本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

ユーザロールの定義

Deep Securityは、役割ベースのアクセス制御(RBAC)を使用して、 Deep Securityの一部に対するユーザ権限を制限します。アクセス権限と編集権限は、ユーザにではなく、役割に関連付けられます。Deep Security Managerをインストールしたら、ユーザごとに個別のアカウントを作成し、各ユーザに役割を割り当てて、そのアクティビティをすべてのアクティビティに限定し、その職務の完了に必要なアクティビティのみを割り当てる必要があります。個々のユーザのアクセス権限と編集権限を変更するには、ユーザに別の役割を割り当てるか、役割自体を編集する必要があります。

役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。

Deep Securityには事前設定された2つの役割があります。

  • フルアクセス: フルアクセスの役割により、コンピュータ、コンピュータグループ、ポリシー、ルール、不正プログラムの検索設定などの作成、編集、削除など、 Deep Securityシステムの管理に関するすべての権限がユーザに付与されます。
  • 監査担当者: 監査担当者の役割により、 Deep Securityシステム内のすべての情報を表示できますが、パスワード、連絡先情報、ダッシュボードのレイアウト設定などの個人設定以外の変更はできません。 。
許可されたアクセスのレベルに応じて、 Deep Security Managerのコントロールは表示および変更可能、表示可能、無効、または非表示のいずれかになります。事前に定義された役割で付与されている権限のリスト、および新しい役割を作成する際の権限の初期設定については、Full Access、Auditor、および新規の各役割の初期設定を参照してください。

新しい役割を作成して、特定のコンピュータ、セキュリティルールのプロパティ、またはシステム設定など、 Deep Securityオブジェクトの編集や表示を制限できます。

ユーザアカウントを作成する前に、ユーザが実行する役割を特定し、その役割にアクセスする必要のあるDeep Securityオブジェクトと、そのアクセスの性質(表示、編集、作成など)を列挙します。役割を作成したら、ユーザアカウントを作成して特定の役割を割り当てることができます。

Full Accessの役割を複製して変更する方法で新しい役割を作成しないでください。新しい役割に目的とする権限のみを確実に付与するには、ツールバーの [新規] をクリックして新しい役割を作成します。新しい役割の権限は、初期設定では最も制限された状態で設定されます。後で必要な権限のみを付与できます。Full Accessの役割を複製してから制限を適用すると、不要な権限を与える危険があります。

[新規] () または [プロパティ] () をクリックして、6つのタブ ([一般]、[コンピュータの権限]、[ポリシーの権限]、[ユーザ権限]、[その他の権限]、および [割り当て対象]) がある [役割のプロパティ] 画面を表示します。

役割を追加または編集する

  1. Deep Security Managerで、 [管理]>[ユーザ管理]>[ロール] の順に選択します。
  2. [新規] をクリックして新しい役割を追加するか、既存の役割をダブルクリックして設定を変更します。
  3. 次のような、役割の一般的なプロパティを指定します。
    • 名前: 役割の名前。ユーザの追加時に、[役割] 画面および使用可能な役割のリストに表示されます。
    • 説明: 役割の説明 (オプション)。
    • アクセスの種類:この役割を持つユーザがDeep Security Manager、Deep Security Manager WebサービスAPI(従来のSOAP APIおよびREST APIに適用されます) 、またはその両方にアクセスするかどうかを選択します。
    • 従来のSOAPおよびREST WebサービスAPIを有効にするには、[管理]→[システム設定]→[詳細]→[SOAP WebサービスAPI] の順に選択します。
    • Trend Cloud One - Endpoint & Workload Securityへの移行:このロールを持つユーザに、Workload Securityリンクへのアクセス権限、移行タスクの処理権限、またはその両方を付与するかどうかを選択します。
  4. [コンピュータの権限] ペインを使用して、役割のユーザに表示、編集、削除、警告とエラーのクリア、アラートの消去、イベントタグ付けの権限を付与します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用することも、特定のコンピュータに制限することもできます。アクセスを制限するには、ユーザが実行できる処理の種類を選択します。処理を [選択したコンピュータ] にのみ適用する場合は、この役割のユーザがアクセスできるコンピュータグループとコンピュータを選択します。

    これらの権限制限は、 Deep Security Managerのコンピュータへのユーザのアクセスに影響するだけでなく、イベントやアラートなど、表示される情報にも影響します。また、メール通知は、ユーザがアクセス権を持っているデータに関連する場合にのみ送信されます。

    警告とエラーをクリアする権限が付与されている場合、その役割は閲覧者ではなく編集者と見なされることに注意してください。

    次に示す4つの基本オプションを使用できます。

    • 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示: この役割のユーザの編集、削除、またはアラート消去の権限が制限されている場合でも、このチェックボックスをオンにすることで他のコンピュータに関する情報の表示 (変更は不可) を許可できます。
    • コンピュータに関連していないイベントおよびアラートを表示: システムイベント (ユーザがロックされた、新しいファイアウォールルールが作成された、IPリストが削除されたなど) のような、コンピュータ関連以外の情報をこの役割のユーザが表示できるようにするには、このオプションを設定します。
      前述の2つの設定は、ユーザがアクセスできるデータに影響します。この2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。
    • 選択したグループ内に新しいコンピュータを作成: この役割のユーザが、アクセス可能なコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
    • 選択したグループ内にサブグループを追加または削除: このオプションを設定すると、この役割のユーザは、アクセス権のあるコンピュータグループ内でサブグループを作成および削除できます。

    [詳細な権限] セクションでこれらを有効にすることもできます。

    • コンピュータファイルのインポートを許可する:この役割のユーザは、 Deep Security Managerの[ Computer Export ]オプションを使用して作成されたファイルを使用してコンピュータをインポートできます。
    • ディレクトリを追加、削除、および同期: この役割のユーザが、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加、削除、および同期できるようにします。
    • VMware vCenterを追加、削除、および同期: この役割のユーザが、VMware vCenterを追加、削除、および同期できるようにします。
    • クラウドプロバイダの追加、削除、および同期を許可する:この役割のユーザに、クラウドプロバイダの追加、削除、および同期を許可する。
  5. 表示、編集、および削除の権限をある役割のユーザに与えるには、[ポリシーの権限] タブを使用します。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー] をクリックし、この役割のユーザにアクセス権を与えるポリシーの横にあるチェックボックスをオンにします。

    「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。

    次に示す2つの基本オプションを使用できます。

    • 選択されていないポリシーを表示: この役割のユーザの編集または削除の権限が制限されている場合でも、このチェックボックスをオンにすることで他のポリシーに関する情報の表示 (変更は不可) を許可できます。
    • ポリシーの作成: この役割のユーザが新しいポリシーを作成できるようにするには、このオプションを設定します。

    [詳細な権限] セクションで以下を有効にすることもできます。

    • ポリシーのインポートを許可:この役割のユーザに、[ Policies ]タブのDeep Security Managerの [ポリシー] オプションで作成されたファイルを使用してポリシーをインポートできるようにします。
  6. [ユーザ権限] タブのオプションを使用して、管理者アカウントの権限を定義できます。

    • 自身のパスワードと連絡先情報のみを変更: この役割のユーザは、自身のパスワードと連絡先情報のみを変更できます。
    • 同等以下のアクセス権を持つユーザを作成および管理: この役割のユーザは、同等以下のアクセス権を持つユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
    • すべての役割およびユーザを完全に管理: この役割のユーザは、ユーザと役割を制限なしで作成および管理できます。このオプションの使用には、十分な注意が必要です。このロールを役割に割り当てる場合は、制限された権限を持つユーザに対して、 Deep Security Managerのすべての側面に対するすべての制限のないアクセス権を持つユーザとして作成してからログインすることができます。
    • カスタム: [カスタム] を選択して、[カスタム権限] セクションのオプションを使用すると、ユーザが他のユーザおよび役割を表示、作成、編集、または削除する権限をさらに制限できます。[同等以下の権限を持つユーザのみを操作] オプションを選択すると、特定のユーザに対して一部のオプションが制限される場合があります。

      [同等以下の権限を持つユーザのみを操作] オプションでは、この役割のユーザの権限をさらに制限します。ユーザは、自身と同等または下位の権限を持つユーザに対する変更のみ行うことができます。この役割のユーザは、役割を作成、編集、削除できなくなります。このオプションを選択すると、[カスタム権限] セクションの以下のオプションが制限されます。

      • 新規ユーザを作成できます: 同等または下位の権限を持つユーザの作成のみ可能です。
      • ユーザプロパティを編集できます: 同等または下位の権限を持つユーザの編集、またはパスワードの設定やリセットのみ可能です。
      • ユーザを削除できます: 同等または下位の権限を持つユーザの削除のみ可能です。
  7. [ その他の権限 ]タブでは、特定のDeep Securityの機能にのみアクセスできるように、また場合によってはそれらの機能で特定の処理にアクセスできるように、役割の権限を制限できます。たとえば、管理者が複数いる場合、誤って他の管理者の作業内容を上書きすることがないように各管理者の権限を制限できます。初期設定では、各役割は各機能に対して「表示のみ」または「非表示」に設定されています。アクセスを細かく変更またはカスタマイズするには、リストから [カスタム] を選択します。
  8. [割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。

 

Full Access、Auditor、および新規の各役割の初期設定

次の表は、Full Accessの役割とAuditorの役割に対する権限の初期設定を示しています。また、[役割] 画面のツールバーで [新規] をクリックして新しい役割を作成するときの権限の設定についても示します。

権限役割別の設定
一般Full Accessの役割Auditorの役割新規役割の初期設定
DSMユーザインタフェースへのアクセス許可許可許可
WebサービスAPIへのアクセス許可許可不許可
コンピュータの権限Full Accessの役割Auditorの役割新規役割の初期設定
表示許可、すべてのコンピュータ許可、すべてのコンピュータ許可、すべてのコンピュータ
警告/エラーのクリア許可、すべてのコンピュータ、 不許可、すべてのコンピュータ不許可、すべてのコンピュータ
編集許可、すべてのコンピュータ不許可、すべてのコンピュータ不許可、すべてのコンピュータ
削除許可、すべてのコンピュータ不許可、すべてのコンピュータ不許可、すべてのコンピュータ
アラートの消去許可、すべてのコンピュータ不許可、すべてのコンピュータ不許可、すべてのコンピュータ
アイテムのタグ付け許可、すべてのコンピュータ不許可、すべてのコンピュータ不許可、すべてのコンピュータ
選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示許可許可許可、すべてのコンピュータ
コンピュータに関連していないイベントおよびアラートを表示許可許可許可、すべてのコンピュータ
選択したグループ内に新しいコンピュータを作成許可不許可不許可
選択したグループ内にサブグループを追加または削除許可不許可不許可
コンピュータファイルをインポート許可不許可不許可
クラウドアカウントの追加、削除、および同期を許可許可不許可不許可
ポリシーの権限Full Accessの役割Auditorの役割新規役割の初期設定
表示許可、すべてのポリシー許可、すべてのポリシー許可、すべてのポリシー
編集許可、すべてのポリシー不許可、すべてのポリシー不許可、すべてのポリシー
削除許可、すべてのポリシー不許可、すべてのポリシー不許可、すべてのポリシー
選択されていないポリシーの表示許可許可許可
新規ポリシーの作成許可不許可不許可
ポリシーのインポート許可不許可不許可
ユーザ権限 (この後の「ユーザ権限に関する注意」を参照)Full Accessの役割Auditorの役割新規役割の初期設定
ユーザの表示許可許可不許可
ユーザの作成許可不許可不許可
ユーザプロパティの編集許可不許可不許可
ユーザの削除許可不許可不許可
役割の表示許可許可不許可
役割の作成許可不許可不許可
役割のプロパティの編集許可不許可不許可
役割の削除許可不許可不許可
権限の委任許可不許可不許可
その他の権限Full Accessの役割Auditorの役割新規役割の初期設定
アラート完全 (グローバルアラートを消去可能)表示のみ表示のみ
アラート設定完全 (アラート設定を編集可能)表示のみ表示のみ
IPリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
ポートリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
スケジュール完全 (作成、編集、および削除可能)表示のみ表示のみ
システム設定 (グローバル)完全 (システム設定 (グローバル) を表示、編集可能)非表示非表示
診断完全 (診断パッケージを作成可能)表示のみ表示のみ
タグ付け完全 (タグ付け (コンピュータに属さない項目)、タグ削除、所有していない自動タグルールをアップデート、所有していない自動タグルールを実行、および所有していない自動タグルールを削除可能)表示のみ表示のみ
タスク完全 (タスクを表示、追加、編集、削除、および実行可能)非表示非表示
マルチテナントの管理完全非表示非表示
検索キャッシュ設定の管理完全表示のみ表示のみ
連絡先完全 (連絡先を表示、作成、編集、および削除可能)非表示非表示
ライセンス完全 (ライセンスを表示および変更可能)非表示非表示
アップデート完全 (ソフトウェアを追加、編集、および削除可能。コンポーネントのアップデートの表示、ダウンロード、インポート、アップデートコンポーネントの適用、 Deep Securityルールのアップデートの削除が可能)非表示非表示
資産評価完全 (資産評価を作成、編集、および削除可能)表示のみ表示のみ
証明書完全 (SSL証明書を作成および削除可能)表示のみ表示のみ
Relayグループ完全表示のみ表示のみ
プロキシ完全表示のみ表示のみ
SAML IDプロバイダ完全非表示非表示
不正プログラム検索設定完全 (不正プログラム検索設定を作成、編集、および削除可能)表示のみ表示のみ
検出ファイル完全 (検出ファイルを削除およびダウンロード可能)表示のみ表示のみ
Webレピュテーション設定完全表示のみ表示のみ
アクティビティ監視設定完全表示のみ表示のみ
ディレクトリリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
ファイルリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
ファイル拡張子リスト完全 (作成、編集、および削除可能)表示のみ表示のみ
ファイアウォールルール完全 (ファイアウォールルールを作成、編集、および削除可能)表示のみ表示のみ
ファイアウォールステートフル設定完全 (ファイアウォールステートフル設定を作成、編集、および削除可能)表示のみ表示のみ
侵入防御ルール完全 (作成、編集、および削除可能)表示のみ表示のみ
アプリケーションの種類完全 (作成、編集、および削除可能)表示のみ表示のみ
MACリスト完全 (作成、編集、および削除可能)表示のみ表示のみ
コンテキスト完全 (作成、編集、および削除可能)表示のみ表示のみ
変更監視ルール完全 (作成、編集、および削除可能)表示のみ表示のみ
セキュリティログ監視ルール完全 (作成、編集、および削除可能)表示のみ表示のみ
セキュリティログ監視デコーダ完全 (作成、編集、および削除可能)表示のみ表示のみ
アプリケーションコントロールルールセット完全(アプリケーションコントロールのルールセットを作成、表示、編集、または削除できます)非表示非表示
アプリケーションコントロールルール完全(アプリケーションコントロールの作成、表示、編集、または削除のルールを設定できます)非表示非表示
アプリケーションコントロールの承認されていないソフトウェア完全(Can not Viewまたは Allow/Block unrecognizedソフトウェア)非表示非表示
アプリケーションコントロールソフトウェアインベントリ完全(ソフトウェアインベントリを作成、表示、または削除できます)非表示非表示

[自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定を次の表に示します。

[自身のパスワードと連絡先情報のみを変更] オプションに対応するカスタム設定
ユーザ
ユーザを表示できます不許可
新規ユーザを作成できます不許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)不許可
ユーザを削除できます不許可
役割
役割を表示できます不許可
新規の役割を作成できます不許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)不許可
役割を削除できます不許可
権限の委任
同等以下の権限を持つユーザのみを操作不許可


[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定を次の表に示します。

[同等以下のアクセス権を持つユーザを作成および管理] オプションに対応するカスタム設定
ユーザ
ユーザを表示できます許可
新規ユーザを作成できます許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)許可
ユーザを削除できます許可
役割
役割を表示できます不許可
新規の役割を作成できます不許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)不許可
役割を削除できます不許可
権限の委任
同等以下の権限を持つユーザのみを操作許可


[すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定を次の表に示します。

[すべての役割およびユーザを完全に管理] オプションに対応するカスタム設定
ユーザ
ユーザを表示できます許可
新規ユーザを作成できます許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)許可
ユーザを削除できます許可
役割
役割を表示できます許可
新規の役割を作成できます許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)許可
役割を削除できます許可
権限の委任
同等以下の権限を持つユーザのみを操作該当なし