Trend Cloud Oneでは、役割ベースのアクセス制御 (RBAC) を使用して、ユーザの権限をサービスの一部に制限します。アクセス権と編集権限は、ユーザではなく役割に割り当てられます。各ユーザに個別のアカウントを作成し、各ユーザに役割を割り当てて、職務の完了に必要なアクティビティに制限する必要があります。個々のユーザのアクセス権と編集権限を変更するには、そのユーザに別の役割を割り当てるか、役割を編集する必要があります。
これらの設定は、Trend Cloud One - File Storage SecurityおよびTrend Cloud One - Container Securityでもサポートされています。
役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。
Trend Cloud Oneには、次の5つの役割が事前に設定されています。
  • フルアクセス: リソース、ポリシー、ルールの作成、編集、削除、ユーザとロールの管理など、Trend Cloud Oneサービスの管理に関するすべての権限をユーザに付与します。
  • 監査者: 監査者ロールを使用すると、ユーザはTrend Cloud Oneサービス内のすべての情報を表示できますが、パスワード、連絡先情報、ダッシュボードのレイアウト設定、などがあります。
  • Workload Security 読み取り専用: この役割の設定は監査者の役割と同じですが、この役割は変更できません。新しいTrend Cloud Oneアカウントの読み取り専用の役割は、Workload Securityでこの役割にマッピングされます。
  • Deep Security Migration: Deep Securityソフトウェアが Workload Securityへの移行に使用する役割。詳細については、Deep Securityのヘルプを参照してください。
  • Trend Vision One: Trend Vision Oneで使用される役割。
現在、カスタムロールはTrend Cloud One - Endpoint & Workload Securityのみでサポートされています。Workload Securityのカスタムロールは、ユーザが他のTrend Cloud Oneサービスにアクセスする際には監査人ロールとして扱われます。

カスタム Workload Security 権限

付与されたアクセスレベルに応じて、Workload Securityのコントロールは表示および変更可能、表示のみで無効、または非表示のいずれかになります。事前構成されたロールで付与される権限の一覧や、新しいロールを作成する際のデフォルトの権限設定については、フルアクセス、監査、および新しいロールのデフォルト設定を参照してください。
特定のコンピュータ、セキュリティルールのプロパティ、システム設定などの Workload Security オブジェクトの編集や表示を制限する新しい役割を作成できます。
ユーザアカウントを作成する前に、ユーザが担う役割を特定し、その役割がアクセスする必要のあるWorkload Securityオブジェクトと、そのアクセスの性質 (表示、編集、作成など) を示します。役割を作成したら、ユーザアカウントの作成を開始し、特定の役割を割り当てます。
Full Accessの役割を複製して変更する方法で新しい役割を作成しないでください。新しい役割に目的とする権限のみを確実に付与するには、ツールバーの[新規]をクリックして新しい役割を作成します。新しい役割の権限は、初期設定では最も制限された状態で設定されます。後で必要な権限のみを付与できます。Full Accessの役割を複製してから制限を適用すると、不要な権限を与える危険があります。
[新規] (new=3dd69943-a148-4400-888d-22eaa12feafa.png) または [プロパティ] (details=03aeb796-4b32-416d-950d-c3fd30699bdb.png) をクリックすると、[ロールプロパティウィンドウ]が表示され、6つのタブがあります: [一般、コンピュータ権限、ポリシー権限、ユーザ権限、その他の権限] および [割り当て先]

役割を追加または編集する

  1. Trend Cloud One - Endpoint & Workload Securityページから、[管理][ユーザ管理][役割]をクリックします。
  2. [新規]をクリックして新しい役割を追加するか、既存の役割をダブルクリックして設定を編集します。
  3. 次を含む、役割の一般的なプロパティを指定します。
    • 名前: ロールの名前。ユーザの追加時に [役割] 画面および使用可能なロールのリストに表示されます。
    • 説明: 役割の説明 (オプション)。
    • アクセスタイプ: このロールを持つユーザが、Deep Security ManagerユーザインタフェースまたはWebサービスAPIのどちらにアクセスできるかを選択します。
  4. [コンピュータの権限]タブを使用して、役割のユーザの表示、編集、削除、アラート消去、およびイベントのタグ付けの権限を設定します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用できます。また、権限の付与を特定のコンピュータに制限することもできます。
  5. アクセスを制限するには、[選択したコンピュータ]を選択し、この役割のユーザがアクセスできるコンピュータグループとコンピュータを選択します。これらの権限の制限は、Workload Securityでのコンピュータへのユーザのアクセスだけでなく、イベントやアラートなど、表示される情報にも影響します。また、メール通知は、ユーザがアクセス権を持っているデータに関連する場合にのみ送信されます。
    2016-07-05_000071_DS10=099c641a-85b6-424b-b3e1-f790c291329f.png
    次に示す4つの基本オプションを使用できます。
    • 選択されていないコンピュータとデータの表示を許可する: この役割のユーザに警告の編集、削除、または却下の権限が制限されている場合でも、この役割を選択することで、他のコンピュータに関する情報の表示を許可できますが、変更は許可できません。
    • コンピュータに関係のないイベントとアラートの表示を許可する: このロールのユーザがコンピュータに関連しない情報 (ユーザのロックアウト、新しいファイアウォールルールの作成、IPリストの削除などのシステムイベント) を表示できるようにするには、このオプションを設定します。
      前の2つのオプションは、ユーザがアクセスできるデータに影響します。ユーザによるコンピュータへの変更は制限されていますが、上記の2つの設定では、アクセス権を持たないコンピュータに関する情報をユーザに表示するかどうかを制御します。これには、それらのコンピュータに関連するメール通知の受信も含まれます。
    • 選択したグループでの新しいコンピュータの作成を許可する: このロールのユーザが、アクセス権を持つコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
    • 選択したグループでのサブグループの追加/削除を許可する: この役割のユーザが、アクセス権を持つコンピュータグループ内のサブグループを作成および削除できるようにするには、このオプションを設定します。
    [詳細な権限]セクションで、次の項目を有効にすることもできます。
    • コンピュータのファイルのインポートを許可: この役割のユーザは、 Workload Securityの [コンピュータのエクスポート] オプションを使用して作成されたファイルを使用してコンピュータをインポートできます。
    • ディレクトリを追加、削除、および同期: この役割のユーザに、Microsoft Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータの追加、削除、および同期を許可します。
    • VMware vCenterの追加、削除、および同期を許可: この役割のユーザにVMware vCenterの追加、削除、および同期を許可します。
  6. 表示、編集、削除の権限をある役割のユーザに与えるには、[ポリシーの権限] タブを使用します。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー] をクリックし、この役割のユーザがアクセス権のあるポリシーを選択します。
    2016-07-05_000072_DS10=8224e23f-2d42-456f-a855-48f54b71d15a.png
    子ポリシーを持つポリシーに対する権限を許可すると、ユーザは子ポリシーに対する権限も自動的に取得します。
    次に示す2つの基本オプションを使用できます。
    • 選択されていないポリシーの表示を許可: この役割のユーザが編集または削除の権限を制限されている場合でも、このオプションを選択することで、他のポリシーに関する情報の表示は許可しますが、変更は許可できません。
    • 新しいポリシーを作成できるようにする: このオプションを設定すると、この役割のユーザは新しいポリシーを作成できます。
    また、Advanced Rights セクションで有効にすることもできます。
    • [ポリシーのインポートを許可:] このロールのユーザが[ポリシー]タブのWorkload Security [エクスポート]オプションで作成されたファイルを使用してポリシーをインポートできるようにします。
  7. [ユーザ権限] タブのオプションを使用して、管理者アカウントの権限を定義すできます。
    2016-07-05_000075_DS10=74b09d72-d44b-4236-9192-b9be1f50e422.png
    • 自分のパスワードと連絡先情報のみを変更: この役割のユーザは、自分のパスワードと連絡先情報のみを変更できます。
    • 同等以下のアクセス権を持つユーザの作成と管理: この役割のユーザは、自分より高い権限を持たないユーザを作成および管理できます。このロールを持つユーザの権限を超える権限が1つでも存在する場合、このロールを持つユーザはその権限を作成または管理できません。
    • すべての役割とユーザを完全に制御する: この役割のユーザは、制限なしでユーザまたは役割を作成および編集できます。このオプションを使用する場合は注意が必要です。このオプションを役割に割り当てると、権限が制限されているユーザが、Workload Securityのすべての側面に対する無制限の完全アクセス権を持つユーザを作成し、そのユーザとしてサインインできるようになる可能性があります。
    • カスタム: さらに、 [カスタム] を選択し、[カスタム権限] セクションのオプションを使用して、ユーザがユーザおよび役割を表示、作成、編集、または削除する権限を制限できます。[同等以下の権限を持つユーザのみを操作]オプションが選択されている場合、一部のオプションが制限されることがあります。
      [同等以下の権限を持つユーザのみを操作] オプションは、この役割のユーザの権限を制限します。変更できるのは、自分と同等またはそれ以下の権限を持つユーザのみです。この役割のユーザは、役割を作成、編集、または削除できません。このオプションを選択すると、[カスタム権限] セクションの一部のオプションも制限されます。
      • 新規ユーザを作成できます: 権限の等しいユーザまたは作成できる権限がないユーザのみ作成できます。
      • ユーザのプロパティを編集できます: ユーザ権限 (またはパスワードの設定/リセット) の権限と同等以下の権限しか編集できません。
      • ユーザを削除できます: 権限の等しいユーザと低いユーザのみ削除できます。
  8. [その他の権限] タブでは、役割の権限を制限して、特定のWorkload Security機能にのみアクセスできるようにします。これは、複数の管理者チームがいて、互いの作業を誤って上書きしないようにしたい場合などに便利です。初期設定では、各機能の役割は [表示のみ] または [非表示] になっています。フルコントロールまたはカスタマイズされたアクセスを許可するには、リストから [カスタム] を選択します。
    2016-07-05_000074_DS10=a37517f4-d7f8-4d57-ad07-8c7d4c0df9a4.png
  9. [割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。

Full Access、Auditor、および新規の各役割の初期設定

次の表は、Full Accessの役割とAuditorの役割に対する権限の初期設定を示しています。[役割] ページのツールバーで[新規]をクリックして新しい役割を作成する際に設定されている権限の設定も表示されます。
権利
役割別の設定
一般
Full Accessの役割
Auditor /Workload Security 読み取り専用ロール
新規役割の初期設定
Workload Security マネージャのユーザインタフェースへのアクセスを許可
許可
許可
許可
WebサービスAPIへのアクセスを許可
許可
許可
不許可
コンピュータの権利
Full Accessの役割
Auditor /Workload Security 読み取り専用ロール
新規役割の初期設定
表示
許可、すべてのコンピュータ
許可、すべてのコンピュータ
許可、すべてのコンピュータ
編集
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
削除
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
アラートの消去
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
アイテムのタグ付け
許可、すべてのコンピュータ
不許可、すべてのコンピュータ
不許可、すべてのコンピュータ
選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示
許可
許可
許可
コンピュータに関連していないイベントおよびアラートを表示
許可
許可
許可
選択したグループ内に新しいコンピュータを作成
許可
不許可
不許可
選択したグループ内にサブグループを追加または削除
許可
不許可
不許可
コンピュータファイルをインポート
許可
不許可
不許可
VMware vCenterの追加、削除、および同期を許可
許可
不許可
不許可
クラウドアカウントの追加、削除、および同期を許可
許可
不許可
不許可
ポリシー権限
Full Accessの役割
Auditor /Workload Security 読み取り専用ロール
新規役割の初期設定
表示
許可、すべてのポリシー
許可、すべてのポリシー
許可、すべてのポリシー
編集
許可、すべてのポリシー
不許可、すべてのポリシー
不許可、すべてのポリシー
削除
許可、すべてのポリシー
不許可、すべてのポリシー
不許可、すべてのポリシー
選択されていないポリシーを表示
許可
許可
許可
ポリシーの作成
許可
不許可
不許可
ポリシーのインポートを許可
許可
不許可
不許可
ユーザおよびAPIKey 主な権限 (下記のユーザ権限に関する注意を参照)
Full Accessの役割
Auditor /Workload Security 読み取り専用ロール
新規役割の初期設定
自身のパスワードと連絡先情報のみを変更
はい
はい
同等以下のアクセス権を持つユーザを作成および管理
同等以下のアクセス権を持つユーザとAPIキーを作成および管理
すべての役割およびユーザを完全に管理
はい
カスタム
その他の権利
Full Accessの役割
Auditor /Workload Security 読み取り専用ロール
新規役割の初期設定
検索キャッシュ設定の管理
完全
表示のみ
表示のみ
Agentバージョン管理
完全
表示のみ
表示のみ
データセンターゲートウェイ
完全(データセンターゲートウェイの作成、表示、編集、または削除が可能)
非表示
非表示
アラート
完全 (グローバルアラートを消去可能)
表示のみ
表示のみ
アラート設定
完全 (アラート設定を編集可能)
表示のみ
表示のみ
IPリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
ポートリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
スケジュール
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
システム設定 (グローバル)
完全 (システム設定 (グローバル) を表示、編集可能)
非表示
非表示
エキスパート設定
完全
非表示
非表示
システム情報
完全
非表示
非表示
診断
完全 (診断パッケージを作成可能)
表示のみ
表示のみ
タグ付け
完全 (タグ付け (コンピュータに属さない項目)、タグ削除、所有していない自動タグルールをアップデート、所有していない自動タグルールを実行、および所有していない自動タグルールを削除可能)
表示のみ
表示のみ
タスク
完全 (タスクを表示、追加、編集、削除、および実行可能)
非表示
非表示
連絡先
完全 (連絡先を表示、作成、編集、および削除可能)
非表示
非表示
ライセンス
完全 (ライセンスを表示および変更可能)
非表示
非表示
アップデート
完全(ソフトウェアの追加、編集、削除、コンポーネントのアップデートの表示、アップデートコンポーネントのダウンロード、インポート、適用、 Deep Securityルールアップデートの削除が可能)
非表示
非表示
資産評価
完全 (資産評価を作成、編集、および削除可能)
表示のみ
表示のみ
証明書
完全 (SSL証明書を作成および削除可能)
表示のみ
表示のみ
Relayの管理
完全
表示のみ
表示のみ
プロキシ
完全
表示のみ
表示のみ
Syslog設定
完全
表示のみ
表示のみ
USBデバイス
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
不正プログラム検索設定
完全 (不正プログラム検索設定を作成、編集、および削除可能)
表示のみ
表示のみ
検出ファイル
完全(検出ファイルを削除、ダウンロード可能)
表示のみ
表示のみ
Webレピュテーション設定
完全
表示のみ
表示のみ
アクティビティ監視設定
完全
表示のみ
表示のみ
ディレクトリリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
ファイルリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
ファイル拡張子リスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
アプリケーションコントロールルールセット
完全( アプリケーションコントロール ルールセットの作成、表示、編集、または削除が可能)
非表示
非表示
アプリケーションコントロールルール
完全( アプリケーションコントロール ルールの作成、表示、編集、または削除が可能)
非表示
非表示
アプリケーションコントロールの承認されていないソフトウェア
完全(認識できないソフトウェアを表示または許可/ブロックできます)
非表示
非表示
アプリケーションコントロールソフトウェアインベントリ
完全(ソフトウェアインベントリを作成、表示、または削除できます)
非表示
非表示
変更監視ルール
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
セキュリティログ監視ルール
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
セキュリティログ監視デコーダ
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
ファイアウォールルール
完全 (ファイアウォールルールを作成、編集、および削除可能)
表示のみ
表示のみ
ファイアウォールステートフル設定
完全 (ファイアウォールステートフル設定を作成、編集、および削除可能)
表示のみ
表示のみ
侵入防御ルール
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
アプリケーションの種類
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
MACリスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
コンテキスト
完全 (作成、編集、および削除可能)
表示のみ
表示のみ
テナントアカウント
完全
非表示
非表示
[自身のパスワードと連絡先情報を変更する]オプションに対応する設定は、次の表のとおりです。
[自身のパスワードと連絡先情報のみを変更]オプションに対応する設定
ユーザ
  
ユーザを表示できます
不許可
新規ユーザを作成できます
不許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
不許可
ユーザを削除できます
不許可
ロール
  
役割を表示できます
不許可
新規の役割を作成できます
不許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)
不許可
役割を削除できます
不許可
権限委任
  
同等以下の権限を持つユーザのみを操作
不許可
次の表は、[同等以下のアクセス権を持つユーザを作成および管理]オプションに対応する設定を示しています。
[同等以下のアクセス権を持つユーザを作成および管理]オプションに対応する設定
ユーザ
  
ユーザを表示できます
許可
新規ユーザを作成できます
許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
許可
ユーザを削除できます
許可
ロール
  
役割を表示できます
不許可
新規の役割を作成できます
不許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)
不許可
役割を削除できます
不許可
権限委任
  
同等以下の権限を持つユーザのみを操作
許可
[すべての役割およびユーザを完全に管理] オプションに対応する設定を次の表に示します。
[すべての役割とユーザを完全に制御]オプションに対応する設定
ユーザ
  
ユーザを表示できます
許可
新規ユーザを作成できます
許可
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます)
許可
ユーザを削除できます
許可
ロール
  
役割を表示できます
許可
新規の役割を作成できます
許可
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります)
許可
役割を削除できます
許可
権限委任
  
同等以下の権限を持つユーザのみを操作
該当なし