ユーザロールの定義

Trend Cloud Oneでは、役割ベースのアクセス制御 (RBAC) を使用して、ユーザの権限をサービスの一部に制限します。アクセス権と編集権限は、ユーザではなく役割に割り当てられます。各ユーザに個別のアカウントを作成し、各ユーザに役割を割り当てて、職務の完了に必要なアクティビティに制限する必要があります。個々のユーザのアクセス権と編集権限を変更するには、そのユーザに別の役割を割り当てるか、役割を編集する必要があります。

これらの設定は、Trend Cloud One - File Storage SecurityおよびTrend Cloud One - Container Securityでもサポートされています。

役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。

Trend Cloud Oneには、次の5つの役割が事前に設定されています。

• フルアクセス: リソース、ポリシー、ルールの作成、編集、削除、ユーザとロールの管理など、Trend Cloud Oneサービスの管理に関するすべての権限をユーザに付与します。

• 監査者: 監査者ロールを使用すると、ユーザはTrend Cloud Oneサービス内のすべての情報を表示できますが、パスワード、連絡先情報、ダッシュボードのレイアウト設定、などがあります。

• Workload Security 読み取り専用: この役割の設定は監査者の役割と同じですが、この役割は変更できません。新しいTrend Cloud Oneアカウントの読み取り専用の役割は、Workload Securityでこの役割にマッピングされます。

• Deep Security Migration： Deep Securityソフトウェアが Workload Securityへの移行に使用する役割。詳細については、 Deep Securityのヘルプを参照してください。

• Trend Vision One: Trend Vision One Oneで使用される役割。

現在、カスタムロールはTrend Cloud One - Endpoint & Workload Securityでのみサポートされています。 Workload Securityのカスタムロールは、ユーザが他のTrend Cloud Oneサービスにアクセスする場合、監査者ロールとして扱われます。

カスタム Workload Security 権限

付与されたアクセスレベルに応じて、Workload Securityのコントロールは、表示および変更可能、表示および無効化、または非表示のいずれかになります。事前設定された役割で付与される権限のリスト、および新しい役割を作成するときの初期設定の権限設定については、「 フルアクセス、監査役、および新しい役割の初期設定」を参照してください。

特定のコンピュータ、セキュリティルールのプロパティ、システム設定などの Workload Security オブジェクトの編集や表示を制限する新しい役割を作成できます。

ユーザアカウントを作成する前に、ユーザが担う役割を特定し、その役割がアクセスする必要のあるWorkload Securityオブジェクトと、そのアクセスの性質 (表示、編集、作成など) を示します。役割を作成したら、ユーザアカウントの作成を開始し、特定の役割を割り当てます。

Full Accessの役割を複製して変更する方法で新しい役割を作成しないでください。新しい役割に目的とする権限のみを確実に付与するには、ツールバーの [新規] をクリックして新しい役割を作成します。新しい役割の権限は、初期設定では最も制限された状態で設定されます。後で必要な権限のみを付与できます。Full Accessの役割を複製してから制限を適用すると、不要な権限を与える危険があります。

新しい () または プロパティ () をクリックすると、6 つのタブのある 役割プロパティ ウィンドウ が表示されます: 一般、コンピューターの権利、ポリシーの権利、ユーザーの権利、その他の権利、 および 割り当て済みへ。

役割を追加または編集する

1. [Trend Cloud One - Endpoint & Workload Security] 画面で、[管理]→[ユーザ管理]→[ロール] の順にクリックします。
2. [ New ]をクリックして新しい役割を追加するか、既存の役割をダブルクリックして設定を編集します。
3. 次を含む、役割の一般的なプロパティを指定します。
   • Name: ロールの名前。ユーザの追加時に [ Roles ] 画面および使用可能なロールのリストに表示されます。
   • 説明: 役割の説明 (オプション)。
   • アクセスタイプ: このロールを持つユーザが、Deep Security ManagerユーザインタフェースまたはWebサービスAPIのどちらにアクセスできるかを選択します。
4. Computer Rightsタブを使用して、役割のユーザの表示、編集、削除、アラート消去、およびイベントのタグ付けの権限を設定します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用できます。また、権限の付与を特定のコンピュータに制限することもできます。

5. アクセスを制限するには、[選択したコンピュータ]を選択し、この役割のユーザがアクセスできるコンピュータグループとコンピュータを選択します。これらの権限の制限は、Workload Securityでのコンピュータへのユーザのアクセスだけでなく、イベントやアラートなど、表示される情報にも影響します。また、メール通知は、ユーザがアクセス権を持っているデータに関連する場合にのみ送信されます。

   

   次に示す4つの基本オプションを使用できます。

   • 選択されていないコンピュータとデータの表示を許可する: この役割のユーザに警告の編集、削除、または却下の権限が制限されている場合でも、この役割を選択することで、他のコンピュータに関する情報の表示を許可できますが、変更は許可できません。
   • コンピュータに関係のないイベントとアラートの表示を許可する： このロールのユーザがコンピュータに関連しない情報 (ユーザのロックアウト、新しいファイアウォールルールの作成、IPリストの削除などのシステムイベント) を表示できるようにするには、このオプションを設定します。

   前の2つのオプションは、ユーザがアクセスできるデータに影響します。ユーザによるコンピュータへの変更は制限されていますが、上記の2つの設定では、アクセス権を持たないコンピュータに関する情報をユーザに表示するかどうかを制御します。これには、それらのコンピュータに関連するメール通知の受信も含まれます。

   • 選択したグループでの新しいコンピュータの作成を許可する: このロールのユーザが、アクセス権を持つコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
   • 選択したグループでのサブグループの追加/削除を許可する: この役割のユーザが、アクセス権を持つコンピュータグループ内のサブグループを作成および削除できるようにするには、このオプションを設定します。

   [ Advanced Rights ]セクションで、次の項目を有効にすることもできます。

   • コンピュータのファイルのインポートを許可： この役割のユーザは、 Workload Securityの Computer Export オプションを使用して作成されたファイルを使用してコンピュータをインポートできます。
   • ディレクトリを追加、削除、および同期: この役割のユーザに、Microsoft Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータの追加、削除、および同期を許可します。
   • VMware vCenterの追加、削除、および同期を許可：この役割のユーザにVMware vCenterの追加、削除、および同期を許可します。

6. 表示、編集、削除の権限をある役割のユーザに与えるには、[ポリシーの権限] タブを使用します。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー] をクリックし、この役割のユーザがアクセス権のあるポリシーを選択します。

   

   子ポリシーを持つポリシーに対する権限を許可すると、ユーザは子ポリシーに対する権限も自動的に取得します。

   次に示す2つの基本オプションを使用できます。

   • [選択されていないポリシーの表示を許可]: この役割のユーザが編集または削除の権限を制限されている場合でも、このオプションを選択することで、他のポリシーに関する情報の表示は許可しますが、変更は許可できません。
   • 新しいポリシーを作成できるようにする： このオプションを設定すると、この役割のユーザは新しいポリシーを作成できます。

   また、 Advanced Rights セクションで有効にすることもできます。

   • ポリシーのインポートを許可： この役割のユーザに、 Workload SecurityExport オプションで作成されたファイルを使用して、 Policies タブでポリシーをインポートできるようにします。

7. [ユーザ権限]タブのオプションを使用すると、管理者アカウントの権限を定義できます。

   

   • 自分のパスワードと連絡先情報のみを変更： この役割のユーザは、自分のパスワードと連絡先情報のみを変更できます。
   • 同等以下のアクセス権を持つユーザの作成と管理: この役割のユーザは、自分より高い権限を持たないユーザを作成および管理できます。このロールを持つユーザの権限を超える権限が1つでも存在する場合、このロールを持つユーザはその権限を作成または管理できません。
   • すべての役割とユーザを完全に制御する: この役割のユーザは、制限なしでユーザまたは役割を作成および編集できます。このオプションを使用する場合は注意が必要です。このオプションを役割に割り当てると、権限が制限されているユーザが、Workload Securityのすべての側面に対する無制限の完全アクセス権を持つユーザを作成し、そのユーザとしてサインインできるようになる可能性があります。
   • Custom: さらに、 Custom を選択し、[ Custom Rights ]セクションのオプションを使用して、ユーザがユーザおよび役割を表示、作成、編集、または削除する権限を制限できます。[同等以下の権限を持つユーザのみを操作]オプションが選択されている場合、一部のオプションが制限されることがあります。

   [同等以下の権限を持つユーザのみを操作] オプションは、この役割のユーザの権限を制限します。変更できるのは、自分と同等またはそれ以下の権限を持つユーザのみです。この役割のユーザは、役割を作成、編集、または削除できません。このオプションを選択すると、[カスタム権限] セクションの一部のオプションも制限されます。

   • 新規ユーザを作成できます: 権限の等しいユーザまたは作成できる権限がないユーザのみ作成できます。
   • ユーザのプロパティを編集できます： ユーザ権限（またはパスワードの設定/リセット）の権限と同等以下の権限しか編集できません。
   • ユーザを削除できます： 権限の等しいユーザと低いユーザのみ削除できます。

8. [その他の権限] タブでは、役割の権限を制限して、特定のWorkload Security機能にのみアクセスできるようにします。これは、複数の管理者チームがいて、互いの作業を誤って上書きしないようにしたい場合などに便利です。初期設定では、各機能の役割は [表示のみ] または [非表示] になっています。フルコントロールまたはカスタマイズされたアクセスを許可するには、リストから [カスタム] を選択します。

   

9. [割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。

Full Access、Auditor、および新規の各役割の初期設定

次の表は、Full Accessの役割とAuditorの役割に対する権限の初期設定を示しています。[役割] ページのツールバーで[新規]をクリックして新しい役割を作成する際に設定されている権限の設定も表示されます。

[自身のパスワードと連絡先情報を]オプションに対応する設定は、次の表のとおりです。

次の表は、 [同等以下のアクセス権を持つユーザを作成および管理] オプションに対応する設定を示しています。

[すべての役割とユーザを完全に制御] オプションに対応する設定を次の表に示します。