Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
ユーザロールの定義
Deep Securityでは、役割に基づいたアクセス制御 (RBAC) を使用して、Deep Securityのさまざまな部分に対するユーザ権限を制限します。アクセス権限と編集権限は、ユーザにではなく、役割に関連付けられます。Deep Security Managerのインストールが完了したら、ユーザごとに個別のアカウントを作成して役割を割り当てます。役割は、各ユーザのアクティビティを業務に必要な範囲に制限します。個々のユーザのアクセス権限と編集権限を変更するには、ユーザに別の役割を割り当てるか、役割自体を編集する必要があります。
役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。
Deep Securityには、次の2つの役割が事前に設定されています。
- Full Access: Full Accessの役割では、コンピュータ、コンピュータグループ、ポリシー、ルール、不正プログラム検索設定などの作成、編集、削除を含むDeep Securityシステムの管理に関するすべての権限がユーザに付与されます。
- Auditor:Auditorの役割では、Deep Securityシステムのすべての情報を表示する権限がユーザに付与されます。ただし、パスワード、連絡先情報、ダッシュボードレイアウト設定などの個人情報設定以外は変更できません。
新しい役割を作成して、Deep Securityのオブジェクト (特定のコンピュータ、セキュリティルールのプロパティ、システム設定など) をユーザが編集または表示できないように制限することができます。
ユーザアカウントを作成する前に、ユーザの役割、およびそれらの役割がアクセスする必要があるDeep Securityのオブジェクトとアクセスの種類 (表示、編集、作成など) を確認します。役割を作成したら、ユーザアカウントを作成して特定の役割を割り当てることができます。
[新規] () または [プロパティ] () をクリックして、6つのタブ ([一般]、[コンピュータの権限]、[ポリシーの権限]、[ユーザ権限]、[その他の権限]、および [割り当て対象]) がある [役割のプロパティ] 画面を表示します。
役割を追加または編集する
- Deep Security Managerで、[管理]→[ユーザ管理]→[役割] の順に選択します。
- 新しい役割を追加する場合は [新規] をクリックし、設定を編集する場合は既存の役割をダブルクリックします。
- 次を含む、役割の一般的なプロパティを指定します。
- 名前: [役割] 画面と、ユーザ追加時に使用できる役割のリストに表示される役割の名前
- 説明: (オプション) 役割の説明。
- アクセスの種類: この役割のユーザに、Deep Security Manager、Deep Security ManagerのWebサービスAPI、あるいはその両方へのアクセス権を付与するかどうかを選択します。
-
WebサービスAPIを有効にするには、[管理]→[システム設定]→[詳細]→[SOAP WebサービスAPI] の順に選択します。
-
表示、編集、削除、アラート消去、イベントのタグ付けなどの権限をある役割のユーザに付与するには、[コンピュータの権限] 画面を使用します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用できます。また、権限の付与を特定のコンピュータに制限することもできます。アクセス権を制限する場合は、[選択したコンピュータ] オプションを選択し、この役割のユーザにアクセス権を付与するコンピュータグループとコンピュータの横にあるチェックボックスをオンにします。
-
こうした権限の制限は、Deep Security Managerのコンピュータに対するユーザのアクセス権だけでなく、イベントやアラートなどの情報の表示にも影響します。メール通知も同様に、ユーザがアクセス権を持つデータに関連する場合のみ送信されます。
次に示す4つの基本オプションを使用できます。
- 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示: この役割のユーザの編集、削除、またはアラート消去の権限が制限されている場合でも、このチェックボックスをオンにすることで他のコンピュータに関する情報の表示 (変更は不可) を許可できます。
- コンピュータに関連していないイベントおよびアラートを表示: システムイベント (ユーザがロックされた、新しいファイアウォールルールが作成された、IPリストが削除されたなど) のような、コンピュータ関連以外の情報をこの役割のユーザが表示できるようにするには、このオプションを設定します。
前述の2つの設定は、ユーザがアクセスできるデータに影響します。この2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。
- 選択したグループ内に新しいコンピュータを作成: この役割のユーザが、アクセス可能なコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
- 選択したグループ内にサブグループを追加または削除:この役割のユーザが、アクセス可能なコンピュータグループ内にサブグループを作成および削除できるようにするには、このオプションを設定します。
[詳細な権限] セクションで以下を有効にすることもできます。
- コンピュータファイルをインポート: この役割のユーザが、Deep Security Managerの [コンピュータのエクスポート] オプションで作成されたファイルを使用してコンピュータをインポートできるようにします。
- ディレクトリを追加、削除、および同期: この役割のユーザが、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加、削除、および同期できるようにします。( Deep Security as a Serviceでは使用できません)
- VMware vCenterを追加、削除、および同期: この役割のユーザが、VMware vCenterを追加、削除、および同期できるようにします。Deep Security as a Serviceでは使用できません。
- クラウドアカウントの追加、削除、および同期を許可: この役割のユーザが、クラウドプロバイダを追加、削除、および同期できるようにします。
- 表示、編集、および削除の権限をある役割のユーザに与えるには、[ポリシーの権限] タブを使用します。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー] をクリックし、この役割のユーザにアクセス権を与えるポリシーの横にあるチェックボックスをオンにします。
「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。
次に示す2つの基本オプションを使用できます。
- 選択されていないポリシーを表示: この役割のユーザの編集または削除の権限が制限されている場合でも、このチェックボックスをオンにすることで他のポリシーに関する情報の表示 (変更は不可) を許可できます。
- ポリシーの作成: この役割のユーザが新しいポリシーを作成できるようにするには、このオプションを設定します。
[詳細な権限] セクションで以下を有効にすることもできます。
- ポリシーのインポートを許可: この役割のユーザが、Deep Security Managerの [ポリシー] タブの [エクスポート] オプションで作成したファイルを使用してポリシーをインポートできるようにします。
- [ユーザ権限] タブのオプションを使用して、管理者アカウントの権限を定義できます。
- 自身のパスワードと連絡先情報のみを変更: この役割のユーザは、自身のパスワードと連絡先情報のみを変更できます。
- 同等以下のアクセス権を持つユーザを作成および管理: この役割のユーザは、同等以下のアクセス権を持つユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
- すべての役割およびユーザを完全に管理: この役割のユーザは、ユーザと役割を制限なしで作成および管理できます。このオプションの使用には、十分な注意が必要です。このオプションを役割に割り当てると、別の制限付きの権限を持つユーザが、Deep Security Managerのすべての要素への無制限のフルアクセス権を持つユーザを作成し、そのユーザとしてログオンできるようになるおそれがあります。
- カスタム: [カスタム] を選択して、[カスタム権限] セクションのオプションを使用すると、ユーザが他のユーザおよび役割を表示、作成、編集、または削除する権限をさらに制限できます。[同等以下の権限を持つユーザのみを操作] オプションを選択すると、特定のユーザに対して一部のオプションが制限される場合があります。
[同等以下の権限を持つユーザのみを操作] オプションでは、この役割のユーザの権限をさらに制限します。ユーザは、自身と同等または下位の権限を持つユーザに対する変更のみ行うことができます。この役割のユーザは、役割を作成、編集、削除できなくなります。このオプションを選択すると、[カスタム権限] セクションの以下のオプションが制限されます。
- 新規ユーザを作成できます: 同等または下位の権限を持つユーザの作成のみ可能です。
- ユーザプロパティを編集できます: 同等または下位の権限を持つユーザの編集、またはパスワードの設定やリセットのみ可能です。
- ユーザを削除できます: 同等または下位の権限を持つユーザの削除のみ可能です。
- [その他の権限] タブでは、Deep Securityの特定の機能、またはその機能の特定の処理にのみにアクセスできるように役割の権限を制限できます。たとえば、管理者が複数いる場合、誤って他の管理者の作業内容を上書きすることがないように各管理者の権限を制限できます。初期設定では、各役割は各機能に対して「表示のみ」または「非表示」に設定されています。アクセスを細かく変更またはカスタマイズするには、リストから [カスタム] を選択します。
- [割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。
Full Access、Auditor、および新規の各役割の初期設定
次の表は、Full Accessの役割とAuditorの役割に対する権限の初期設定を示しています。また、[役割] 画面のツールバーで [新規] をクリックして新しい役割を作成するときの権限の設定についても示します。
権限 | 役割別の設定 | ||
一般 | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
DSMユーザインタフェースへのアクセス | 許可 | 許可 | 許可 |
WebサービスAPIへのアクセス | 許可 | 許可 | 不許可 |
コンピュータの権限 | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
表示 | 許可、すべてのコンピュータ | 許可、すべてのコンピュータ | 許可、すべてのコンピュータ |
編集 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
削除 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
アラートの消去 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
アイテムのタグ付け | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示 | 許可 | 許可 | 許可、すべてのコンピュータ |
コンピュータに関連していないイベントおよびアラートを表示 | 許可 | 許可 | 許可、すべてのコンピュータ |
選択したグループ内に新しいコンピュータを作成 | 許可 | 不許可 | 不許可 |
選択したグループ内にサブグループを追加または削除 | 許可 | 不許可 | 不許可 |
コンピュータファイルをインポート | 許可 | 不許可 | 不許可 |
クラウドアカウントの追加、削除、および同期を許可 | 許可 | 不許可 | 不許可 |
ポリシーの権限 | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
表示 | 許可、すべてのポリシー | 許可、すべてのポリシー | 許可、すべてのポリシー |
編集 | 許可、すべてのポリシー | 不許可、すべてのポリシー | 不許可、すべてのポリシー |
削除 | 許可、すべてのポリシー | 不許可、すべてのポリシー | 不許可、すべてのポリシー |
選択されていないポリシーの表示 | 許可 | 許可 | 許可 |
新規ポリシーの作成 | 許可 | 不許可 | 不許可 |
ポリシーのインポート | 許可 | 不許可 | 不許可 |
ユーザ権限 (この後の「ユーザ権限に関する注意」を参照) | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
ユーザの表示 | 許可 | 許可 | 不許可 |
ユーザの作成 | 許可 | 不許可 | 不許可 |
ユーザプロパティの編集 | 許可 | 不許可 | 不許可 |
ユーザの削除 | 許可 | 不許可 | 不許可 |
役割の表示 | 許可 | 許可 | 不許可 |
役割の作成 | 許可 | 不許可 | 不許可 |
役割のプロパティの編集 | 許可 | 不許可 | 不許可 |
役割の削除 | 許可 | 不許可 | 不許可 |
権限の委任 | 許可 | 不許可 | 不許可 |
その他の権限 | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
アラート | 完全 (グローバルアラートを消去可能) | 表示のみ | 表示のみ |
アラート設定 | 完全 (アラート設定を編集可能) | 表示のみ | 表示のみ |
IPリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
ポートリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
スケジュール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
システム設定 (グローバル) | 完全 (システム設定 (グローバル) を表示、編集可能) | 表示のみ | 非表示 |
診断 | 完全 (診断パッケージを作成可能) | 表示のみ | 表示のみ |
タグ付け | 完全 (タグ付け (コンピュータに属さない項目)、タグ削除、所有していない自動タグルールをアップデート、所有していない自動タグルールを実行、および所有していない自動タグルールを削除可能) | 表示のみ | 表示のみ |
タスク | 完全 (タスクを表示、追加、編集、削除、および実行可能) | 表示のみ | 非表示 |
マルチテナントの管理 | 完全 | 非表示 | 表示のみ |
検索キャッシュ設定の管理 | 完全 | 表示のみ | 表示のみ |
連絡先 | 完全 (連絡先を表示、作成、編集、および削除可能) | 表示のみ | 非表示 |
ライセンス | 完全 (ライセンスを表示および変更可能) | 表示のみ | 非表示 |
アップデート | 完全 (ソフトウェアを追加、編集、および削除可能。コンポーネントのアップデートを表示可能。アップデートコンポーネントをダウンロード、インポート、および適用可能。Deep Securityルールアップデートを削除可能) | 表示のみ | 非表示 |
資産評価 | 完全 (資産評価を作成、編集、および削除可能) | 表示のみ | 表示のみ |
証明書 | 完全 (SSL証明書を作成および削除可能) | 表示のみ | 表示のみ |
Relayグループ | 完全 | 表示のみ | 表示のみ |
プロキシ | 完全 | 表示のみ | 表示のみ |
SAML IDプロバイダ | 完全 | 非表示 | 非表示 |
不正プログラム検索設定 | 完全 (不正プログラム検索設定を作成、編集、および削除可能) | 表示のみ | 表示のみ |
検出ファイル | 完全 (検出ファイルを削除およびダウンロード可能) | 表示のみ | 表示のみ |
Webレピュテーション設定 | 完全 | 表示のみ | 表示のみ |
ディレクトリリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
ファイルリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
ファイル拡張子リスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
ファイアウォールルール | 完全 (ファイアウォールルールを作成、編集、および削除可能) | 表示のみ | 表示のみ |
ファイアウォールステートフル設定 | 完全 (ファイアウォールステートフル設定を作成、編集、および削除可能) | 表示のみ | 表示のみ |
侵入防御ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
アプリケーションの種類 | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
MACリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
コンテキスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
変更監視ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
セキュリティログ監視ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
セキュリティログ監視デコーダ | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
[自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定を次の表に示します。
[自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定 | |
ユーザ | |
ユーザを表示できます | 不許可 |
新規ユーザを作成できます | 不許可 |
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 不許可 |
ユーザを削除できます | 不許可 |
役割 | |
役割を表示できます | 不許可 |
新規の役割を作成できます | 不許可 |
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 不許可 |
役割を削除できます | 不許可 |
権限の委任 | |
同等以下の権限を持つユーザのみを操作 | 不許可 |
[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定を次の表に示します。
[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定 | |
ユーザ | |
ユーザを表示できます | 許可 |
新規ユーザを作成できます | 許可 |
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 許可 |
ユーザを削除できます | 許可 |
役割 | |
役割を表示できます | 不許可 |
新規の役割を作成できます | 不許可 |
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 不許可 |
役割を削除できます | 不許可 |
権限の委任 | |
同等以下の権限を持つユーザのみを操作 | 許可 |
[すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定を次の表に示します。
[すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定 | |
ユーザ | |
ユーザを表示できます | 許可 |
新規ユーザを作成できます | 許可 |
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 許可 |
ユーザを削除できます | 許可 |
役割 | |
役割を表示できます | 許可 |
新規の役割を作成できます | 許可 |
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 許可 |
役割を削除できます | 許可 |
権限の委任 | |
同等以下の権限を持つユーザのみを操作 | 該当なし |