このタスクについて

ECL では、クライアント上で実行されるアクティブコンテンツのアクションを制限するよう設定することができます。ECL は、コードの署名者が該当するクライアント上でコードの実行を許可されているかどうかを判断し、そのコードがさまざまなクライアント機能に対して持つアクセス権を定義します。たとえば、別のユーザーのコードがコンピュータ上で実行されて、データに損傷を与えたり、データを削除することを防止できます。

「アクティブコンテンツ」には、式、スクリプト、エージェント、データベースやテンプレート内の設計要素、格納フォーム、アクション、ボタン、ホットスポットを持つ文書、悪意のあるコード (ウィルスやいわゆる「トロイの木馬プログラム」) なども含め、クライアント上で実行可能なあらゆるものが含まれます。

ECL にはいくつかの種類があります。システム管理 ECL は Domino ディレクトリ (NAMES.NSF) に存在し、クライアントの ECL はユーザーの連絡先 (NAMES.NSF) に格納されます。 システム管理 ECL は、すべてのクライアント ECL のテンプレートです。クライアントの ECL は、IBM Notes クライアントを初めてインストールする際に作成されます。セットアッププログラムは、システム管理 ECL を Domino ディレクトリから Notes クライアントにコピーし、クライアントの ECL を作成します。

クライアントの ECL

このタスクについて

クライアントの ECL には、アクティブコンテンツの信頼できる作成者の署名が記載されています。「信頼できる」とは、その署名の送信元が明白で安全という意味です。たとえば、Domino や Notes に添付されているシステムテンプレートやアプリケーションテンプレートにはすべて、「Notes Template Development」という署名が付いています。それと同様に、組織が設計するテンプレートやデータベースにはすべて、アプリケーション開発者か管理者の署名が付いています。

どの署名の場合でも、その署名が付いているアクティブコンテンツで実行可能なアクションとクライアント上でアクセス可能なシステムリソースを制御するための一連の設定値が ECL に指定されています。

手順

1. [ファイル] -> [セキュリティ] -> [ユーザーセキュリティ] (Macintosh OS X ユーザーの場合: [IBM Notes] -> [セキュリティ] -> [ユーザーセキュリティ]) を選択します。

2. [実行制御] をクリックした後、[ワークステーション]、[アプレット]、[JavaScript] をクリックします。

注: ECL に対する実際のアクセス権は、適切な ECL ペインでのみ表示できます。たとえば、ECL の JavaScript™ に誰がアクセスしたのかを表示するには、JavaScript ECL ペインを選択します。

• リストボックスに、このセッション中にこの ECL へのアクセス権を持つユーザーとグループが表示されます。
• ユーザーやグループのアクセス権を表示するには、名前を選択します。選択した名前のアクセス権がチェックボックスで示されます。

このタスクについて

アクティブコンテンツがクライアント上で実行され、有害な可能性のあるアクション (プログラムを実行してメールを送信するなど) が試行されると、Notes では次のような処理が行われます。

手順

1. そのアクティブコンテンツに署名があるかどうかを調べ、コードの署名者をクライアント ECL 内で検索します。

2. 署名者の ECL の設定をチェックし、該当するアクションが許可されているかどうかを調べます。

3. 次のどちらかが行われます。

a. コードの署名者がクライアント ECL に記載されており、該当する設定が有効になっている場合は、アクティブコンテンツが実行されます。

b. 署名者に対して許可されていないアクションをアクティブコンテンツが実行しようとするか、署名者が ECL に記載されていない場合は、Notes がセキュリティ違反 (ESA) を生成します。これには、試行されたアクション、署名者の名前、無効になっている ECL 設定が記載されます。

ESA には、次の 5 つのオプションがあります。

• 操作を実行しない - 署名者に対して、指定のアクションを実行するアクセス権を拒否します。
• 1 回のみ操作を実行 - 署名者に対して、アクションを一度だけ実行するアクセス権を許可します。同じアクションがもう一度試行されると、ESA が再度表示されます。このオプションでは ECL を変更することはできません。
• 今回の Notes セッションでこのアクションを実行するために署名者を信用する - 署名者に対して、Notes セッション中に限りアクションを実行するアクセス権を許可します。セッションは、ユーザーが Notes からログアウトするか別の Notes ID に切り替えるまで続きます。このオプションでは ECL を変更することはできません。このオプションでは ECL を変更することはできません。
• 今後、この操作の実行を署名者に許可 - アクションの実行が許可されます。ECL の設定が変更され、該当するアクティブコンテンツの署名が ECL に追加されます。署名者には、該当するアクションをクライアント上でいつでも実行できる権限が与えられます。
• 情報 - ESA が出力される原因となったコードの設計の種類、設計名、IBM Notes ID、署名の状態、親データベースに関する情報がダイアログボックスに表示されます。

  たとえば、ローカルにスケジュールされているエージェントや手動のエージェントなどは、ESA を生成できます。警告を生成したエージェントに関する情報を取得するには、[情報] をクリックします。


注: システム管理 ECL には、クライアントの ECL の変更をユーザーに禁止する設定もあります。この設定を有効にすると、[今後、この操作の実行を署名者に許可] オプションが無効になります。

このタスクについて

ユーザーはこのほかにも、ユーザーやグループが ECL の [有効なアクセス権] ボタンをクリックすることでクライアントの ECL に対して [有効なアクセス権] を判別することができます。有効なアクセス権は、特に Notes セッション中のユーザーが ECL のアクセス権を持つかどうかなど、明白でない場合があります。たとえば、ユーザーはデータベースアプリケーションを設計したグループに対し、そのデータベースアプリケーションで作業している間は一時的にアクセス権を持つ場合があります。このアクセス権は 1 つのセッション中でのみ有効となりますが、セッションによっては 1 日中続くものもあります。

注: ユーザーが自分の ECL を変更する権限を制限すると、[ECL セッションの有効化] ボタンはグレー表示され、選択できません。

関連概念
システム管理 ECL

関連タスク
IBM Notes ユーザー登録のデフォルト設定を定義する
ユーザー登録をカスタマイズする

関連資料
ECL のセキュリティアクセスオプション
デフォルトの ECL 設定

フィードバック: ヘルプ または 製品のユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィードバック: ヘルプ または ユーザビリティ

ヘルプのヘルプ