役割

Deep Securityでは、役割に基づいたアクセス制御 (RBAC) を使用して、Deep Securityのさまざまな部分に対するユーザ権限を制限します。Deep Security Managerのインストールが完了したら、ユーザごとに個別のアカウントを作成して役割を割り当てます。役割は、各ユーザのアクティビティを業務に必要な範囲に制限します。

Deep Securityには、事前に定義された2つの役割があります。

  • Full Access: Full Accessの役割では、コンピュータ、コンピュータグループ、ポリシー、ルール、不正プログラム検索設定などの作成、編集、削除を含むDeep Securityシステムの管理に関するすべての権限がユーザに付与されます。
  • Auditor: Auditorの役割では、Deep Securityシステムのすべての情報を表示する権限がユーザに付与されます。ただし、パスワード、連絡先情報、ダッシュボードレイアウト設定などの個人情報設定以外は変更できません。
Deep Security Managerのオプションは、付与されたアクセスレベルに応じて、表示および編集可能、表示のみ可能、非表示のいずれかになります。事前に定義された役割で付与されている権限のリスト、および新しい役割を作成する際の権限の初期設定については、ユーザの作成と管理を参照してください。

新しい役割を作成して、Deep Securityのオブジェクト (特定のコンピュータ、セキュリティルールのプロパティ、システム設定など) をユーザが編集または表示できないように制限することができます。

ユーザアカウントを作成する前に、ユーザの役割、およびそれらの役割がアクセスする必要があるDeep Securityのオブジェクトとアクセスの種類 (表示、編集、作成など) を確認します。役割を作成したら、ユーザアカウントを作成して特定の役割を割り当てることができます。

Full Accessの役割を複製して変更する方法で新しい役割を作成しないでください。新しい役割に目的とする権限のみを確実に付与するには、ツールバーの [新規] をクリックして新しい役割を作成します。新しい役割の権限は、初期設定では最も制限された状態で設定されます。後で必要な権限のみを付与できます。Full Accessの役割を複製してから制限を適用すると、不要な権限を与える危険があります。

メイン画面から、次のことを実行できます。

  • 新しい役割を作成する ()
  • 既存の役割のプロパティを確認または変更する ()
  • 既存の役割を複製および変更する ()
  • 役割を削除する ()

[新規] () または [プロパティ] () をクリックして、6つのタブ ([一般]、[コンピュータの権限]、[ポリシーの権限]、[ユーザ権限]、[その他の権限]、および [割り当て対象]) がある [役割のプロパティ] 画面を表示します。

一般

この役割の名前と説明。

アクセスの種類

この役割のユーザに、Deep Security ManagerDeep Security ManagerのWebサービスAPI、あるいはその両方へのアクセス権を付与するかどうかを選択します。

WebサービスAPIを有効にするには、[管理]→[システム設定]→[詳細]→[SOAP WebサービスAPI] の順に選択します。

コンピュータの権限

コンピュータとグループの権限

表示、編集、削除、アラート消去、イベントのタグ付けなどの権限をある役割のユーザに付与するには、[コンピュータとグループの権限] パネルを使用します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用できます。また、権限の付与を特定のコンピュータに制限することもできます。アクセス権を制限する場合は、[選択したコンピュータ] オプションを選択し、この役割のユーザにアクセス権を付与するコンピュータグループとコンピュータの横にあるチェックボックスをオンにします。

こうした権限の制限は、Deep Security Managerのコンピュータに対するユーザのアクセス権だけでなく、イベントやアラートなどの情報の表示にも影響します。メール通知も同様に、ユーザがアクセス権を持つデータに関連する場合のみ送信されます。

次に示す4つの基本オプションを使用できます。

  • 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示: この役割のユーザの編集、削除、またはアラート消去の権限が制限されている場合でも、このチェックボックスをオンにすることで他のコンピュータに関する情報の表示 (変更は不可) を許可できます。
  • コンピュータに関連していないイベントおよびアラートを表示: システムイベント (ユーザがロックされた、新しいファイアウォールルールが作成された、IPリストが削除されたなど) のような、コンピュータ関連以外の情報をこの役割のユーザが表示できるようにするには、このオプションを設定します。
    前述の2つの設定は、ユーザがアクセスできるデータに影響します。この2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。
  • 選択したグループ内に新しいコンピュータを作成: この役割のユーザが、アクセス可能なコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
  • 選択したグループ内にサブグループを追加または削除: この役割のユーザが、アクセス可能なコンピュータグループ内にサブグループを作成および削除できるようにするには、このオプションを設定します。

詳細な権限

  • コンピュータファイルをインポート: この役割のユーザが、Deep Security Managerの [コンピュータのエクスポート] オプションで作成されたファイルを使用してコンピュータをインポートできるようにします。
  • ディレクトリを追加、削除、および同期: この役割のユーザが、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加、削除、および同期できるようにします。
  • VMware vCenterを追加、削除、および同期: この役割のユーザが、VMware vCenterを追加、削除、および同期できるようにします。
  • クラウドプロバイダの追加、削除、および同期を許可: この役割のユーザが、クラウドプロバイダを追加、削除、および同期できるようにします。

ポリシーの権限

特定の役割のユーザがポリシーを作成、削除、変更、またはインポートするための権限を決定します。

表示、編集、削除の権限をある役割のユーザに与えるには、[ポリシーの権限] パネルを使用します。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー] をクリックし、この役割のユーザにアクセス権を与えるポリシーの横にあるチェックボックスをオンにします。

「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。

次に示す2つの基本オプションを使用できます。

  • 選択されていないポリシーを表示: この役割のユーザの編集または削除の権限が制限されている場合でも、このチェックボックスをオンにすることで他のポリシーに関する情報の表示 (変更は不可) を許可できます。
  • ポリシーの作成: この役割のユーザが新しいポリシーを作成できるようにするには、このオプションを設定します。

詳細な権限

  • ポリシーのインポートを許可: この役割のユーザが、Deep Security Managerの [ポリシー] タブの [エクスポート] オプションで作成したファイルを使用してポリシーをインポートできるようにします。

ユーザ権限

[ユーザ権限] タブのオプションを使用して、管理者アカウントの権限を定義すできます。

  • 自身のパスワードと連絡先情報のみを変更: この役割のユーザは、自身のパスワードと連絡先情報のみを変更できます。
  • 同等以下のアクセス権を持つユーザを作成および管理: この役割のユーザは、同等以下のアクセス権を持つユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
  • すべての役割およびユーザを完全に管理: この役割のユーザは、ユーザと役割を制限なしで作成および管理できます。
    このオプションの使用には、十分な注意が必要です。このオプションを役割に割り当てると、別の制限付きの権限を持つユーザが、Deep Security Managerのすべての要素への無制限のフルアクセス権を持つユーザを作成し、そのユーザとしてログオンできるようになるおそれがあります。

カスタム権限

[カスタム] を選択して、[カスタム権限] パネルのオプションを使用すると、ユーザが他のユーザおよび役割を表示、作成、編集、または削除する権限をさらに制限できます。[同等以下の権限を持つユーザのみを操作] オプションを選択すると、特定のユーザに対して一部のオプションが制限される場合があります (下記参照)。

権限の委任

[同等以下の権限を持つユーザのみを操作] オプションを選択すると、この役割のユーザの権限がさらに制限されます。ユーザは、自身と同等または下位の権限を持つユーザに対する変更のみ行うことができます。

このオプションを選択した場合、この役割のユーザは、役割を作成、編集、削除できなくなります。

このオプションを選択すると、[カスタム権限] エリアの以下のオプションが制限されます。

  • 新規ユーザを作成できます: 同等または下位の権限を持つユーザの作成のみ可能です。
  • ユーザプロパティを編集できます: 同等または下位の権限を持つユーザの編集、またはパスワードの設定やリセットのみ可能です。
  • ユーザを削除できます: 同等または下位の権限を持つユーザの削除のみ可能です。

その他の権限

Deep Securityの特定の機能、またはその機能の特定の処理にのみにアクセスできるように役割の権限を制限できます。たとえば、管理者が複数いる場合、誤って他の管理者の作業に影響が及ぶことがないように各管理者の権限を制限できます。

初期設定では、各役割は各機能に対して「表示のみ」または「非表示」に設定されています。アクセスを細かく変更またはカスタマイズするには、リストから [カスタム] を選択します。

割り当て対象

[割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。