Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

ユーザロールの定義

Deep Securityでは、役割に基づいたアクセス制御 (RBAC) を使用して、Deep Securityのさまざまな部分に対するユーザ権限を制限します。アクセス権限と編集権限は、ユーザにではなく、役割に関連付けられます。Deep Security Managerのインストールが完了したら、ユーザごとに個別のアカウントを作成して役割を割り当てます。役割は、各ユーザのアクティビティを業務に必要な範囲に制限します。個々のユーザのアクセス権限と編集権限を変更するには、ユーザに別の役割を割り当てるか、役割自体を編集する必要があります。

役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。

Deep Securityには、次の2つの役割が事前に設定されています。

  • Full Access: Full Accessの役割では、コンピュータ、コンピュータグループ、ポリシー、ルール、不正プログラム検索設定などの作成、編集、削除を含むDeep Securityシステムの管理に関するすべての権限がユーザに付与されます。
  • Auditor:Auditorの役割では、Deep Securityシステムのすべての情報を表示する権限がユーザに付与されます。ただし、パスワード、連絡先情報、ダッシュボードレイアウト設定などの個人情報設定以外は変更できません。
Deep Security Managerのオプションは、付与されたアクセスレベルに応じて、表示および編集可能、表示可能ですが無効、非表示のいずれかになります。事前に定義された役割で付与されている権限のリスト、および新しい役割を作成する際の権限の初期設定については、Full Access、Auditor、および新規の各役割の初期設定を参照してください。

新しい役割を作成して、Deep Securityのオブジェクト (特定のコンピュータ、セキュリティルールのプロパティ、システム設定など) をユーザが編集または表示できないように制限することができます。

ユーザアカウントを作成する前に、ユーザの役割、およびそれらの役割がアクセスする必要があるDeep Securityのオブジェクトとアクセスの種類 (表示、編集、作成など) を確認します。役割を作成したら、ユーザアカウントを作成して特定の役割を割り当てることができます。

Full Accessの役割を複製して変更する方法で新しい役割を作成しないでください。新しい役割に目的とする権限のみを確実に付与するには、ツールバーの [新規] をクリックして新しい役割を作成します。新しい役割の権限は、初期設定では最も制限された状態で設定されます。後で必要な権限のみを付与できます。Full Accessの役割を複製してから制限を適用すると、不要な権限を与える危険があります。

[新規] () または [プロパティ] () をクリックして、6つのタブ ([一般]、[コンピュータの権限]、[ポリシーの権限]、[ユーザ権限]、[その他の権限]、および [割り当て対象]) がある [役割のプロパティ] 画面を表示します。

役割を追加または編集する

  1. Deep Security Managerで、[管理]→[ユーザ管理]→[役割] の順に選択します。
  2. 新しい役割を追加する場合は [新規] をクリックし、設定を編集する場合は既存の役割をダブルクリックします。
  3. 次を含む、役割の一般的なプロパティを指定します。
    • 名前: [役割] 画面と、ユーザ追加時に使用できる役割のリストに表示される役割の名前
    • 説明: (オプション) 役割の説明。
    • アクセスの種類: この役割のユーザに、Deep Security Manager、Deep Security ManagerのWebサービスAPI、あるいはその両方へのアクセス権を付与するかどうかを選択します。
    • WebサービスAPIを有効にするには、[管理]→[システム設定]→[詳細]→[SOAP WebサービスAPI] の順に選択します。
  4. 表示、編集、削除、アラート消去、イベントのタグ付けなどの権限をある役割のユーザに付与するには、[コンピュータの権限] 画面を使用します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用できます。また、権限の付与を特定のコンピュータに制限することもできます。アクセス権を制限する場合は、[選択したコンピュータ] オプションを選択し、この役割のユーザにアクセス権を付与するコンピュータグループとコンピュータの横にあるチェックボックスをオンにします。

  5. こうした権限の制限は、Deep Security Managerのコンピュータに対するユーザのアクセス権だけでなく、イベントやアラートなどの情報の表示にも影響します。メール通知も同様に、ユーザがアクセス権を持つデータに関連する場合のみ送信されます。

    次に示す4つの基本オプションを使用できます。

    • 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示: この役割のユーザの編集、削除、またはアラート消去の権限が制限されている場合でも、このチェックボックスをオンにすることで他のコンピュータに関する情報の表示 (変更は不可) を許可できます。
    • コンピュータに関連していないイベントおよびアラートを表示: システムイベント (ユーザがロックされた、新しいファイアウォールルールが作成された、IPリストが削除されたなど) のような、コンピュータ関連以外の情報をこの役割のユーザが表示できるようにするには、このオプションを設定します。
      前述の2つの設定は、ユーザがアクセスできるデータに影響します。この2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。
    • 選択したグループ内に新しいコンピュータを作成: この役割のユーザが、アクセス可能なコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
    • 選択したグループ内にサブグループを追加または削除:この役割のユーザが、アクセス可能なコンピュータグループ内にサブグループを作成および削除できるようにするには、このオプションを設定します。

    [詳細な権限] セクションで以下を有効にすることもできます。

    • コンピュータファイルをインポート: この役割のユーザが、Deep Security Managerの [コンピュータのエクスポート] オプションで作成されたファイルを使用してコンピュータをインポートできるようにします。
    • ディレクトリを追加、削除、および同期: この役割のユーザが、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加、削除、および同期できるようにします。( Deep Security as a Serviceでは使用できません)
    • VMware vCenterを追加、削除、および同期: この役割のユーザが、VMware vCenterを追加、削除、および同期できるようにします。Deep Security as a Serviceでは使用できません。
    • クラウドアカウントの追加、削除、および同期を許可: この役割のユーザが、クラウドプロバイダを追加、削除、および同期できるようにします。
  6. 表示、編集、および削除の権限をある役割のユーザに与えるには、[ポリシーの権限] タブを使用します。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー] をクリックし、この役割のユーザにアクセス権を与えるポリシーの横にあるチェックボックスをオンにします。

    「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。

    次に示す2つの基本オプションを使用できます。

    • 選択されていないポリシーを表示: この役割のユーザの編集または削除の権限が制限されている場合でも、このチェックボックスをオンにすることで他のポリシーに関する情報の表示 (変更は不可) を許可できます。
    • ポリシーの作成: この役割のユーザが新しいポリシーを作成できるようにするには、このオプションを設定します。

    [詳細な権限] セクションで以下を有効にすることもできます。

    • ポリシーのインポートを許可: この役割のユーザが、Deep Security Managerの [ポリシー] タブの [エクスポート] オプションで作成したファイルを使用してポリシーをインポートできるようにします。
  7. [ユーザ権限] タブのオプションを使用して、管理者アカウントの権限を定義できます。

    • 自身のパスワードと連絡先情報のみを変更: この役割のユーザは、自身のパスワードと連絡先情報のみを変更できます。
    • 同等以下のアクセス権を持つユーザを作成および管理: この役割のユーザは、同等以下のアクセス権を持つユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
    • すべての役割およびユーザを完全に管理: この役割のユーザは、ユーザと役割を制限なしで作成および管理できます。このオプションの使用には、十分な注意が必要です。このオプションを役割に割り当てると、別の制限付きの権限を持つユーザが、Deep Security Managerのすべての要素への無制限のフルアクセス権を持つユーザを作成し、そのユーザとしてログオンできるようになるおそれがあります。
    • カスタム: [カスタム] を選択して、[カスタム権限] セクションのオプションを使用すると、ユーザが他のユーザおよび役割を表示、作成、編集、または削除する権限をさらに制限できます。[同等以下の権限を持つユーザのみを操作] オプションを選択すると、特定のユーザに対して一部のオプションが制限される場合があります。

      [同等以下の権限を持つユーザのみを操作] オプションでは、この役割のユーザの権限をさらに制限します。ユーザは、自身と同等または下位の権限を持つユーザに対する変更のみ行うことができます。この役割のユーザは、役割を作成、編集、削除できなくなります。このオプションを選択すると、[カスタム権限] セクションの以下のオプションが制限されます。

      • 新規ユーザを作成できます: 同等または下位の権限を持つユーザの作成のみ可能です。
      • ユーザプロパティを編集できます: 同等または下位の権限を持つユーザの編集、またはパスワードの設定やリセットのみ可能です。
      • ユーザを削除できます: 同等または下位の権限を持つユーザの削除のみ可能です。
  8. [その他の権限] タブでは、Deep Securityの特定の機能、またはその機能の特定の処理にのみにアクセスできるように役割の権限を制限できます。たとえば、管理者が複数いる場合、誤って他の管理者の作業内容を上書きすることがないように各管理者の権限を制限できます。初期設定では、各役割は各機能に対して「表示のみ」または「非表示」に設定されています。アクセスを細かく変更またはカスタマイズするには、リストから [カスタム] を選択します。
  9. [割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。

 

Full Access、Auditor、および新規の各役割の初期設定

次の表は、Full Accessの役割とAuditorの役割に対する権限の初期設定を示しています。また、[役割] 画面のツールバーで [新規] をクリックして新しい役割を作成するときの権限の設定についても示します。

権限役割別の設定
一般Full Accessの役割Auditorの役割新規役割の初期設定
DSMユーザインタフェースへのアクセス許可許可許可
WebサービスAPIへのアクセス許可許可不許可
コンピュータの権限Full Accessの役割Auditorの役割新規役割の初期設定
表示許可、すべてのコンピュータ許可、すべてのコンピュータ許可、すべてのコンピュータ
編集許可、すべてのコンピュータ不許可、すべてのコンピュータ不許可、すべてのコンピュータ
削除許可、すべてのコンピュータ不許可、すべてのコンピュータ不許可、すべてのコンピュータ
アラートの消去許可、すべてのコンピュータ不許可、すべてのコンピュータ不許可、すべてのコンピュータ
アイテムのタグ付け許可、すべてのコンピュータ不許可、すべてのコンピュータ不許可、すべてのコンピュータ
選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示許可許可許可、すべてのコンピュータ
コンピュータに関連していないイベントおよびアラートを表示許可許可許可、すべてのコンピュータ
選択したグループ内に新しいコンピュータを作成許可不許可不許可
選択したグループ内にサブグループを追加または削除許可不許可不許可
コンピュータファイルをインポート許可不許可不許可
クラウドアカウントの追加、削除、および同期を許可許可不許可不許可
ポリシーの権限Full Accessの役割Auditorの役割新規役割の初期設定
表示許可、すべてのポリシー許可、すべてのポリシー許可、すべてのポリシー
編集許可、すべてのポリシー不許可、すべてのポリシー不許可、すべてのポリシー
削除許可、すべてのポリシー不許可、すべてのポリシー不許可、すべてのポリシー
選択されていないポリシーの表示許可許可許可
新規ポリシーの作成許可不許可不許可
ポリシーのインポート許可不許可不許可
ユーザ権限 (この後の「ユーザ権限に関する注意」を参照)Full Accessの役割Auditorの役割新規役割の初期設定
ユーザの表示許可許可不許可
ユーザの作成許可不許可不許可
ユーザプロパティの編集許可不許可不許可
ユーザの削除許可不許可不許可
役割の表示許可許可不許可
役割の作成許可不許可不許可
役割のプロパティの編集許可不許可不許可
役割の削除許可不許可不許可
権限の委任許可不許可不許可
その他の権限Full Accessの役割Auditorの役割新規役割の初期設定
アラート完全 (グローバルアラートを消去可能)表示のみ表示のみ
アラート設定完全 (アラート設定を編集可能)表示のみ表示のみ
IPリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
ポートリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
スケジュール完全 (作成、編集、および削除可能)表示のみ表示のみ
システム設定 (グローバル)完全 (システム設定 (グローバル) を表示、編集可能)表示のみ非表示
診断完全 (診断パッケージを作成可能)表示のみ表示のみ
タグ付け完全 (タグ付け (コンピュータに属さない項目)、タグ削除、所有していない自動タグルールをアップデート、所有していない自動タグルールを実行、および所有していない自動タグルールを削除可能)表示のみ表示のみ
タスク完全 (タスクを表示、追加、編集、削除、および実行可能)表示のみ非表示
マルチテナントの管理完全非表示表示のみ
検索キャッシュ設定の管理完全表示のみ表示のみ
連絡先完全 (連絡先を表示、作成、編集、および削除可能)表示のみ非表示
ライセンス完全 (ライセンスを表示および変更可能)表示のみ非表示
アップデート完全 (ソフトウェアを追加、編集、および削除可能。コンポーネントのアップデートを表示可能。アップデートコンポーネントをダウンロード、インポート、および適用可能。Deep Securityルールアップデートを削除可能)表示のみ非表示
資産評価完全 (資産評価を作成、編集、および削除可能)表示のみ表示のみ
証明書完全 (SSL証明書を作成および削除可能)表示のみ表示のみ
Relayグループ完全表示のみ表示のみ
プロキシ完全表示のみ表示のみ
SAML IDプロバイダ完全非表示非表示
不正プログラム検索設定完全 (不正プログラム検索設定を作成、編集、および削除可能)表示のみ表示のみ
検出ファイル完全 (検出ファイルを削除およびダウンロード可能)表示のみ表示のみ
Webレピュテーション設定完全表示のみ表示のみ
ディレクトリリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
ファイルリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
ファイル拡張子リスト完全 (作成、編集、および削除可能)表示のみ表示のみ
ファイアウォールルール完全 (ファイアウォールルールを作成、編集、および削除可能)表示のみ表示のみ
ファイアウォールステートフル設定完全 (ファイアウォールステートフル設定を作成、編集、および削除可能)表示のみ表示のみ
侵入防御ルール完全 (作成、編集、および削除可能)表示のみ表示のみ
アプリケーションの種類完全 (作成、編集、および削除可能)表示のみ表示のみ
MACリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
コンテキスト完全 (作成、編集、および削除可能)表示のみ表示のみ
変更監視ルール完全 (作成、編集、および削除可能)表示のみ表示のみ
セキュリティログ監視ルール完全 (作成、編集、および削除可能)表示のみ表示のみ
セキュリティログ監視デコーダ完全 (作成、編集、および削除可能)表示のみ表示のみ

[自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定を次の表に示します。

[自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定
ユーザ
ユーザを表示できます不許可
新規ユーザを作成できます不許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)不許可
ユーザを削除できます不許可
役割
役割を表示できます不許可
新規の役割を作成できます不許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)不許可
役割を削除できます不許可
権限の委任
同等以下の権限を持つユーザのみを操作不許可


[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定を次の表に示します。

[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定
ユーザ
ユーザを表示できます許可
新規ユーザを作成できます許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)許可
ユーザを削除できます許可
役割
役割を表示できます不許可
新規の役割を作成できます不許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)不許可
役割を削除できます不許可
権限の委任
同等以下の権限を持つユーザのみを操作許可


[すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定を次の表に示します。

[すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定
ユーザ
ユーザを表示できます許可
新規ユーザを作成できます許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)許可
ユーザを削除できます許可
役割
役割を表示できます許可
新規の役割を作成できます許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)許可
役割を削除できます許可
権限の委任
同等以下の権限を持つユーザのみを操作該当なし