本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
ユーザロールの定義
Deep Securityは、役割ベースのアクセス制御(RBAC)を使用して、 Deep Securityの一部に対するユーザ権限を制限します。アクセス権限と編集権限は、ユーザにではなく、役割に関連付けられます。Deep Security Managerをインストールしたら、ユーザごとに個別のアカウントを作成し、各ユーザに役割を割り当てて、そのアクティビティをすべてのアクティビティに限定し、その職務の完了に必要なアクティビティのみを割り当てる必要があります。個々のユーザのアクセス権限と編集権限を変更するには、ユーザに別の役割を割り当てるか、役割自体を編集する必要があります。
役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。
Deep Securityには事前設定された2つの役割があります。
- フルアクセス: フルアクセスの役割により、コンピュータ、コンピュータグループ、ポリシー、ルール、不正プログラムの検索設定などの作成、編集、削除など、 Deep Securityシステムの管理に関するすべての権限がユーザに付与されます。
- 監査担当者: 監査担当者の役割により、 Deep Securityシステム内のすべての情報を表示できますが、パスワード、連絡先情報、ダッシュボードのレイアウト設定などの個人設定以外の変更はできません。 。
新しい役割を作成して、特定のコンピュータ、セキュリティルールのプロパティ、またはシステム設定など、 Deep Securityオブジェクトの編集や表示を制限できます。
ユーザアカウントを作成する前に、ユーザが実行する役割を特定し、その役割にアクセスする必要のあるDeep Securityオブジェクトと、そのアクセスの性質(表示、編集、作成など)を列挙します。役割を作成したら、ユーザアカウントを作成して特定の役割を割り当てることができます。
[新規] (
) または [プロパティ] (
) をクリックして、6つのタブ ([一般]、[コンピュータの権限]、[ポリシーの権限]、[ユーザ権限]、[その他の権限]、および [割り当て対象]) がある [役割のプロパティ] 画面を表示します。
役割を追加または編集する
- Deep Security Managerで、 [管理]>[ユーザ管理]>[ロール] の順に選択します。
- [新規] をクリックして新しい役割を追加するか、既存の役割をダブルクリックして設定を変更します。
- 次のような、役割の一般的なプロパティを指定します。
- 名前: 役割の名前。ユーザの追加時に、[役割] 画面および使用可能な役割のリストに表示されます。
- 説明: 役割の説明 (オプション)。
- アクセスの種類:この役割を持つユーザがDeep Security Manager、Deep Security Manager WebサービスAPI (従来のSOAP APIおよびREST APIに適用されます) 、またはその両方にアクセスするかどうかを選択します。
- Trend Cloud One - Endpoint & Workload Securityへの移行:このロールを持つユーザに、Workload Securityリンクへのアクセス権限、移行タスクの処理権限、またはその両方を付与するかどうかを選択します。
-
[コンピュータの権限] ペインを使用して、役割のユーザに表示、編集、削除、警告とエラーのクリア、アラートの消去、イベントタグ付けの権限を付与します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用することも、特定のコンピュータに制限することもできます。アクセスを制限するには、ユーザが実行できる処理の種類を選択します。処理を [選択したコンピュータ] にのみ適用する場合は、この役割のユーザがアクセスできるコンピュータグループとコンピュータを選択します。
これらの権限制限は、 Deep Security Managerのコンピュータへのユーザのアクセスに影響するだけでなく、イベントやアラートなど、表示される情報にも影響します。また、メール通知は、ユーザがアクセス権を持っているデータに関連する場合にのみ送信されます。
警告とエラーをクリアする権限が付与されている場合、その役割は閲覧者ではなく編集者と見なされることに注意してください。
次に示す4つの基本オプションを使用できます。- 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示: この役割のユーザの編集、削除、またはアラート消去の権限が制限されている場合でも、このチェックボックスをオンにすることで他のコンピュータに関する情報の表示 (変更は不可) を許可できます。
- コンピュータに関連していないイベントおよびアラートを表示: システムイベント (ユーザがロックされた、新しいファイアウォールルールが作成された、IPリストが削除されたなど) のような、コンピュータ関連以外の情報をこの役割のユーザが表示できるようにするには、このオプションを設定します。
前述の2つの設定は、ユーザがアクセスできるデータに影響します。この2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。
- 選択したグループ内に新しいコンピュータを作成: この役割のユーザが、アクセス可能なコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
- 選択したグループ内にサブグループを追加または削除: このオプションを設定すると、この役割のユーザは、アクセス権のあるコンピュータグループ内でサブグループを作成および削除できます。
[詳細な権限] セクションでこれらを有効にすることもできます。
- コンピュータファイルのインポートを許可する:この役割のユーザは、 Deep Security Managerの[ Computer Export ]オプションを使用して作成されたファイルを使用してコンピュータをインポートできます。
- ディレクトリを追加、削除、および同期: この役割のユーザが、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加、削除、および同期できるようにします。
- VMware vCenterを追加、削除、および同期: この役割のユーザが、VMware vCenterを追加、削除、および同期できるようにします。
- クラウドプロバイダの追加、削除、および同期を許可する:この役割のユーザに、クラウドプロバイダの追加、削除、および同期を許可する。
- 表示、編集、および削除の権限をある役割のユーザに与えるには、[ポリシーの権限] タブを使用します。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー] をクリックし、この役割のユーザにアクセス権を与えるポリシーの横にあるチェックボックスをオンにします。
「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。 次に示す2つの基本オプションを使用できます。
- 選択されていないポリシーを表示: この役割のユーザの編集または削除の権限が制限されている場合でも、このチェックボックスをオンにすることで他のポリシーに関する情報の表示 (変更は不可) を許可できます。
- ポリシーの作成: この役割のユーザが新しいポリシーを作成できるようにするには、このオプションを設定します。
[詳細な権限] セクションで以下を有効にすることもできます。
- ポリシーのインポートを許可:この役割のユーザに、[ Policies ]タブのDeep Security Managerの [ポリシー] オプションで作成されたファイルを使用してポリシーをインポートできるようにします。
- [ユーザ権限] タブのオプションを使用して、管理者アカウントの権限を定義できます。
- 自身のパスワードと連絡先情報のみを変更: この役割のユーザは、自身のパスワードと連絡先情報のみを変更できます。
- 同等以下のアクセス権を持つユーザを作成および管理: この役割のユーザは、同等以下のアクセス権を持つユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
- すべての役割およびユーザを完全に管理: この役割のユーザは、ユーザと役割を制限なしで作成および管理できます。このオプションの使用には、十分な注意が必要です。このロールを役割に割り当てる場合は、制限された権限を持つユーザに対して、 Deep Security Managerのすべての側面に対するすべての制限のないアクセス権を持つユーザとして作成してからログインすることができます。
- カスタム: [カスタム] を選択して、[カスタム権限] セクションのオプションを使用すると、ユーザが他のユーザおよび役割を表示、作成、編集、または削除する権限をさらに制限できます。[同等以下の権限を持つユーザのみを操作] オプションを選択すると、特定のユーザに対して一部のオプションが制限される場合があります。
[同等以下の権限を持つユーザのみを操作] オプションでは、この役割のユーザの権限をさらに制限します。ユーザは、自身と同等または下位の権限を持つユーザに対する変更のみ行うことができます。この役割のユーザは、役割を作成、編集、削除できなくなります。このオプションを選択すると、[カスタム権限] セクションの以下のオプションが制限されます。
- 新規ユーザを作成できます: 同等または下位の権限を持つユーザの作成のみ可能です。
- ユーザプロパティを編集できます: 同等または下位の権限を持つユーザの編集、またはパスワードの設定やリセットのみ可能です。
- ユーザを削除できます: 同等または下位の権限を持つユーザの削除のみ可能です。
- [ その他の権限 ]タブでは、特定のDeep Securityの機能にのみアクセスできるように、また場合によってはそれらの機能で特定の処理にアクセスできるように、役割の権限を制限できます。たとえば、管理者が複数いる場合、誤って他の管理者の作業内容を上書きすることがないように各管理者の権限を制限できます。初期設定では、各役割は各機能に対して「表示のみ」または「非表示」に設定されています。アクセスを細かく変更またはカスタマイズするには、リストから [カスタム] を選択します。
- [割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。
Full Access、Auditor、および新規の各役割の初期設定
次の表は、Full Accessの役割とAuditorの役割に対する権限の初期設定を示しています。また、[役割] 画面のツールバーで [新規] をクリックして新しい役割を作成するときの権限の設定についても示します。
| 権限 | 役割別の設定 | ||
| 一般 | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
| DSMユーザインタフェースへのアクセス | 許可 | 許可 | 許可 |
| WebサービスAPIへのアクセス | 許可 | 許可 | 不許可 |
| コンピュータの権限 | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
| 表示 | 許可、すべてのコンピュータ | 許可、すべてのコンピュータ | 許可、すべてのコンピュータ |
| 警告/エラーのクリア | 許可、すべてのコンピュータ、 | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
| 編集 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
| 削除 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
| アラートの消去 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
| アイテムのタグ付け | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
| 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示 | 許可 | 許可 | 許可、すべてのコンピュータ |
| コンピュータに関連していないイベントおよびアラートを表示 | 許可 | 許可 | 許可、すべてのコンピュータ |
| 選択したグループ内に新しいコンピュータを作成 | 許可 | 不許可 | 不許可 |
| 選択したグループ内にサブグループを追加または削除 | 許可 | 不許可 | 不許可 |
| コンピュータファイルをインポート | 許可 | 不許可 | 不許可 |
| クラウドアカウントの追加、削除、および同期を許可 | 許可 | 不許可 | 不許可 |
| ポリシーの権限 | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
| 表示 | 許可、すべてのポリシー | 許可、すべてのポリシー | 許可、すべてのポリシー |
| 編集 | 許可、すべてのポリシー | 不許可、すべてのポリシー | 不許可、すべてのポリシー |
| 削除 | 許可、すべてのポリシー | 不許可、すべてのポリシー | 不許可、すべてのポリシー |
| 選択されていないポリシーの表示 | 許可 | 許可 | 許可 |
| 新規ポリシーの作成 | 許可 | 不許可 | 不許可 |
| ポリシーのインポート | 許可 | 不許可 | 不許可 |
| ユーザ権限 (この後の「ユーザ権限に関する注意」を参照) | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
| ユーザの表示 | 許可 | 許可 | 不許可 |
| ユーザの作成 | 許可 | 不許可 | 不許可 |
| ユーザプロパティの編集 | 許可 | 不許可 | 不許可 |
| ユーザの削除 | 許可 | 不許可 | 不許可 |
| 役割の表示 | 許可 | 許可 | 不許可 |
| 役割の作成 | 許可 | 不許可 | 不許可 |
| 役割のプロパティの編集 | 許可 | 不許可 | 不許可 |
| 役割の削除 | 許可 | 不許可 | 不許可 |
| 権限の委任 | 許可 | 不許可 | 不許可 |
| その他の権限 | Full Accessの役割 | Auditorの役割 | 新規役割の初期設定 |
| アラート | 完全 (グローバルアラートを消去可能) | 表示のみ | 表示のみ |
| アラート設定 | 完全 (アラート設定を編集可能) | 表示のみ | 表示のみ |
| IPリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| ポートリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| スケジュール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| システム設定 (グローバル) | 完全 (システム設定 (グローバル) を表示、編集可能) | 非表示 | 非表示 |
| 診断 | 完全 (診断パッケージを作成可能) | 表示のみ | 表示のみ |
| タグ付け | 完全 (タグ付け (コンピュータに属さない項目)、タグ削除、所有していない自動タグルールをアップデート、所有していない自動タグルールを実行、および所有していない自動タグルールを削除可能) | 表示のみ | 表示のみ |
| タスク | 完全 (タスクを表示、追加、編集、削除、および実行可能) | 非表示 | 非表示 |
| マルチテナントの管理 | 完全 | 非表示 | 非表示 |
| 検索キャッシュ設定の管理 | 完全 | 表示のみ | 表示のみ |
| 連絡先 | 完全 (連絡先を表示、作成、編集、および削除可能) | 非表示 | 非表示 |
| ライセンス | 完全 (ライセンスを表示および変更可能) | 非表示 | 非表示 |
| アップデート | 完全 (ソフトウェアを追加、編集、および削除可能。コンポーネントのアップデートの表示、ダウンロード、インポート、アップデートコンポーネントの適用、 Deep Securityルールのアップデートの削除が可能) | 非表示 | 非表示 |
| 資産評価 | 完全 (資産評価を作成、編集、および削除可能) | 表示のみ | 表示のみ |
| 証明書 | 完全 (SSL証明書を作成および削除可能) | 表示のみ | 表示のみ |
| Relayグループ | 完全 | 表示のみ | 表示のみ |
| プロキシ | 完全 | 表示のみ | 表示のみ |
| SAML IDプロバイダ | 完全 | 非表示 | 非表示 |
| 不正プログラム検索設定 | 完全 (不正プログラム検索設定を作成、編集、および削除可能) | 表示のみ | 表示のみ |
| 検出ファイル | 完全 (検出ファイルを削除およびダウンロード可能) | 表示のみ | 表示のみ |
| Webレピュテーション設定 | 完全 | 表示のみ | 表示のみ |
| アクティビティ監視設定 | 完全 | 表示のみ | 表示のみ |
| ディレクトリリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| ファイルリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| ファイル拡張子リスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| ファイアウォールルール | 完全 (ファイアウォールルールを作成、編集、および削除可能) | 表示のみ | 表示のみ |
| ファイアウォールステートフル設定 | 完全 (ファイアウォールステートフル設定を作成、編集、および削除可能) | 表示のみ | 表示のみ |
| 侵入防御ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| アプリケーションの種類 | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| MACリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| コンテキスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| 変更監視ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| セキュリティログ監視ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| セキュリティログ監視デコーダ | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
| アプリケーションコントロールルールセット | 完全(アプリケーションコントロールのルールセットを作成、表示、編集、または削除できます) | 非表示 | 非表示 |
| アプリケーションコントロールルール | 完全(アプリケーションコントロールの作成、表示、編集、または削除のルールを設定できます) | 非表示 | 非表示 |
| アプリケーションコントロールの承認されていないソフトウェア | 完全(Can not Viewまたは Allow/Block unrecognizedソフトウェア) | 非表示 | 非表示 |
| アプリケーションコントロールソフトウェアインベントリ | 完全(ソフトウェアインベントリを作成、表示、または削除できます) | 非表示 | 非表示 |
[自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定を次の表に示します。
| [自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定 | |
| ユーザ | |
| ユーザを表示できます | 不許可 |
| 新規ユーザを作成できます | 不許可 |
| ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 不許可 |
| ユーザを削除できます | 不許可 |
| 役割 | |
| 役割を表示できます | 不許可 |
| 新規の役割を作成できます | 不許可 |
| 役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 不許可 |
| 役割を削除できます | 不許可 |
| 権限の委任 | |
| 同等以下の権限を持つユーザのみを操作 | 不許可 |
[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定を次の表に示します。
| [同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定 | |
| ユーザ | |
| ユーザを表示できます | 許可 |
| 新規ユーザを作成できます | 許可 |
| ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 許可 |
| ユーザを削除できます | 許可 |
| 役割 | |
| 役割を表示できます | 不許可 |
| 新規の役割を作成できます | 不許可 |
| 役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 不許可 |
| 役割を削除できます | 不許可 |
| 権限の委任 | |
| 同等以下の権限を持つユーザのみを操作 | 許可 |
[すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定を次の表に示します。
| [すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定 | |
| ユーザ | |
| ユーザを表示できます | 許可 |
| 新規ユーザを作成できます | 許可 |
| ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 許可 |
| ユーザを削除できます | 許可 |
| 役割 | |
| 役割を表示できます | 許可 |
| 新規の役割を作成できます | 許可 |
| 役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 許可 |
| 役割を削除できます | 許可 |
| 権限の委任 | |
| 同等以下の権限を持つユーザのみを操作 | 該当なし |