サイトのセキュリティを計画する (Windows SharePoint Services)

この記事の内容 :

• サイトのセキュリティ要素について

• 権限の割り当てについて

• 詳細な権限および権限の継承について

• 使用するサイトのセキュリティ レベルを選択する

• 権限の継承の計画

• ワークシート

この記事では、サイト コレクション、サイト、およびサブサイトの各レベルにおけるアクセス制御とアクセス許可の計画について説明します。サーバーおよびサーバー ファームのセキュリティに関する計画はこの記事の対象外です。認証方法、暗号化などの、セキュリティのその他の面に関する計画については、「サイトおよびコンテンツのセキュリティを計画する (Windows SharePoint Services)」を参照してください。

サイトのセキュリティは、特定のセキュリティ保護可能なオブジェクト (サイト、リスト、アイテムなど) に対する権限をユーザーおよびグループに割り当てることによって制御します。サイトのセキュリティを計画する場合は、以下の事項を決定する必要があります。

• セキュリティ保護可能な各オブジェクトに対し、権限をどの程度制御するか。たとえば、サイト全体に対するアクセスを制御するか、特定のリスト、フォルダ、またはアイテムに対して特定のセキュリティ設定が必要なのかを指定します。

• グループの使用によるユーザーの分類と管理をどのように行うか。この記事は、サイトのセキュリティの基本について説明します。特定の権限の適用対象とする、セキュリティ保護可能なオブジェクトを決定する際に役立ちます。ユーザーのグループへの分類の詳細については、「使用するセキュリティ グループを選択する (Windows SharePoint Services)」を参照してください。

  注意

  グループと権限との間の関係は、前バージョンから大幅に変更されました。前バージョンでは、ユーザーと権限の両方を含めるのにサイトレベルのグループが使用されていました。つまり、サイト グループにユーザーを追加すると、ユーザーに付与されるサイトでの権限が自動的に指定されました。本バージョンでは、ユーザー グループと権限の概念が分割されました。サイト コレクション レベルの SharePoint グループにユーザーが含められ、アクセス許可レベルに権限が含められます。特定のセキュリティ保護可能なオブジェクト (サイト、リストやライブラリ、フォルダ、アイテム、ドキュメントなど) に対するアクセス許可レベルが割り当てられない限り、グループには権限が付与されません。

サイトのセキュリティ要素について

作成するサイトの種類にかかわらず、サイトのセキュリティには以下の 5 つの要素が含まれます。

• 個別のユーザー権限   個別の権限は、特定の操作の実行を許可します。たとえば、アイテムの表示権限は、リスト内のアイテムの閲覧をユーザーに許可します。ファーム管理者は、サーバーの全体管理で [Web アプリケーションのユーザー権限] ページを使用して、サーバー ファームで使用できる権限を制御することができます (このページを表示するには、[アプリケーション構成の管理] ページの [アプリケーション セキュリティ] で [Web アプリケーションのユーザー権限] をクリックします)。使用できる権限の詳細については、「ユーザー権限とアクセス許可レベル」を参照してください。

• アクセス許可レベル   関連する操作を実行するための権限をユーザーに付与する、事前に定義されている一連の権限。既定のアクセス許可レベルには、制限付きアクセス、読み取り、投稿、デザイン、およびフル コントロールがあります。たとえば、閲覧アクセス許可レベルにはアイテムの表示、アイテムを開く、ページの表示、バージョンの表示などの権限が含まれます。これらはすべて、SharePoint サイトのドキュメント、アイテム、およびページを閲覧するために必要です。権限は複数のアクセス許可レベルに含めることができます。権限の管理権限を含むアクセス許可レベルに割り当てられているユーザーであれば、アクセス許可レベルをカスタマイズすることができます。既定のアクセス許可レベル、およびこれらのアクセス許可レベルに含まれている権限の詳細については、「ユーザー権限とアクセス許可レベル」を参照してください。

• ユーザー   ユーザー アカウントを持つ人のことで、サーバーで使用されている認証方法を通じてアクセスを許可することができます。個々のユーザーを追加し、各ユーザーにアクセス許可レベルを直接割り当てることができます。ユーザーがグループのメンバである必要はありません。権限は、ユーザーではなくグループに割り当てることをお勧めします。権限に関してユーザー アカウント単位で管理することは効率的ではないため、ユーザー単位での権限の割り当ては例外としてのみ行うようにしてください。ユーザー アカウントの種類の詳細については、「ユーザー権限とアクセス許可レベル」を参照してください。

• グループ   ユーザーの集合体です。グループには、サイトに追加する Windows セキュリティ グループ (Department_A など) と、SharePoint グループ (サイトの所有者、サイトのメンバ、サイトの閲覧者など) があります。各 SharePoint グループには、既定のアクセス許可レベルが割り当てられていますが、グループのアクセス許可レベルは必要に応じて変更できます。グループの作成権限を含むアクセス許可レベル (既定ではフル コントロール アクセス許可レベルに含まれています) が割り当てられているユーザーは、カスタム SharePoint グループを作成できます。

• セキュリティ保護可能なオブジェクト   ユーザーまたはグループには、特定のセキュリティ保護可能なオブジェクト (サイト、リスト、ライブラリ、フォルダ、ドキュメント、またはアイテム) に対するアクセス許可レベルが割り当てられます。既定では、リスト、ライブラリ、フォルダ、ドキュメント、またはアイテムに対する権限は、親サイト、親リスト、または親ライブラリから継承されます。ただし、特定のセキュリティ保護可能なオブジェクトに対する権限の管理権限を含むアクセス許可レベルが割り当てられている任意のユーザーは、そのセキュリティ保護可能なオブジェクトに対する権限を変更できます。既定では、権限は最初はサイト レベルで制御され、リストおよびライブラリはすべてサイトの権限を継承します。サイト コンテンツを表示または操作できるユーザーをさらに詳細に制御するには、リストレベル、フォルダレベル、およびアイテムレベルの権限を使用します。権限を親リスト、サイト全体、または親サイトから継承するように戻すことはいつでもできます。

権限の割り当てについて

ユーザーまたはグループに、特定のセキュリティ保護可能なオブジェクト (サイト、リスト、またはアイテム) に対するアクセス許可レベルを割り当てることができます。ユーザー単位またはグループ単位で、セキュリティ保護可能なオブジェクトごとに異なるアクセス許可レベルを設定することができます。

次の図は、セキュリティ保護可能な特定のオブジェクトについて、ユーザーとグループに特定のアクセス許可レベルがどのように割り当てられているのかを示しています。

詳細な権限および権限の継承について

詳細に設定された権限 (リストやライブラリ、フォルダ、アイテム、ドキュメントのレベルで設定された権限) を使用して、サイト上でユーザーが実行可能な操作を厳密に制御することができます。権限を割り当てることのできる、セキュリティ保護可能なオブジェクトは次のとおりです。

• サイト   サイト全体に対するアクセスを制御します。

• リストまたはライブラリ   特定のリストまたはライブラリに対するアクセスを制御します。

• フォルダ   フォルダのプロパティ (フォルダ名など) に対するアクセスを制御します。

• アイテムまたはドキュメント   特定のリスト アイテムまたはドキュメントに対するアクセスを制御します。

権限の継承と詳細に設定された権限

既定では、サイト内の権限はサイトから継承されます。ただし、セキュリティ保護可能なオブジェクトに設定されている権限を編集 (固有の権限割り当てを作成) することにより、階層内のより下位のレベルに存在するセキュリティ保護可能なオブジェクトに対する権限の継承を解除することができます。たとえば、ドキュメント ライブラリに対する権限を編集することができ、これによりサイトからの権限の継承は解除されます。ただし、権限の継承が解除されるのは、権限を新たに割り当てたセキュリティ保護可能な特定のオブジェクトに対してのみであり、サイト内のそれ以外の権限は変更されません。権限を親リストまたはサイトから継承するように戻すことはいつでもできます。

権限の継承とサブサイト

Web サイトはそれ自身がセキュリティ保護可能なオブジェクトで、権限を割り当てることができます。親サイトから権限を継承するようにサブサイトを構成したり、特定サイトに対する独自の権限を作成したりすることができます。一連の Web サイトを管理するには、権限を継承するのが最も簡単な方法です。ただし、サブサイトがその親から権限を継承する場合、その一連の権限は共有されます。つまり、親サイトから権限を継承しているサブサイトの所有者は、親サイトの権限を編集できることになります。サブサイトでのみ権限を変更する場合は、権限の継承を停止してから変更を加える必要があります。

サブサイトは、親サイトから権限を継承できます。一意な権限を作成すると、サブサイトの権限の継承を停止することができます。こうすると、グループ、ユーザー、およびアクセス許可レベルが親サイトからサブサイトにコピーされ、継承が停止されます。一意な権限から継承した権限に変更すると、ユーザー、グループ、およびアクセス許可レベルの継承が開始され、サブサイトで一意に定義したユーザー、グループ、またはアクセス許可レベルはすべて失われます。アクセス許可レベルも継承できます (既定では継承されます)。たとえば、読み取りアクセス許可レベルは、どのようなオブジェクトに適用されていても同様です。その継承を停止するには、アクセス許可レベルを編集します。たとえば、特定のサブサイトにおける読み取りアクセス許可レベルに通知の作成権限が含まれないようにすることができます。

使用するサイトのセキュリティ レベルを選択する

権限の構成を作成する場合は、管理の簡単さ、パフォーマンス、および個々のアイテムに対する特定の権限を制御する必要性との間でバランスをとることが重要です。詳細に設定された権限を広範囲に使用する場合は、権限の管理により多くの時間がかかるので、ユーザーはサイト コンテンツにアクセスしようとしたときにパフォーマンスの低さを感じる可能性があります。サイトへのアクセスを認証する場合は、他のサーバーや Web サイトと同様に、最低限の権限を与えるという原則に従うことも重要です。つまり、ユーザーには必要なアクセス許可レベルのみを付与する必要があります。まず、標準のグループ (メンバ、訪問者、所有者など) を使用することから開始し、サイト レベルで権限を制御するのが最も簡単な管理方法です。大部分のユーザーを訪問者グループまたはメンバ グループのメンバにします。所有者グループのユーザー数を、サイトの構成の変更を許可したり、サイトの設定および外観の変更を許可するユーザーのみに制限します。既定では、メンバ グループのユーザーは、サイトに投稿でき、アイテムやドキュメントの追加、削除を行うことができますが、サイトの構造を変更したり、サイトの設定や外観を変更したりすることはできません。ユーザーが実行する操作に対してより詳細に制御する必要のある場合は、SharePoint グループやアクセス許可レベルを新たに作成することができます。

機密性の高いデータを含むリストやライブラリ、フォルダ、アイテム、ドキュメントが存在し、より高いセキュリティが必要な場合、特定のグループまたは個別のユーザーに対して権限を与えることができます。ただし、サイト内のリスト、ライブラリ、フォルダ、アイテム、またはドキュメントに固有の権限すべてを閲覧する方法がないため注意が必要です。つまり、どのユーザーがどのセキュリティ保護可能なオブジェクトに対する権限を持つのかをすばやく確認するのは簡単なことではありません。また、詳細な権限を一括でリセットすることは困難です。

権限の継承の計画

権限および継承される権限の階層を明確にしておくと、最も簡単に権限を管理できます。サイト内の一部のリストに詳細な権限が適用されており、一部のサイトに一意の権限を持つサブサイトと継承した権限を持つサブサイトが含まれる場合、管理は難しくなります。ほとんどの権限を共有できるよう、サイトとサブサイト、そしてリストとライブラリをできるだけ整理します。機密性の高いデータは、専用のリストやライブラリ、サブサイトに分離しておきます。

たとえば、以下の表に示すように権限を継承しているサイトはより簡単に管理できます。

対照的に、以下の表に示すように権限を継承しているサイトを管理するのは簡単ではありません。

ワークシート

サイトの階層を記入し、階層の各レベルで必要な権限および権限の継承を一覧にするには、以下のワークシートを使用します。

• サイトおよびコンテンツのセキュリティ ワークシート (https://go.microsoft.com/fwlink/?linkid=73136&clcid=0x411)