manager(SPM)は、ユーザーとグループへのオープンアクセスまたは制限付きアクセスを設定できます。このアクセスはiManage Workシステムの設定を変更せず、Manage Workへのアクセスを試みる前にチェックされるセキュリティレイヤーです。
直接割り当て:ユーザーは、アイテムのデフォルトセキュリティを直接変更できます。プロパティパネルで、またはドキュメント作成時や最初のアップロード時に、プロパティパネルが表示されます。ユーザーが適切なレベルの権限を持っていれば、デフォルトセキュリティを変更できます。
リファイル:リファイルは、コンテナとドキュメントのセキュリティを自動的に更新するiManage Work Windowsサービスです。これには、集合デフォルトセキュリティとアクセス権、各アイテムのメタデータが含まれます。親コンテナのセキュリティが変更されると、このサービスは自動的にすべての子コンテナとそのドキュメントにその変更を適用します。たとえば、あるワークスペースがデフォルトセキュリティを表示に変更した場合、その新しいデフォルトセキュリティの変更は、デフォルトセキュリティが継承であるすべての子コンテナに対して自動的に適用されます。
セキュリティモデル
iManage Workセキュリティモデルは、ユーザーが2つ以上のグループに属している場合、アクセスの競合を解決します。このモデルはハイブリッドセキュリティと呼ばれます。ハイブリッドモデルは、以下を付与します。
- 利用可能なグループの中から最も寛容なアクセスレベルを使用したアクセス。
- 拒否がある場合は例外です。拒否は、他のどのアクセス権よりも優先されます。
たとえば、あるユーザーがグループ1とグループ2の両方のメンバーであり、コンテナAにアクセスしようとしているとします。
ソース | アクセスレベル |
|---|---|
コンテナA | デフォルトセキュリティは表示です。 |
グループ1 | 表示 |
グループ2 | 読み取り/書き込み |
ハイブリッドモデルは、最も寛容なアクセスレベルからアクセスを付与します。ここでは、グループ2が読み取り/書き込みを提供しているため、ユーザーにはコンテナAへの読み取り/書き込みアクセスが付与されます。
別の例としては、あるユーザーがグループ1とグループ2の両方のメンバーであり、コンテナAにアクセスしようとする場合が挙げられます。
ソース | アクセスレベル |
|---|---|
コンテナA | デフォルトセキュリティは表示です。 |
グループ1 | アクセス無し |
グループ2 | 読み取り/書き込み |
ハイブリッドモデルは、拒否がある場合を除き、最も寛容なアクセスレベルからのアクセスを付与します。ここで、グループ1はアクセス無しを提供しないため、ユーザーはコンテナAへのアクセスを付与されません。
グループ間の競合
以下のマトリックスは、ユーザーが2つ以上のグループに属していることによって生じる競合の最終結果を決定します。
- まず、最初の列で最もアクセスが制限されているグループを決定します。これは、グループにアクセス権なしまたはその他のアクセスがあることを意味します。
- 次に、2番目の列で最もアクセスが制限されていないグループを決定します。
- そして、1つ目および2つ目のアクセスレベルに一致する1行を使用して、ユーザーのアクセス権との相互参照を付けます。結果は、グループからのユーザーのアクセスレベルです。
ハイブリッドセキュリティモデル | |||||||
|---|---|---|---|---|---|---|---|
ユーザーのアクセス権 | |||||||
最も制限されているグループアクセス権 | 最も制限されていないグループアクセス権 | アクセス無し | 表示 | 未指定 | 読み取り/書き込み | 完全アクセス | 所有者 |
アクセス無し | (任意のアクセス) | なし | なし | なし | なし | なし | フル |
アクセスなし以外のアクセス | 表示 | なし | 表示 | 表示 | 読み取り/書き込み | フル | フル |
アクセスなし以外のアクセス | 未指定 | なし | 表示 | 読み取り/書き込み | フル | フル | |
アクセスなし以外のアクセス | 読み取り/書き込み | なし | 読み取り/書き込み | 読み取り/書き込み | 読み取り/書き込み | フル | フル |
アクセスなし以外のアクセス | フル | なし | フル | フル | フル | フル | フル |
未指定のアクセス権は、アイテムに対してアクセス権が定義されていないことを示します。アイテムにデフォルト値がないか、既存の値がすべて削除されている可能性があります。
例
ユーザーがアクセスなしという最も制限されたアクセスを提供するグループに属している場合、他のアクセス権に関係なく(常にフルアクセを持つオーナー除く)、そのユーザーはアクセス権を持ちません。
ユーザーが表示という最も制限されたアクセスを提供するグループに属し、別のグループが読み取り/書き込みという最も制限されていないアクセスを提供し、ユーザーが表示のアクセス権を持っている場合、有効セキュリティは読み取り/書き込みとなります。セキュリティモデルは、最も制限されていないアクセスレベル(ここでは読み取り/書き込み)として、各種アクセスレベルを解決します。
デフォルトの有効アクセス権の計算方法
デフォルトの有効アクセス権の計算方法 | ||
|---|---|---|
有効デフォルトセキュリティポリシー* | 非外部ユーザー | 外部ユーザー |
表示 | 読み取り | なし |
パブリック | 読み取り/書き込み | なし |
非公開 | なし | なし |
有効デフォルトセキュリティポリシーの計算方法
有効デフォルトセキュリティポリシーの計算方法 | ||
|---|---|---|
デフォルトセキュリティ | 継承デフォルトセキュリティ | 有効デフォルトセキュリティ |
継承 | 表示 | 表示 |
継承 | パブリック | パブリック |
継承 | 非公開 | 非公開 |
表示 | X | 表示 |
パブリック | X | パブリック |
非公開 | X | 非公開 |
有効セキュリティ
有効セキュリティとは、アイテムの以下の要素を組み合わせた最終結果です。
- Security Policy Managerアクセスレベル
- デフォルトセキュリティ
アクセス権
ロール制限
- ユーザーが所属するグループ間の競合
- 使用されているセキュリティモデル
アイテムにデフォルトセキュリティしか持ない場合、すべてのユーザーはそのセキュリティレベルに制限されます。たとえば、デフォルトセキュリティが表示の場合、すべてのユーザーが表示アクセスを持つことになります。
ユーザーは、デフォルトセキュリティとは異なるアクセス権を持つ可能性があります。例を続けると、ユーザーSandhyaは、おそらく利益相反のため、コンテナの内容の表示を禁止する必要があります。この場合、彼女にはアクセスなしのアクセス権が割り当てられます。その後、Sandhyaはコンテナの内容を表示できなくなります。アクセスなしのアクセス権がドキュメントに適用された場合、彼女はそれを読むことができず、コンテナ内で見ることも禁止されます。
この2つのケースにおける有効セキュリティは単純明快です。アクセス権は常に優先されます。上記の例では、アクセスなしは表示デフォルトセキュリティより優先されます。
ただし、グループを通してアクセスすることもできます。
ユーザーが1つのグループのみからのアクセスを提供されている場合(それ以外に明示的なセキュリティがない場合)、そのグループのアクセス優先順位はデフォルトセキュリティよりも上になります。たとえば、ユーザーNicoleは、表示デフォルトセキュリティを持つコンテナへの読み取り/書き込みアクセスを持つグループに属しています。Nicoleは読み取り/書き込みの有効セキュリティを持っています。これは、デフォルトセキュリティより優先されるグループから付与されます。
ユーザーが複数のグループのメンバーであり、そのグループの一部が異なるアクセスレベルを持つ場合、アクセスレベルの競合が発生します。解決策は使用されているセキュリティモデルによって異なります。
所有者
所有者は、新しいワークスペースまたはフォルダを作成したユーザーに自動的に割り当てられるロールです。そのユーザーは、そのワークスペース/フォルダへのフルアクセス権を持ちます。ワークスペース/フォルダの所有者は1人のみで、現在の所有者は別のユーザーにロールを割り当てることができます。
オペレーター
オペレーターは、新しいドキュメントを作成したユーザーや最初にドキュメントをアップロードしたユーザーに自動的に割り当てられるロールです。そのユーザーは、そのドキュメントへのフルアクセス権を持ちます。各ドキュメントにオペレーターは1人しか設定できず、現在のオペレーターは他のユーザーにロールを割り当てることができます。
作成者
ドキュメントの作成者は、新しいドキュメントを作成したユーザーや最初にドキュメントをアップロードしたユーザーに自動的に割り当てられるロールです。作成者は、ドキュメントのオペレーターまたはドキュメントへのフルアクセスを持つ他のユーザーが変更できます。作成者ロールはドキュメントへの所有権を付与しませんが(オペレーター参照)、暗黙的なフルアクセスを付与します。
ACL
ACLは、iManage Workがドキュメントとコンテナのアクセス権をマークするために使用するアクセス制御リストです。適切なアクセスを持つあらゆるエンティティ(システム管理者、サードパーティツールなど)は、ACLを表示/変更できます。子コンテナは、「親のACLを継承する」と言えます。これは、デフォルトセキュリティと、そのコンテナ内のすべてのユーザーとグループのアクセス権を、親から継承することを意味します。
リファイル
iManage Refile Serviceは、セキュリティとプロパティフィールドの変更をバックグラウンドでライブラリ全体に適用するサービスです。これはアイテムの有効セキュリティには含まれませんが、アイテムのセキュリティ値に影響を与える可能性があります。
この適用は、コンテナのセキュリティを変更したり、プロパティフィールド値を変更するなど、よく定義されたイベントから始まります。たとえば、コンテナのデフォルトセキュリティを変更すると、リファイルイベントが発生する場合があります。一度イベントが開始されると、この適用は自動的に行われ、ユーザーからの確認は不要です。この適用の間、明示的なルールに応じてアイテムが更新されます。リファイルは、各サブフォルダを通して下方向に処理し、すべてのサブフォルダを通して再帰的です。たとえば、案件レベルの変更は、その案件内のすべてのアイテムに影響する可能性があります。その案件内の子フォルダでイベントが発生した場合、その子フォルダと、他のフォルダを含むその子フォルダに含まれるアイテムのみが影響を受ける可能性があります。より上位のコンテナに遡って適用されることはありません。この操作はバックグラウンドで行われ、ユーザーには認識されません。ユーザーは、アプリケーションを使い続けることができます。ただし、リファイルサービスがコンテナ階層全体にこれらの変更を適用するには、数分かかる可能性があります。
詳細については、リファイルを参照してください。
暗号化
データの暗号化は、不正なアクセスや盗難があった場合に備え、文書の可視性を制限するセキュリティ対策です。これはアイテムの有効セキュリティには含まれませんが、アイテムのセキュリティ値に影響を与える可能性があります。
保存データの暗号化とも呼ばれ、使用中でないドキュメントが暗号化されます。盗難、意図せぬ公開、不正アクセス(内部的な不正アクセスを含む)などが発生してデータが流出しても、ファイルが暗号化されているため、読み取ることができません。許可されたユーザーが文書にアクセス(クライアントアプリケーションで編集・表示するなどして)すると、文書が復号化され、普段通り、読み込んだり編集したりすることができます。ユーザーが作業を終えると、暗号化された状態に戻ります。この暗号化は、HIPAA、およびセンシティブな情報を保護する他のアメリカの法令に準拠しています。
他の条件で暗号化を有効にしないことが指定されていても、以下の条件のうち少なくとも1つに該当する場合、ドキュメントやEメールは暗号化されます。複数の条件に該当しても効果は同じです。
条件 | 詳細はこちらをご覧ください。 |
|---|---|
文書クラスまたはサブクラスでHIPAA適合の暗号化がはいに設定されている。 | |
カスタムフィールド(custom1やcustom3など)が文書の暗号化を指定している。プロファイルにそのカスタムフィールドを持つドキュメントはすべて暗号化されます。 | |
ファイルタイプが文書の暗号化を指定している。 |