Microsoft FrontPage® 2000 では、Web サーバー上に作成し、編集する Web に対する権限を設定し、アクセスを制限するための管理ツールが提供されます。[ツール] メニューの [セキュリティ] をポイントし、[権限] をクリックすると、グループ、ユーザー、またはコンピュータに、次のような権限を Windows NT® サーバー上で割り当てることができます

• 参照 参照権限を持つユーザーは、ブラウザで Web を表示できますが、変更することはできません。Web を制限すると、指定されたユーザーだけが Web を表示できるように設定できます。
• 作成 作成権限を持つユーザーは、ブラウザで Web を表示し、Web のファイルの作成、削除、および変更を行うことができます。
• 管理 管理権限を持つユーザーは、作成権限を持つユーザーと同じようにブラウザで Web を表示し、Web のファイルの作成、削除、および変更を行うことができます。また、Web 全体の作成と削除、および Web に対する権限の設定を行うことができます。

状況によっては、FrontPage の [セキュリティ] コマンドを使用できないことがあります。Web サーバーに Web を発行し、FrontPage のセキュリティをサポートするように設定すると、セキュリティ機能を有効にできます。次のような状況では、このコマンドは無効になります。

• Web サーバーに Web が発行されているのではなく、ディスク上 (ハード ディスクやネットワーク共有) にある場合。
• FrontPage Server Extensions をインストールしていないサーバーに Web がある場合。
• Microsoft Personal Web Server に対して Web が発行されている場合。Personal Web Server では、アクセスを制限することはできません。
• Windows NT ファイル システム (NTFS) ではなく、ファイル アロケーション テーブル (FAT) を使用している Microsoft Internet Information Server に Web が発行されている場合。
• Web 管理者が Web で "権限を手動で管理する" 設定を有効にしている場合。

権限を設定すると、FrontPage ベースの Web でのセキュリティ レベルが変わります。この記事では、悪意を持った使用や不注意な使用から Web や Web サーバーを守るための追加の方法について説明します。権限の設定については、FrontPage オンライン ヘルプに詳しく説明されています。FrontPage でのセキュリティ機能の詳細については、「FrontPage 2000 Server Extensions リソース キット」を参照してください。

サブ Web を有効に使ってセキュリティを高める

機密性が高いデータが含まれている、制限された Web を発行する場合は、ルート Web ではなく、必ずサブ Web として発行してください。FrontPage ベースの Web に関する情報がどのように Web サーバーに保存されているかを知っている許可されていないユーザーが、常にルート Web レベルに存在する、特定の情報を見つけることができます。たとえば、FrontPage Server Extensions のバージョンや、サーバーの種類、スクリプトの URL などです。これらの情報を、だれかが侵入のための起点として使う可能性があります。機密性の高い情報用に安全なサブ Web を作成すると、そのデータとルート Web の間にセキュリティを設定できます。

FrontPage でのサブ Web には、親 Web とは異なる権限をサブ Web で使うように設定できるという機能があります。サブ Web を作成して機密性が高いデータを保存する場合は、サブ Web のセキュリティは親 Web のセキュリティよりも高くしてはならないことに注意してください。

たとえば、制限されていないルート Web の下に制限されたサブ Web を作成すると、そのサブ Web はルート Web にアクセスするユーザーには表示される可能性があります。FrontPage で使用されるリモート プロシージャの呼び出しに詳しいユーザーは、サブ Web が含まれているフォルダを発見し、そのフォルダ名を侵入の起点として使う可能性があります。また、制限されたサブ Web 内のページの URL を知っているユーザーは、ブラウザに URL を入力して、サブ Web のセキュリティを無効にできる可能性があります。

サブ Web へのアクセスを制限するには、最初に親 Web へのアクセスを制限する必要があります。FrontPage から、親 Web で [登録ユーザーだけが参照するアクセス権を持つ] を選択します。Web サーバーが Windows NT Server 上で実行される Internet Information Server の場合は、次のセキュリティ設定を使って親 Web を設定します。

• 認証方法では、匿名アクセスを無効にします。
  1. Internet Information Server の Microsoft 管理コンソールで、マウスの右ボタンで Web をクリックし、ショートカット メニューの [プロパティ] をクリックします。
  2. [ディレクトリ セキュリティ] タブで、[匿名アクセスと認証制御] の [編集] をクリックし、[匿名アクセスを許可する] チェック ボックスをオフにします。
• [すべてのユーザー] グループに明示的なアクセス権が与えられていないことを確認してください。
  1. FrontPage で、[権限] ダイアログ ボックスの [グループ] タブで、[すべてのユーザー] グループを削除し、[適用] をクリックします。
  2. [ユーザー] タブの [すべてのユーザーが参照するアクセス権を持つ] をクリックします。
• IUSR_<computername> アカウントに明示的なアクセス権が与えられていないことを確認します。
  1. FrontPageで、[権限] ダイアログ ボックスの [ユーザー] タブで、IUSR_<computername> ユーザーを削除し、[適用] をクリックします。
  2. [ユーザー] タブの [すべてのユーザーが参照するアクセス権を持つ] をクリックします。

作成権限を持つユーザーの操作を制限する

FrontPage ベースの Web が発行されている Web サーバーを管理している場合は、Web の作成権限を持つユーザーがサーバーにある特定のリソースにアクセスできないように設定できます。たとえば、ブラウザを使ってファイルを実行できる実行可能ディレクトリに、ユーザーが悪意を持ったファイルをアップロードできないように設定できます。

許可されていないプログラムをユーザーが Web サーバーにアップロードしたり実行したりできないようにするには、FrontPage 2000 Server Extensions に適切な設定変数を指定します。FrontPage Server Extensions の設定変数の詳細については、「FrontPage Server Extensions リソース キット」で、「付録」の最初の項目を参照してください。

次に示す設定変数を使うと、Web サーバーのスクリプトや実行可能ファイルへの作成権限を持つユーザーによるアクセスを制御できます。ほとんどの場合、FrontPage Server Extensions のインストール中に既定で行われる設定のままにしておくと、作成権限を持つユーザーによるアクセスを制限できます。たとえば、設定変数 NoExecutableCGIUpload は、既定で "オン" に設定されます。

• AllowExecutableScripts 作成権限を持つユーザーが、CGI スクリプト、ISAPI 拡張、ASP (Active Server Pages) などのスクリプトを実行できないようにするには、"オフ" (既定) に設定します。
• NoExecutableCGIUpload 作成権限を持つユーザーが実行可能ファイルをアップロードできないようにするには、"オン" (既定) に設定します。
• NoMarkScriptable 作成権限を持つユーザーが特定のフォルダでスクリプトを実行できないようにするには、"オフ" に設定します。既定では、この設定は "オン" になります。

作成権限を持つユーザーによっては、実行可能ファイルをアップロードしたり、スクリプトを実行したりしなければならない場合もあります。たとえば、FrontPage ベースの Web に企業データベースを組み込む場合や、作成権限を持つユーザーが ASP ページを使っている場合です。これらのユーザーが使用する仮想サーバーで適切な設定変数を指定すると、実行可能ファイルのアップロードやスクリプトの実行を、これらのユーザー向けに選択して有効にすることができます。

実行可能ファイルのアップロードやスクリプトの実行に加えて、システム データ ソース名 (システム DSN) もまた、Web の作成権限を持つユーザーに与えるには注意が必要な Web サーバー上のリソースです。システム DSN を非表示にするには、グローバルに、または個別の仮想サーバーごとに設定変数 ListSystemDSNs に "オフ" を設定します。FrontPage Server Extensions を最初にインストールしたときの既定の設定は、"オン" です。

データベース リソースを安全にする

FrontPage ベースの Web にデータベースが含まれている場合は、許可されていないユーザーがデータベースにアクセスできないようにするための処置を取ることができます。

• FrontPage ベースの Web にデータベースを追加する場合は、FrontPage が提供する _fpdb というフォルダにデータベースを保存します。このフォルダは、参照、スクリプト実行、および実行が不可能であると自動的にマークされます。
• データベースまたはデータベース サーバーに組み込まれたセキュリティ機能を使って、データベースの内容を更新できるユーザーを制限します。通常、Web の作成権限を持つユーザーのアカウントでは、SELECT および UPDATE を超える権限は必要とされません。これらの権限は、FrontPage によって使われます。データベース内にアクセス制限が設定されていないと、Web の作成権限または管理権限を持つすべてのユーザーは、データベースにアクセスし、内容を変更できる可能性があります。

Secure Sockets Layer を使う

パスワード保護を使うと、Web の特定のフォルダやデータへのアクセスを制限できます。しかし、パスワードやデータがネットワークにまたがってクリア テキストで渡されると、第三者がネットワーク データの捕捉プログラム (スニッファ) を実行し、パスワードやデータを捕捉する可能性があります。許可されていないユーザーが機密情報を横取りして解析できないようにするには、次のものに対して SSL (Secure Sockets Layer) プロトコルを使います。

• リモート管理
• 作成
• Web サイトの機密性が高い部分へのアクセス

SSL は、通信のプライバシ、認証、および TCP/IP 接続でのメッセージの整合性を提供するプロトコルです。SSL は、通常の方法では読むことができない暗号化された形式でパスワードを送信します。このプロトコルを使うと、盗聴、不正変更、またはメッセージの変更を防止しながら、ブラウザが Web サーバーと通信することができます。

SSL プロトコルを使って新しい Web に接続するには

1. FrontPage で、[ファイル] メニューの [新規作成] をポイントし、[Web] をクリックします。
2. [新規作成] ダイアログ ボックスの [保護機能付き接続 (SSL) を使用する] チェック ボックスをオンにします。

FrontPage ベースの Web の発行先である Web サーバーを管理している場合で、Web サーバーが Windows NT Server で実行される Internet Information Server であるときは、Microsoft 管理コンソールを使って、既存の Web で SSL を使用した作成を行うように要求できます。

既存の Web で SSL プロトコルを必要にするには

1. Microsoft 管理コンソールで、マウスの右ボタンで Web をクリックし、ショートカット メニューの [プロパティ] をクリックします。
2. [Server Extensions] タブの [作成に SSL を必要とする] チェック ボックスをオンにします。