ビュー:
Trend Cloud Oneでは、役割ベースのアクセス制御 (RBAC) を使用して、ユーザの権限をサービスの一部に制限します。アクセス権と編集権限は、ユーザではなく役割に割り当てられます。各ユーザに個別のアカウントを作成し、各ユーザに役割を割り当てて、職務の完了に必要なアクティビティに制限する必要があります。個々のユーザのアクセス権と編集権限を変更するには、そのユーザに別の役割を割り当てるか、役割を編集する必要があります。
これらの設定は、Trend Cloud One - File Storage SecurityおよびTrend Cloud One - Container Securityでもサポートされています。
役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。
Trend Cloud Oneには、次の5つの役割が事前に設定されています。
  • Full Access: フルアクセスロールは、リソース、ポリシー、ルールの作成、編集、削除、ユーザとロールの管理など、Trend Cloud Oneサービスの管理においてユーザに可能なすべての権限を付与します。
  • Auditor: 監査役の役割は、ユーザにTrend Cloud Oneサービス内のすべての情報を閲覧する能力を与えますが、パスワード、連絡先情報、ダッシュボードのレイアウト設定などの個人設定を除いて、変更を加えることはできません。
  • Workload Security Read Only: このロールはAuditorロールと同じ設定を持っていますが、このロールは変更できません。新しいTrend Cloud OneアカウントのRead OnlyロールはWorkload Securityでこのロールにマッピングされます。
  • Deep Security Migration: Deep SecurityソフトウェアがWorkload Securityへの移行に使用するロール。詳細については、Deep Securityヘルプを参照してください。
  • Trend Vision One: Trend Vision Oneで使用されるロール。
現在、カスタムロールはTrend Cloud One - Endpoint & Workload Securityのみでサポートされています。Workload Securityのカスタムロールは、ユーザが他のTrend Cloud Oneサービスにアクセスする際には監査人ロールとして扱われます。

カスタム Workload Security 権限

付与されたアクセスレベルに応じて、Workload Securityのコントロールは表示および変更可能、表示のみで無効、または非表示のいずれかになります。事前構成されたロールで付与される権限の一覧や、新しいロールを作成する際のデフォルトの権限設定については、フルアクセス、監査、および新しいロールのデフォルト設定を参照してください。
特定のコンピュータ、セキュリティルールのプロパティ、システム設定などの Workload Security オブジェクトの編集や表示を制限する新しい役割を作成できます。
ユーザアカウントを作成する前に、ユーザが担う役割を特定し、その役割がアクセスする必要のあるWorkload Securityオブジェクトと、そのアクセスの性質 (表示、編集、作成など) を示します。役割を作成したら、ユーザアカウントの作成を開始し、特定の役割を割り当てます。
完全アクセスロールを複製して変更することで新しいロールを作成しないでください。新しいロールが意図した権限のみを付与するようにするには、Trend ツールバーで[新規]をクリックして新しいロールを作成してください。新しいロールの権限はデフォルトで最も制限された設定に設定されます。その後、必要な権限のみを付与することができます。完全アクセスロールを複製して制限を適用すると、意図しない権限を付与してしまうリスクがあります。
[新規] (new=3dd69943-a148-4400-888d-22eaa12feafa.png) または [プロパティ] (details=03aeb796-4b32-416d-950d-c3fd30699bdb.png) をクリックすると、[役割のプロパティ] が表示され、6つのタブがあります: [一般, コンピュータの権限, ポリシーの権限, ユーザ権限, その他の権限,][割り当て対象]

役割を追加または編集する

  1. Trend Cloud One - Endpoint & Workload Securityページから、[管理][ユーザ管理][役割]をクリックします。
  2. [新規]をクリックして新しいロールを追加するか、既存のロールをダブルクリックしてその設定を編集します。
  3. 次を含む、役割の一般的なプロパティを指定します。
    • [名前:] は、[役割] ページおよびユーザ追加時に利用可能な役割の一覧に表示される役割の名前です。
    • [説明]役割のオプションの説明。
    • [アクセスの種類:] このロールを持つユーザがDeep Security ManagerユーザインターフェースまたはWeb Service APIにアクセスできるかどうかを選択します。
  4. [コンピュータの権限] タブを使用して、役割内のユーザに対する閲覧、編集、削除、アラート解除、およびイベントタグ付けの権限を設定します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用することも、特定のコンピュータにのみ制限することもできます。
  5. アクセスを制限するには、[Selected Computers]を選択し、この役割のユーザがアクセスできるコンピュータグループとコンピュータを選択します。これらの権限制限は、ユーザのWorkload Security内のコンピュータへのアクセスだけでなく、イベントやアラートを含む表示される情報にも影響します。さらに、メール通知はユーザがアクセス権を持つデータに関連する場合のみ送信されます。
    2016-07-05_000071_DS10=099c641a-85b6-424b-b3e1-f790c291329f.png
    次に示す4つの基本オプションを使用できます。
    • 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示: この役割のユーザが編集、削除、またはアラートの解除権限を制限されている場合でも、選択することで他のコンピュータに関する情報を表示することはできますが、変更することはできません。
    • [コンピュータに関連していないイベントおよびアラートを表示:] このオプションを設定すると、この役割のユーザがコンピュータに関連しない情報 (例えば、ユーザがロックアウトされた、ファイアウォールルールが作成された、IPリストが削除されたなどのシステムイベント) を表示できるようになります。
      前の2つのオプションは、ユーザがアクセスできるデータに影響します。ユーザによるコンピュータへの変更は制限されていますが、上記の2つの設定では、アクセス権を持たないコンピュータに関する情報をユーザに表示するかどうかを制御します。これには、それらのコンピュータに関連するメール通知の受信も含まれます。
    • [選択したグループ内に新しいコンピュータを作成:] このオプションを設定すると、この役割のユーザがアクセス権を持つコンピュータグループで新しいコンピュータを作成できるようになります。
    • [選択したグループ内にサブグループを追加または削除:] このオプションを設定すると、この役割のユーザがアクセス可能なコンピュータグループ内でサブグループを作成および削除できるようになります。
    [詳細な権限]セクションで次の機能も有効にできます。
    • [コンピュータファイルをインポート:] このロールのユーザに、Workload Security の[コンピュータエクスポートオプションを使用して作成されたファイルを使用してコンピュータをインポートすることを許可します。
    • [ディレクトリを追加、削除、および同期:] この役割のユーザに、Microsoft Active DirectoryのようなLDAPベースのディレクトリを使用して管理されているコンピュータの追加、削除、および同期を許可します。
    • VMware vCenterを追加、削除、および同期: この役割のユーザにVMware vCenterの追加、削除、同期を許可します。
  6. [ポリシーの権限] タブを使用して、役割内のユーザに対する閲覧、編集、および削除の権限を割り当てます。これらの権限はすべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセスを制限したい場合は、[Selected Policies] をクリックし、この役割のユーザがアクセスできるポリシーを選択してください。
    2016-07-05_000072_DS10=8224e23f-2d42-456f-a855-48f54b71d15a.png
    子ポリシーを持つポリシーに対する権限を許可すると、ユーザは子ポリシーに対する権限も自動的に取得します。
    次に示す2つの基本オプションを使用できます。
    • [選択されていないポリシーを表示:] この役割のユーザが編集または削除権限を制限されている場合でも、この選択を行うことで他のポリシーに関する情報を表示することは許可できますが、変更することはできません。
    • [ポリシーの作成:] このオプションを設定して、この役割のユーザが新しいポリシーを作成できるようにします。
    これを[詳細な権限]セクションで有効にすることもできます。
    • [ポリシーのインポートを許可:] このロールのユーザに、[ポリシー] タブの Workload Security [エクスポート] オプションで作成されたファイルを使用してポリシーをインポートすることを許可します。
  7. 自身のパスワードと連絡先情報のみを変更タブのオプションでは、管理者アカウントの権限を定義できます。
    2016-07-05_000075_DS10=74b09d72-d44b-4236-9192-b9be1f50e422.png
    • [自身のパスワードと連絡先情報のみを変更:]ロールのユーザは、自分のパスワードと連絡先情報のみを変更できます。
    • [同等以下のアクセス権を持つユーザを作成および管理:]この役割のユーザは、自分よりも権限が高くないユーザを作成および管理できます。この役割のユーザよりも権限が高いユーザが1つでも存在する場合、この役割のユーザはそれらのユーザを作成または管理することはできません。
    • [すべての役割およびユーザを完全に管理:]はこの役割のユーザに制限なしでユーザや役割を作成および編集する能力を与えます。このオプションを使用する際は注意してください: これを役割に割り当てると、制限された権限を持つユーザに、Workload Securityのすべての側面に完全に制限なしでアクセスできるユーザとして作成しサインインする能力を与える可能性があります。
    • [カスタム:] ユーザがユーザやロールを表示、作成、編集、削除する能力をさらに制限するには、[カスタム] を選択し、[Custom Rights] セクションのオプションを使用します。[同等以下の権限を持つユーザのみを操作] オプションが選択されている場合、特定のユーザに対して一部のオプションが制限されることがあります。
      [同等以下の権限を持つユーザのみを操作]オプションは、このロールのユーザの権限を制限します。彼らは自分と同等またはそれ以下の権限を持つユーザに対してのみ変更を加えることができます。このロールのユーザは、ロールの作成、編集、削除を行うことはできません。このオプションを選択すると、[Custom Rights]セクションのいくつかのオプションにも制限がかかります。
      • [新規ユーザを作成できます:] は同等またはそれ以下の権限を持つユーザのみ作成できます。
      • [ユーザプロパティを編集できます:] は同等またはそれ以下の権限を持つユーザのみ編集 (またはパスワードの設定やリセット) が可能です。
      • [ユーザを削除できます:] 同等またはそれ以下の権限を持つユーザのみ削除できます。
  8. [その他の権限]タブでは、役割の権限を制限して特定のWorkload Security機能、場合によってはその機能に対する特定の操作のみをアクセス可能にすることができます。例えば、管理者チームがあり、互いの作業を誤って上書きしないようにしたい場合に便利です。デフォルトでは、各機能に対して役割は[View Only]または[非表示]です。完全な制御またはカスタマイズされたアクセスを許可するには、リストから[カスタム]を選択してください。
    2016-07-05_000074_DS10=a37517f4-d7f8-4d57-ad07-8c7d4c0df9a4.png
  9. [割り当て対象]タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能しているかをテストしたい場合は、新しく作成したユーザとしてサインインし、機能を確認してください。

Full Access、Auditor、および新規の各役割の初期設定

次の表は、フルアクセスロールと監査ロールのデフォルト権限設定を示しています。また、[役割]ページのTrend ツールバーで[新規]をクリックして新しいロールを作成する際に設定される権限も記載されています。
RIGHTS
SETTINGS BY ROLE
General
Full Accessの役割
Auditor/Workload Securityの読み取り専用の役割
新規役割の初期設定
Workload Security マネージャのユーザインタフェースへのアクセスを許可
許可
許可
許可
WebサービスAPIへのアクセスを許可
許可
許可
不許可
一般
Full Accessの役割
Auditor/Workload Securityの読み取り専用の役割
新規役割の初期設定
表示
許可、すべてのコンピュータ
許可、すべてのコンピュータ
許可、すべてのコンピュータ
編集
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
削除
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
アラートの消去
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
アイテムのタグ付け
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
非選択のコンピューターおよびデータ (例: イベント、レポート) の表示を許可する
許可
許可
許可
コンピュータに関連していないイベントおよびアラートを表示
許可
許可
許可
選択したグループ内に新しいコンピュータを作成
許可
不許可
不許可
選択したグループ内にサブグループを追加または削除
許可
不許可
不許可
コンピュータファイルをインポート
許可
不許可
不許可
VMware vCenterの追加、削除、および同期を許可
許可
不許可
不許可
クラウドアカウントの追加、削除、および同期を許可
許可
不許可
不許可
ポリシーの権限
Full Accessの役割
Auditor/Workload Securityの読み取り専用の役割
新規役割の初期設定
表示
許可、すべてのポリシー
許可、すべてのポリシー
許可、すべてのポリシー
編集
許可、すべてのポリシー
不許可、すべてのポリシー
不許可、すべてのポリシー
削除
許可、すべてのポリシー
不許可、すべてのポリシー
不許可、すべてのポリシー
選択されていないポリシーを表示
許可
許可
許可
ポリシーの作成
許可
不許可
不許可
ポリシーのインポートを許可
許可
不許可
不許可
ユーザおよびAPIキー権限 (この後のユーザ権限に関する注意を参照)
Full Accessの役割
Auditor/Workload Securityの読み取り専用の役割
新規役割の初期設定
自身のパスワードと連絡先情報のみを変更
はい
はい
同等以下のアクセス権を持つユーザを作成および管理
同等以下のアクセス権を持つユーザとAPIキーを作成および管理
すべての役割およびユーザを完全に管理
はい
カスタム
その他の権限
Full Accessの役割
Auditor/Workload Securityの読み取り専用の役割
新規役割の初期設定
検索キャッシュ設定の管理
完全
表示のみ
表示のみ
Agentバージョン管理
完全
表示のみ
表示のみ
データセンターゲートウェイ
フル (データセンターゲートウェイの作成、表示、編集、削除が可能)
非表示
非表示
アラート
フル (グローバルアラートを解除可能)
表示のみ
表示のみ
アラート設定
フル (アラート設定を編集可能)
表示のみ
表示のみ
IPリスト
フル (作成、編集、削除が可能)
表示のみ
表示のみ
ポートリスト
フル (作成、編集、削除が可能)
表示のみ
表示のみ
スケジュール
フル (作成、編集、削除が可能)
表示のみ
表示のみ
システム設定 (グローバル)
フル (表示、システム設定の編集 (グローバル) 可能)
非表示
非表示
エキスパート設定
完全
非表示
非表示
システム情報
完全
非表示
非表示
診断
フル (診断パッケージを作成可能)
表示のみ
表示のみ
タグ付け
フル (コンピュータに属さないアイテムにタグ付け可能、タグを削除可能、所有していない自動タグルールを更新可能、所有していない自動タグルールを実行可能、所有していない自動タグルールを削除可能)
表示のみ
表示のみ
タスク
フル (タスクの表示、追加、編集、削除、実行が可能)
非表示
非表示
連絡先
フル (連絡先の表示、作成、編集、削除が可能)
非表示
非表示
ライセンス
フル (表示、ライセンス変更可能)
非表示
非表示
アップデート
フル (ソフトウェアの追加、編集、削除が可能;コンポーネントの更新を表示可能;更新コンポーネントのダウンロード、インポート、適用が可能;Deep Securityルールの更新を削除可能)
非表示
非表示
資産評価
フル (アセット値の作成、編集、削除が可能)
表示のみ
表示のみ
証明書
フル (SSL証明書の作成、削除が可能)
表示のみ
表示のみ
Relayの管理
完全
表示のみ
表示のみ
プロキシ
完全
表示のみ
表示のみ
Syslog設定
完全
表示のみ
表示のみ
USBデバイス
フル (作成、編集、削除が可能)
表示のみ
表示のみ
不正プログラム検索設定
フル (不正プログラム検索の設定を作成、編集、削除可能)
表示のみ
表示のみ
検出ファイル
フル (削除、識別されたファイルのダウンロードが可能)
表示のみ
表示のみ
Webレピュテーション設定
完全
表示のみ
表示のみ
アクティビティ監視設定
完全
表示のみ
表示のみ
ディレクトリリスト
フル (作成、編集、削除が可能)
表示のみ
表示のみ
ファイルリスト
フル (作成、編集、削除が可能)
表示のみ
表示のみ
ファイル拡張子リスト
フル (作成、編集、削除が可能)
表示のみ
表示のみ
アプリケーションコントロールルールセット
フル (アプリケーションコントロールのルールセットを作成、表示、編集、または削除できます)
非表示
非表示
アプリケーションコントロールルール
フル (アプリケーションコントロールルールの作成、表示、編集、削除が可能)
非表示
非表示
アプリケーションコントロールの承認されていないソフトウェア
フル (未認識のソフトウェアを表示または許可/ブロック可能)
非表示
非表示
アプリケーションコントロールソフトウェアインベントリ
フル (ソフトウェアインベントリの作成、表示、削除が可能)
非表示
非表示
変更監視ルール
フル (作成、編集、削除が可能)
表示のみ
表示のみ
セキュリティログ監視ルール
フル (作成、編集、削除が可能)
表示のみ
表示のみ
セキュリティログ監視デコーダ
フル (作成、編集、削除が可能)
表示のみ
表示のみ
ファイアウォールルール
フル (ファイアウォールルールの作成、編集、削除が可能)
表示のみ
表示のみ
ファイアウォールステートフル設定
フル (ファイアウォールステートフル構成の作成、編集、削除が可能)
表示のみ
表示のみ
侵入防御ルール
フル (作成、編集、削除が可能)
表示のみ
表示のみ
アプリケーションの種類
フル (作成、編集、削除が可能)
表示のみ
表示のみ
MACリスト
フル (作成、編集、削除が可能)
表示のみ
表示のみ
コンテキスト
フル (作成、編集、削除が可能)
表示のみ
表示のみ
テナントアカウント
完全
非表示
非表示
[自身のパスワードと連絡先情報のみを変更]オプションに対応する設定は、次の表に一覧されています。
自身のパスワードと連絡先情報のみを変更するための設定
ユーザ
  
ユーザを表示できます
不許可
新規ユーザを作成できます
不許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
不許可
ユーザを削除できます
不許可
役割
  
役割を表示できます
不許可
新規の役割を作成できます
不許可
ロールプロパティを編集可能 (警告: この権限を付与すると、このロールを持つユーザが自分の権限を編集できるようになります)
不許可
役割を削除できます
不許可
Delegate Authority
  
同等以下の権限を持つユーザのみを操作
不許可
[同等以下のアクセス権を持つユーザを作成および管理]オプションに対応する設定は、以下の表に一覧表示されています。
同等またはそれ以下のアクセス権を持つユーザの作成と管理の設定
ユーザ
  
ユーザを表示できます
許可
新規ユーザを作成できます
許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
許可
ユーザを削除できます
許可
役割
  
役割を表示できます
不許可
新規の役割を作成できます
不許可
ロールプロパティを編集可能 (警告: この権限を付与すると、このロールを持つユーザが自分の権限を編集できるようになります)
不許可
役割を削除できます
不許可
Delegate Authority
  
同等以下の権限を持つユーザのみを操作
許可
[すべての役割およびユーザを完全に管理]オプションに対応する設定は、次の表に一覧されています。
すべてのロールとユーザを完全に管理するための設定
ユーザ
  
ユーザを表示できます
許可
新規ユーザを作成できます
許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
許可
ユーザを削除できます
許可
役割
  
役割を表示できます
許可
新規の役割を作成できます
許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)
許可
役割を削除できます
許可
Delegate Authority
  
同等以下の権限を持つユーザのみを操作
該当なし