ビュー:
Deep Securityは、役割ベースのアクセス制御(RBAC)を使用して、 Deep Securityの一部に対するユーザ権限を制限します。アクセス権限と編集権限は、ユーザにではなく、役割に関連付けられます。Deep Security Managerをインストールしたら、ユーザごとに個別のアカウントを作成し、各ユーザに役割を割り当てて、そのアクティビティをすべてのアクティビティに限定し、その職務の完了に必要なアクティビティのみを割り当てる必要があります。個々のユーザのアクセス権限と編集権限を変更するには、ユーザに別の役割を割り当てるか、役割自体を編集する必要があります。
役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。
Deep Securityには事前設定された2つの役割があります。
  • Full Access:: フルアクセスの役割により、コンピュータ、コンピュータグループ、ポリシー、ルール、不正プログラムの検索設定などの作成、編集、削除など、Deep Securityシステムの管理に関するすべての権限がユーザに付与されます。
  • Auditor:: 監査担当者の役割により、Deep Securityシステム内のすべての情報を表示できますが、パスワード、連絡先情報、ダッシュボードのレイアウト設定などの個人設定以外の変更はできません。
注意
注意
許可されたアクセスのレベルに応じて、Deep Security Managerのコントロールは表示および変更可能、表示可能、無効、または非表示のいずれかになります。事前に定義された役割で付与されている権限のリスト、および新しい役割を作成する際の権限の初期設定については、Full Access、Auditor、および新規の各役割の初期設定を参照してください。
新しい役割を作成して、特定のコンピュータ、セキュリティルールのプロパティ、またはシステム設定など、 Deep Securityオブジェクトの編集や表示を制限できます。
ユーザアカウントを作成する前に、ユーザが実行する役割を特定し、その役割にアクセスする必要のあるDeep Securityオブジェクトと、そのアクセスの性質(表示、編集、作成など)を列挙します。役割を作成したら、ユーザアカウントを作成して特定の役割を割り当てることができます。
注意
注意
Full Accessの役割を複製して変更する方法で新しい役割を作成しないでください。新しい役割に目的とする権限のみを確実に付与するには、ツールバーの [新規] をクリックして新しい役割を作成します。新しい役割の権限は、初期設定では最も制限された状態で設定されます。後で必要な権限のみを付与できます。Full Accessの役割を複製してから制限を適用すると、不要な権限を与える危険があります。
[新規] (new=d8045bf1-969d-4dfe-a659-ff5e16bbf545.png) または [プロパティ] (details=98b6c5e2-568a-4075-aae1-00f5d6b92811.png) をクリックすると、[ロールプロパティウィンドウ] が表示され、6 つのタブ ([一般、コンピュータ権限、ポリシー権限、ユーザ権限、その他の権限、][割り当て対象]) が表示されます。

役割を追加または編集する

  1. Deep Security Managerで、[管理]→[ユーザ管理]→[役割]に移動します。
  2. [新規] をクリックして新しいロールを追加するか、既存のロールをダブルクリックして設定を変更します。
  3. 次を含む、ロールの一般的なプロパティを指定します。
    • 名前: 役割の名前。ユーザの追加時に、[役割] 画面および使用可能な役割のリストに表示されます。
    • 説明:役割の説明 (オプション)。
    • アクセスの種類:この役割を持つユーザがDeep Security Manager、Deep Security Manager WebサービスAPI (従来のSOAP APIおよびREST APIに適用されます) 、またはその両方にアクセスするかどうかを選択します。
      レガシーSOAPおよびREST WebサービスAPIを有効にするには、[管理]→[システム設定]→[詳細設定]→[SOAP Web Service API]に移動してください。
    • Trend Cloud One - Endpoint & Workload Securityに移行する:このロールを持つユーザに、Workload Securityリンクへのアクセス権限、移行タスクの処理権限、またはその両方を付与するかどうかを選択します。
  4. [コンピュータの権限] ペインを使用して、役割のユーザに表示、編集、削除、警告とエラーのクリア、アラートの消去、イベントタグ付けの権限を付与します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用することも、特定のコンピュータに制限することもできます。アクセスを制限するには、ユーザが実行できる処理の種類を選択します。処理を [選択したコンピュータ] にのみ適用する場合は、この役割のユーザがアクセスできるコンピュータグループとコンピュータを選択します。
    これらの権限制限は、Deep Security Manager内のコンピュータへのユーザのアクセスだけでなく、イベントやアラートを含む表示される情報にも影響します。さらに、メール通知はユーザがアクセス権を持つデータに関連する場合にのみ送信されます。
    警告とエラーをクリアする権限が付与されると、その役割は閲覧者ではなく編集者と見なされます。
    2016-07-05_000071_DS10=b61429b5-235a-4268-829e-a38e1bcbeaed.png利用可能な基本オプションは4つです:
    • 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示::この役割のユーザの編集、削除、またはアラート消去の権限が制限されている場合でも、このチェックボックスをオンにすることで他のコンピュータに関する情報の表示 (変更は不可) を許可できます。
    • コンピュータに関連していないイベントおよびアラートを表示::このオプションを設定して、この役割のユーザがコンピュータ関連以外の情報 (例えば、システムイベント、ユーザがロックされた、新しいファイアウォールルールが作成された、IPリストが削除されたなど) を表示できるようにします
      注意
      注意
      前述の2つの設定は、ユーザがアクセスできるデータに影響します。この2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。
    • 選択したグループ内に新しいコンピュータを作成::この役割のユーザが、アクセス可能なコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
    • 選択したグループ内にサブグループを追加または削除::この役割のユーザが、アクセス可能なコンピュータグループ内にサブグループを作成および削除できるようにするには、このオプションを設定します。
    [詳細な権限] セクションでこれらを有効にすることもできます。
    • コンピュータファイルをインポート::この役割のユーザは、 Deep Security Managerの[コンピュータエクスポート]オプションを使用して作成されたファイルを使用してコンピュータをインポートできます。
    • ディレクトリを追加、削除、および同期::この役割のユーザが、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加、削除、および同期できるようにします。
    • VMware vCenterを追加、削除、および同期::この役割のユーザが、VMware vCenterを追加、削除、および同期できるようにします。
    • クラウドプロバイダーの追加、削除、および同期を許可::この役割のユーザが、クラウドプロバイダを追加、削除、および同期できるようにします。
  5. [ポリシーの権限] タブを使用して、表示、編集、および削除の権限をある役割のユーザに与えます。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー:: をクリックし、この役割のユーザにアクセス権を与えるポリシーの横にあるチェックボックスをオンにします。
    2016-07-05_000072_DS10=75d00ecb-ac7d-4c5c-a684-578f18e67392.png
    「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。
    次に示す2つの基本オプションを使用できます。
    • 選択されていないポリシーを表示::この役割のユーザの編集または削除の権限が制限されている場合でも、このチェックボックスをオンにすることで他のポリシーに関する情報の表示 (変更は不可) を許可できます。
    • ポリシーの作成::この役割のユーザが新しいポリシーを作成できるようにするには、このオプションを設定します。
    [詳細な権限] セクションで以下を有効にすることもできます。
    • ポリシーのインポートを許可::この役割のユーザに、[ポリシー]タブのDeep Security Managerの[エクスポート]オプションで作成されたファイルを使用してポリシーをインポートできるようにします。
  6. [ユーザ権限] タブのオプションを使用して、管理者アカウントの権限を定義すできます。
    2016-07-05_000075_DS10=73402bd3-6fd1-47e6-8b08-0a116219dfd6.png
    • 自身のパスワードと連絡先情報のみを変更::ユーザは、この役割で自身のパスワードと連絡先情報のみを変更できます。
    • 同等以下のアクセス権を持つユーザを作成および管理::この役割のユーザは、同等以下のアクセス権を持つユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
    • すべての役割およびユーザを完全に管理::この役割のユーザは、ユーザと役割を制限なしで作成および管理できます。このオプションの使用には、十分な注意が必要です。このロールを役割に割り当てる場合は、制限された権限を持つユーザに対して、Deep Security Managerのすべての側面に対するすべての制限のないアクセス権を持つユーザとして作成してからログインすることができます。
    • カスタム:: [カスタム] を選択して、[カスタム権限] セクションのオプションを使用すると、ユーザが他のユーザおよび役割を表示、作成、編集、または削除する権限をさらに制限できます。[同等以下の権限を持つユーザのみを操作] オプションを選択すると、特定のユーザに対して一部のオプションが制限される場合があります。
      [同等以下の権限を持つユーザのみを操作] オプションでは、この役割のユーザの権限をさらに制限します。ユーザは、自身と同等または下位の権限を持つユーザに対する変更のみ行うことができます。この役割のユーザは、役割を作成、編集、削除できなくなります。このオプションを選択すると、[カスタム権限] セクションの以下のオプションが制限されます。
      • 新規ユーザを作成できます::同等または下位の権限を持つユーザの作成のみ可能です。
      • ユーザプロパティを編集できます:同等または下位の権限を持つユーザの編集、またはパスワードの設定またはリセットのみ可能です。
      • ユーザを削除できます::同等または下位の権限を持つユーザの削除のみ可能です。
  7. [その他の権限]タブでは、特定のDeep Securityの機能にのみアクセスできるように、また場合によってはそれらの機能で特定の処理にアクセスできるように、役割の権限を制限できます。たとえば、管理者が複数いる場合、誤って他の管理者の作業内容を上書きすることがないように各管理者の権限を制限できます。初期設定では、各役割は各機能に対して[表示のみ]または[非表示]に設定されています。アクセスを細かく変更またはカスタマイズするには、リストから[カスタム]を選択します。
    2016-07-05_000074_DS10=467fcafb-88c0-4784-9f09-223f5520b1ae.png
  8. [割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。
 

Full Access、Auditor、および新規の各役割の初期設定

次の表は、Full Accessの役割とAuditorの役割に対する権限の初期設定を示しています。また、[役割] 画面のツールバーで [新規] をクリックして新しい役割を作成するときの権限の設定についても示します。
権限
役割別の設定
一般
Full Accessの役割
Auditorの役割
新規役割の初期設定
DSMユーザインタフェースへのアクセス
許可
許可
許可
WebサービスAPIへのアクセス
許可
許可
不許可
コンピュータの権限
Full Accessの役割
Auditorの役割
新規役割の初期設定
表示
許可、すべてのコンピュータ
許可、すべてのコンピュータ
許可、すべてのコンピュータ
警告/エラーのクリア対象
許可、すべてのコンピュータ、
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
編集
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
削除
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
アラートの消去
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
アイテムのタグ付け
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示
許可
許可
許可、すべてのコンピュータ
コンピュータに関連していないイベントおよびアラートを表示
許可
許可
許可、すべてのコンピュータ
選択したグループ内に新しいコンピュータを作成
許可
不許可
不許可
選択したグループ内にサブグループを追加または削除
許可
不許可
不許可
コンピュータファイルをインポート
許可
不許可
不許可
クラウドアカウントの追加、削除、および同期を許可
許可
不許可
不許可
ポリシーの権限
Full Accessの役割
Auditorの役割
新規役割の初期設定
表示
許可、すべてのポリシー
許可、すべてのポリシー
許可、すべてのポリシー
編集
許可、すべてのポリシー
不許可、すべてのポリシー
不許可、すべてのポリシー
削除
許可、すべてのポリシー
不許可、すべてのポリシー
不許可、すべてのポリシー
選択されていないポリシーの表示
許可
許可
許可
新規ポリシーの作成
許可
不許可
不許可
ポリシーのインポート
許可
不許可
不許可
ユーザ権限 (この後の「ユーザ権限に関する注意」を参照)
Full Accessの役割
Auditorの役割
新規役割の初期設定
ユーザの表示
許可
許可
不許可
ユーザの作成
許可
不許可
不許可
ユーザプロパティの編集
許可
不許可
不許可
ユーザの削除
許可
不許可
不許可
役割の表示
許可
許可
不許可
役割の作成
許可
不許可
不許可
役割のプロパティの編集
許可
不許可
不許可
役割の削除
許可
不許可
不許可
権限の委任
許可
不許可
不許可
その他の権限
Full Accessの役割
Auditorの役割
新規役割の初期設定
アラート
完全 (グローバルアラートを消去可能)
表示のみ
表示のみ
アラート設定
完全 (アラート設定を編集可能)
表示のみ
表示のみ
IPリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
ポートリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
Schedules
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
システム設定 (グローバル)
完全 (システム設定 (グローバル) を表示、編集可能)
非表示
非表示
診断
完全 (診断パッケージを作成可能)
表示のみ
表示のみ
タグ付け
完全 (タグ付け (コンピュータに属さない項目)、タグ削除、所有していない自動タグルールをアップデート、所有していない自動タグルールを実行、および所有していない自動タグルールを削除可能)
表示のみ
表示のみ
タスク
完全 (タスクを表示、追加、編集、削除、および実行可能)
非表示
非表示
マルチテナントの管理
完全
非表示
非表示
検索キャッシュ設定の管理
完全
表示のみ
表示のみ
連絡先
完全 (連絡先を表示、作成、編集、および削除可能)
非表示
非表示
ライセンス
完全 (ライセンスを表示および変更可能)
非表示
非表示
アップデート
完全(ソフトウェアの追加、編集、削除、コンポーネントのアップデートの表示、アップデートコンポーネントのダウンロード、インポート、適用、 Deep Securityルールアップデートの削除が可能)
非表示
非表示
資産評価
完全 (資産評価を作成、編集、および削除可能)
表示のみ
表示のみ
証明書
完全 (SSL証明書を作成および削除可能)
表示のみ
表示のみ
Relayグループ
完全
表示のみ
表示のみ
プロキシ
完全
表示のみ
表示のみ
SAMLアイデンティティプロバイダ
完全
非表示
非表示
不正プログラム検索設定
完全 (不正プログラム検索設定を作成、編集、および削除可能)
表示のみ
表示のみ
隔離ファイル
完全 (検出ファイルを削除およびダウンロード可能)
表示のみ
表示のみ
Webレピュテーション設定
完全
表示のみ
表示のみ
ディレクトリリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
ファイルリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
ファイル拡張子リスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
ファイアウォールルール
完全 (ファイアウォールルールを作成、編集、および削除可能)
表示のみ
表示のみ
ファイアウォールステートフル設定
完全 (ファイアウォールステートフル設定を作成、編集、および削除可能)
表示のみ
表示のみ
IPSルール
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
アプリケーションの種類
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
MACリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
コンテキスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
変更監視ルール
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
セキュリティログ監視ルール
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
セキュリティログ監視デコーダ
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
アプリケーションコントロールルールセット
完全( アプリケーションコントロール ルールセットの作成、表示、編集、または削除が可能)
非表示
非表示
アプリケーションコントロールルール
完全( アプリケーションコントロール ルールの作成、表示、編集、または削除が可能)
非表示
非表示
アプリケーションコントロールの承認されていないソフトウェア
完全(認識できないソフトウェアを表示または許可/ブロックできます)
非表示
非表示
アプリケーションコントロールソフトウェアインベントリ
完全(ソフトウェアインベントリを作成、表示、または削除できます)
非表示
非表示
[自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定を次の表に示します。
[自身のパスワードと連絡先情報のみを変更]オプションに対応するカスタム設定
ユーザ
ユーザを表示できます
不許可
新規ユーザを作成できます
不許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
不許可
ユーザを削除できます
不許可
役割
役割を表示できます
不許可
新規の役割を作成できます
不許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)
不許可
役割を削除できます
不許可
権限の委任
同等以下の権限を持つユーザのみを操作
不許可
[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定を次の表に示します。
[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定
ユーザ
ユーザを表示できます
許可
新規ユーザを作成できます
許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
許可
ユーザを削除できます
許可
役割
役割を表示できます
不許可
新規の役割を作成できます
不許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)
不許可
役割を削除できます
不許可
権限の委任
同等以下の権限を持つユーザのみを操作
許可
すべての役割およびユーザを完全に管理 オプションに対応するカスタム設定を次の表に示します。
[すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定
ユーザ
ユーザを表示できます
許可
新規ユーザを作成できます
許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
許可
ユーザを削除できます
許可
役割
役割を表示できます
許可
新規の役割を作成できます
許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)
許可
役割を削除できます
許可
権限の委任
同等以下の権限を持つユーザのみを操作
該当なし