FileMakerのセキュリティ

Claris FileMaker 19 セキュリティガイドをちらっと読んだり、暗号化について検索したりしてみたが
だんだん混乱してきたので、まずは大枠を捉えてみた。教わってスッキリした点もあったのでメモ

セキュリティガイドには以下のような記述がありました。

FileMaker プラットフォームの機能は、Claris FileMaker Pro® ファイル内でのデータアクセス、処理、および開発を制御するのに役立ちます。主な機能は次のとおりです

Claris FileMaker 19 セキュリティガイド: セキュリティオプションを構成するためのベストプラクティス
  • アカウントによる認証 …
  • アクセス権セットによるアクセス制御 …
  • ディスク上および転送中のデータの暗号化 …
  • Server の監視と管理 …

大きく分けて4つのようです。

アカウントによる認証

FileMaker プラットフォームは資格情報を保護するためにカスタム App 内に保存された資格情報を暗号化します。ユーザを Active Directory、Open Directory、または OAuth アイデンティティプロバイダを使用して認証することもできます。Claris FileMaker Cloud® で共有されるカスタム App の場合、ユーザはチームに設定された Claris ID アカウントまたは外部アイデンティティプロバイダ (IdP) アカウントで認証されます。

Claris FileMaker 19 セキュリティガイド: セキュリティオプションを構成するためのベストプラクティス

アカウントを使用して、保護されたファイルを開くユーザを認証します。
設定したアカウント、パスワードの情報は暗号化されるようです。
アカウント、パスワードの情報は外部から取得できないから安全ってことかな?と思います。

ファイルメニュー[ファイル][管理][データベース…]
「セキュリティの管理」ダイアログ

アクセス権セットによるアクセス制御

カスタム App へのアクセスレベルを決定する権限を定義します。必要な数のアクセス権セットを定義できます。

Claris FileMaker 19 セキュリティガイド: セキュリティオプションを構成するためのベストプラクティス

アクセス権セットを使用してファイルへのアクセス範囲を設定できます。
アカウントによってアクセス権セットを変えることで、データや処理に対して許可する内容を制限できるのでセキュリティが上がる。
「新規アクセス権セット…」から新しくオリジナルのアクセス権セットを作成できます。

「セキュリティの管理」ダイアログ
アクセス権セット: 鉛筆マークをクリック

・レコード
・レイアウト
・値一覧
・スクリプト
・拡張アクセス権
・その他のアクセス権
上記6項目についてのアクセスの制限を細かく設定することができます。

ディスク上および転送中のデータの暗号化

カスタム App 内に保存されたデータを暗号化できます。さらに、Claris FileMaker Server® または FileMaker Cloud 製品と FileMaker Pro 、Claris FileMaker Go®、Claris FileMaker WebDirect®、Claris FileMaker Data API、ODBC、JDBC、および OData 対応クライアントアプリケーション間のデータの SSL (Secure Socket Layer) 暗号化を要求することができます。データが暗号化されていない場合、FileMaker Cloud は自動的にデータを暗号化します。

Claris FileMaker 19 セキュリティガイド: セキュリティオプションを構成するためのベストプラクティス

カスタム App の暗号化

ファイルがコピーまたは盗まれた場合にデータを保護する、暗号化パスワードを作成できます。

データベースファイルの暗号化と復号
FileMaker 製品でのファイルの暗号化機能の使用

ファイルを暗号化するには:

  • 必要な物
    完全アクセス権アカウント
    暗号化パスワード
    共有ID 
  • マルチファイルカスタム App を使用して構成している場合、すべてのデータベースファイルを
  • 同じ暗号化パスワードと共有 ID で暗号化できる。(共有 ID でリンクされる)
  • マルチファイルカスタム App 内のファイルはすべて同時に暗号化する必要がある。
    ※新しいデータベースファイルを追加するには同じ暗号化パスワードと共有 ID を設定する。
  • [共有 ID] に、大文字または小文字、数字、記号から構成される 1 から 32 文字を入力します。
    ※共有 ID では、大文字と小文字が区別されます。
  • [暗号化パスワード]
    ※共有 ID では、大文字と小文字が区別されます。
    ※暗号化パスワードは修復できません。忘れないように。
  • デフォルト設定では、外部格納のオブジェクトデータはセキュア格納に設定される。
  • 暗号化されたファイルによって作成されたテンポラリファイルも暗号化される。
  • ファイルが暗号化されていない場合、FileMaker Cloud は自動的にファイルを暗号化する。
    ※FileMaker Cloud からローカルマシン上にダウンロードしたファイルは暗号化されたままになるため、ファイルを開くには暗号化パスワードが必要。

ファイルを復号するには:

  • 必要な物
    完全アクセス権アカウント
    暗号化パスワード

フィールドデータの暗号化

指定されたキーを使用して以下の関数でデータを暗号化および復号できる。
CryptEncryptBase64:
指定されたキーでデータを暗号化して Base64 フォーマットのテキストを返す。
YdJuEZueje5ybjg903wuVFYAOLy のように始まるテキストとして暗号化されたデータを返す。

CryptDecryptBase64:
指定されたキーで Base64 エンコードテキストを復号してテキストまたはオブジェクトデータを返す。

オブジェクトデータの暗号化

・カスタム App でデータベース暗号化を有効にする(カスタム App の暗号化)
・オブジェクトデータを外部に保存に設定する
→→→すべてのオブジェクトデータはデフォルトで暗号化される (セキュア格納)。
オブジェクトデータを暗号化しない場合は、オープン格納でオブジェクトデータを保持できる。

※FileMaker Cloud で共有されるファイルの場合、
外部に保存したオブジェクトデータを暗号化する必要があるためセキュア格納しか選択できない。

SSL暗号化

Claris FileMaker Server®や FileMaker Cloudとデータのやり取りする際の通信間をSSL認証によって暗号化する。

クライアント側 ( FileMakerPro とか) ←→ FileMaker Server
・クライアント側からFileMaker Server上にホストしているカスタムAppにアクセス。
・FileMaker Server からPC上にレイアウトやデータを表示させる。
・クライアント側 が編集したデータをFileMaker Server側に送る。
・「サーバー上スクリプト実行」時のFileMaker Server側クライアント側とのやり取り。
などの クライアント側 ( FileMakerPro ) とFileMaker Server とのデータのやり取りを
SSLで暗号化する。

FileMaker Server ←→ SQL
・SQL 側から FileMaker Server にホストされているカスタムAppにアクセス。
・クライアント側から FileMaker Server を通って SQL にアクセス。
などの SQL側と FileMaker Server とのデータのやり取りをSSLで暗号化する。

FileMaker ServerにホストしているカスタムAppのDBはServerに存在するため、常にデータのやり取りはSSL認証で暗号化された状態でやり取りが行われる。

Server の監視と管理

Admin Console を使用して、カスタム App へのアクセスの監視、アイドルユーザの接続解除、カスタム App のバックアップの作成を実行できます。FileMaker Cloud で共有されるカスタム App の場合、チームマネージャは Claris Customer Console を使用してチームにユーザを追加、およびカスタム App にアクセスできるユーザのグループを管理できます。

Claris FileMaker 19 セキュリティガイド: セキュリティオプションを構成するためのベストプラクティス

ログファイルからクライアントアクセスなどの過去の記録をチェックすることができる。
FileMaker Cloud は Claris Customer Console でユーザーの管理を行う。

セキュリティについて他にもいろいろ設定あるのだろうが、ひとまずはこんな感じで。。。

コメント

タイトルとURLをコピーしました