ユーザロールの定義
Trend Micro Cloud One は、役割ベースのアクセス制御(RBAC)を使用して、サービスの一部に対するユーザ権限を制限します。アクセス権限と編集権限は、ユーザにではなく、役割に関連付けられます。ユーザごとに個別のアカウントを作成し、各ユーザの役割を割り当てて、業務の完了に必要なアクティビティに限定する必要があります。個々のユーザのアクセス権限と編集権限を変更するには、ユーザに別の役割を割り当てるか、役割自体を編集する必要があります。
これらの設定は、 Trend Micro Cloud One - File Storage Security または Trend Micro Cloud One - Container Securityでもサポートされます。
役割がコンピュータとポリシーに対して持つアクセス権限は、コンピュータとポリシーのサブセットに限定することもできます。たとえば、ユーザに対して、既存のすべてのコンピュータの表示は許可するが、特定のグループ内のコンピュータ以外の編集を許可しないようにできます。
Trend Micro Cloud One には、次の5つの役割が事前に設定されています。
-
Full Access:Full Accessの役割は、リソース、ポリシー、ルールの作成、編集、削除、ユーザや役割の管理など、 Trend Micro Cloud One サービスの管理に関するすべての権限をユーザに付与します。
-
Auditor:Auditorの役割では、 Trend Micro Cloud One サービスのすべての情報を表示できますが、パスワード、連絡先情報、ダッシュボードレイアウトなどの個人設定を変更することはできません。プリファレンスなどです。
-
Workload Security 読み取り専用:この役割は監査者の役割と同じ設定ですが、この役割は変更できません。新しい Trend Micro Cloud One アカウントの「読み取り専用」役割は、 Workload Securityでこの役割にマップされます。
-
Deep Security Migration: Deep Securityソフトウェアが Workload Securityへの移行に使用する役割。詳細については、 Deep Securityのヘルプを参照してください。
-
Trend Micro Vision One: Trend Micro Vision Oneで使用される役割です。
現在、カスタムの役割は、トレンドマイクロの Cloud One - Workload Securityでのみサポートされています。Workload Security のカスタムの役割は、ユーザが他のトレンドマイクロの Cloud One サービスにアクセスしている場合に監査役の役割として扱われます。
カスタム Workload Security 権限
Workload Security の権限は、付与されたアクセスレベルに応じて、表示および変更可能、表示は可能ですが無効、または非表示になります。事前に定義された役割で付与されている権限のリスト、および新しい役割を作成する際の権限の初期設定については、Full Access、Auditor、および新規の各役割の初期設定を参照してください。
特定のコンピュータ、セキュリティルールのプロパティ、システム設定などの Workload Security オブジェクトの編集や表示を制限する新しい役割を作成できます。
ユーザアカウントを作成する前に、ユーザが担う役割を特定し、それらの役割がアクセスを必要とする Workload Security オブジェクトと、そのアクセスの性質(表示、編集、作成など)を項目別に示します。役割を作成したら、ユーザアカウントを作成して特定の役割を割り当てることができます。
Full Accessの役割を複製して変更する方法で新しい役割を作成しないでください。新しい役割に目的とする権限のみを確実に付与するには、ツールバーの [新規] をクリックして新しい役割を作成します。新しい役割の権限は、初期設定では最も制限された状態で設定されます。後で必要な権限のみを付与できます。Full Accessの役割を複製してから制限を適用すると、不要な権限を与える危険があります。
New ()または Properties (
)をクリックすると、 [役割のプロパティ]ウィンドウ が6つのタブ(一般、コンピュータ権限、ポリシー権限、ユーザ権限、その他の権限、 および が割り当てられた)が表示されます。
役割を追加または編集する
- Trend Micro Cloud One Workload Security ページで、[管理]→[ユーザ管理]→[役割] の順にクリックします。
- [ New ]をクリックして新しい役割を追加するか、既存の役割をダブルクリックして設定を編集します。
- 次を含む、役割の一般的なプロパティを指定します。
- 名前: ロールの名前。[ロール]ページと、ユーザの追加時に使用可能なロールのリストに表示されます。
- 説明: (オプション)役割の説明。
- アクセスの種類: この役割を持つユーザがDeep Security ManagerのユーザインタフェースまたはWebサービスAPIにアクセスするかどうかを選択します。
- Computer Rightsタブを使用して、役割のユーザの表示、編集、削除、アラート消去、およびイベントのタグ付けの権限を設定します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用できます。また、権限の付与を特定のコンピュータに制限することもできます。
-
アクセス権を制限する場合は、[選択したコンピュータ] オプションを選択し、この役割のユーザにアクセス権を付与するコンピュータグループとコンピュータの横にあるチェックボックスをオンにします。
これらの権限の制限は、 Workload Security内のコンピュータへのユーザのアクセスに影響するだけでなく、イベントやアラートなど、表示される情報にも影響します。メール通知も同様に、ユーザがアクセス権を持つデータに関連する場合のみ送信されます。
次に示す4つの基本オプションを使用できます。
- 選択されていないコンピュータとデータの表示を許可する:この役割のユーザがアラートの編集、削除、または削除の権限を制限されている場合でも、このチェックボックスをオンにすると、他のコンピュータに関する情報は表示できますが、変更はできません。
- コンピュータに関係のないイベントとアラートの表示を許可する: このロールのユーザがコンピュータに関連しない情報 (ユーザのロックアウト、新しいファイアウォールルールの作成、IPリストの削除などのシステムイベント) を表示できるようにするには、このオプションを設定します。
前述の2つのオプションは、ユーザがアクセスできるデータに影響します。この2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。
- 選択したグループに新しいコンピュータを作成できるようにします。 この役割のユーザが、アクセス権を持つコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
- 選択したグループ内のサブグループの追加/削除を許可します。 このロールのユーザが、アクセス権を持つコンピュータグループ内のサブグループを作成および削除できるようにするには、このオプションを設定します。
[詳細な権限] セクションで以下を有効にすることもできます。
- コンピュータのファイルのインポートを許可: この役割のユーザは、 Workload Securityの Computer Export オプションを使用して作成されたファイルを使用してコンピュータをインポートできます。
- ディレクトリの追加、削除、および同期を許可: この役割のユーザは、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加、削除、および同期できます。 -VMware vCenterの追加、削除、および同期を許可:この役割のユーザにVMware vCenterの追加、削除、および同期を許可します。
-
[ Policy Rights ]タブを使用して、役割のユーザに表示、編集、および削除の権限を割り当てます。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセスを制限する場合は、[ 選択したポリシー ]の順にクリックして、この役割のユーザがアクセスするポリシーの横にチェックマークを付けます。
「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。
次に示す2つの基本オプションを使用できます。
- 選択されていないポリシーの表示を許可: このロールのユーザが編集または削除権限を制限されている場合でも、このボックスにチェックを付けると、他のポリシーに関する情報は表示できますが、情報は変更できません。
- 新しいポリシーを作成できるようにする: このオプションを設定すると、この役割のユーザは新しいポリシーを作成できます。
また、 Advanced Rights セクションで有効にすることもできます。
- ポリシーのインポートを許可: この役割のユーザに、 Workload SecurityExport オプションで作成されたファイルを使用して、 Policies タブでポリシーをインポートできるようにします。
-
[ユーザ権限]タブのオプションを使用すると、管理者アカウントの権限を定義できます。
- 自分のパスワードと連絡先情報のみを変更: この役割のユーザは、自分のパスワードと連絡先情報のみを変更できます。
- 以下のアクセス権を持つユーザを作成および管理します。 このロールのユーザは、権限のないユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
- すべての役割とユーザを完全に制御できます。 この役割のユーザに、制限なしでユーザおよび役割を作成および編集したり、権限を付与したりできます。このオプションの使用には、十分な注意が必要です。この役割を役割に割り当てると、権限が制限されているユーザに作成権限を付与し、 Workload Securityのすべての機能に対する無制限のフルアクセス権を持つユーザとしてサインインできます。
- Custom: さらに、 Custom を選択し、[ Custom Rights ]セクションのオプションを使用して、ユーザがユーザおよび役割を表示、作成、編集、または削除する権限を制限できます。[同等以下の権限を持つユーザのみを操作]オプションが選択されている場合、一部のオプションが制限されることがあります。
[同等以下の権限を持つユーザのみを操作] オプションでは、この役割のユーザの権限をさらに制限します。変更できるのは、自分と同等以下の権限を持つユーザのみです。この役割のユーザは、役割を作成、編集、または削除できません。このオプションを選択すると、[カスタム権限] セクションの以下のオプションが制限されます。
- では新しいユーザを作成できます: 権限の等しいユーザまたは作成できる権限がないユーザのみ作成できます。
- ユーザのプロパティを編集できます: ユーザ権限(またはパスワードの設定/リセット)の権限と同等以下の権限しか編集できません。
- ユーザを削除できます: 権限の等しいユーザと低いユーザのみ削除できます。
-
[ Other Rights ]タブでは、特定の Workload Security 機能、および場合によってはそれらの機能を使用した特定の処理にのみアクセスできるように、役割の権限を制限できます。たとえば、管理者が複数いる場合、誤って他の管理者の作業内容を上書きすることがないように各管理者の権限を制限できます。初期設定では、各役割は各機能に対して「表示のみ」または「非表示」に設定されています。フルコントロールまたはカスタマイズされたアクセスを許可するには、リストから[ Custom ]を選択します。
-
[割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。
Full Access、Auditor、および新規の各役割の初期設定
次の表は、Full Accessの役割とAuditorの役割に対する権限の初期設定を示しています。[役割] ページのツールバーで[新規]をクリックして新しい役割を作成する際に設定されている権限の設定も表示されます。
権限 | 役割別の設定 | ||
---|---|---|---|
一般 | Full Accessの役割 | Auditor /Workload Security 読み取り専用ロール | 新規役割の初期設定 |
Workload Security マネージャのユーザインタフェースへのアクセスを許可 | 許可 | 許可 | 許可 |
WebサービスAPIへのアクセスを許可 | 許可 | 許可 | 不許可 |
コンピュータの権限 | Full Accessの役割 | Auditor /Workload Security 読み取り専用ロール | 新規役割の初期設定 |
表示 | 許可、すべてのコンピュータ | 許可、すべてのコンピュータ | 許可、すべてのコンピュータ |
編集 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
削除 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
アラートの消去 | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
アイテムのタグ付け | 許可、すべてのコンピュータ | 不許可、すべてのコンピュータ | 不許可、すべてのコンピュータ |
選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示 | 許可 | 許可 | 許可 |
コンピュータに関連していないイベントおよびアラートを表示 | 許可 | 許可 | 許可 |
選択したグループ内に新しいコンピュータを作成 | 許可 | 不許可 | 不許可 |
選択したグループ内にサブグループを追加または削除 | 許可 | 不許可 | 不許可 |
コンピュータファイルをインポート | 許可 | 不許可 | 不許可 |
VMware vCenterの追加、削除、および同期を許可 | 許可 | 不許可 | 不許可 |
クラウドアカウントの追加、削除、および同期を許可 | 許可 | 不許可 | 不許可 |
ポリシーの権限 | Full Accessの役割 | Auditor /Workload Security 読み取り専用ロール | 新規役割の初期設定 |
表示 | 許可、すべてのポリシー | 許可、すべてのポリシー | 許可、すべてのポリシー |
編集 | 許可、すべてのポリシー | 不許可、すべてのポリシー | 不許可、すべてのポリシー |
削除 | 許可、すべてのポリシー | 不許可、すべてのポリシー | 不許可、すべてのポリシー |
選択されていないポリシーを表示 | 許可 | 許可 | 許可 |
ポリシーの作成 | 許可 | 不許可 | 不許可 |
ポリシーのインポートを許可 | 許可 | 不許可 | 不許可 |
ユーザおよびAPI 主な権限(下記のユーザ権限に関する注意を参照) | Full Accessの役割 | Auditor /Workload Security 読み取り専用ロール | 新規役割の初期設定 |
自身のパスワードと連絡先情報のみを変更 | はい | はい | |
同等以下のアクセス権を持つユーザを作成および管理 | |||
ユーザとAPI#160;、同等以下のアクセス権を持つキーを作成および管理する | |||
すべての役割およびユーザを完全に管理 | はい | ||
カスタム | |||
その他の権限 | Full Accessの役割 | Auditor /Workload Security 読み取り専用ロール | 新規役割の初期設定 |
検索キャッシュ設定の管理 | 完全 | 表示のみ | 表示のみ |
Agentバージョン管理 | 製品版 | 表示のみ | 表示のみ |
データセンターゲートウェイ | 完全(データセンターゲートウェイの作成、表示、編集、または削除が可能) | 非表示 | 非表示 |
アラート | 完全 (グローバルアラートを消去可能) | 表示のみ | 表示のみ |
アラート設定 | 完全 (アラート設定を編集可能) | 表示のみ | 表示のみ |
IPリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
ポートリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
スケジュール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
システム設定 (グローバル) | 完全 (システム設定 (グローバル) を表示、編集可能) | 非表示 | 非表示 |
エキスパート設定 | 製品版 | 非表示 | 非表示 |
システム情報 | 製品版 | 非表示 | 非表示 |
診断 | 完全 (診断パッケージを作成可能) | 表示のみ | 表示のみ |
タグ付け | 完全 (タグ付け (コンピュータに属さない項目)、タグ削除、所有していない自動タグルールをアップデート、所有していない自動タグルールを実行、および所有していない自動タグルールを削除可能) | 表示のみ | 表示のみ |
タスク | 完全 (タスクを表示、追加、編集、削除、および実行可能) | 非表示 | 非表示 |
連絡先 | 完全 (連絡先を表示、作成、編集、および削除可能) | 非表示 | 非表示 |
ライセンス | 完全 (ライセンスを表示および変更可能) | 非表示 | 非表示 |
アップデート | 完全(ソフトウェアの追加、編集、削除、コンポーネントのアップデートの表示、アップデートコンポーネントのダウンロード、インポート、適用、 Deep Securityルールアップデートの削除が可能) | 非表示 | 非表示 |
資産評価 | 完全 (資産評価を作成、編集、および削除可能) | 表示のみ | 表示のみ |
証明書 | 完全 (SSL証明書を作成および削除可能) | 表示のみ | 表示のみ |
Relayの管理 | 製品版 | 表示のみ | 表示のみ |
プロキシ | 完全 | 表示のみ | 表示のみ |
Syslog設定 | 製品版 | 表示のみ | 表示のみ |
USBデバイス | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
不正プログラム検索設定 | 完全 (不正プログラム検索設定を作成、編集、および削除可能) | 表示のみ | 表示のみ |
検出ファイル | 完全(検出ファイルを削除、ダウンロード可能) | 表示のみ | 表示のみ |
Webレピュテーション設定 | 完全 | 表示のみ | 表示のみ |
アクティビティ監視設定 | 完全 | 表示のみ | 表示のみ |
ディレクトリリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
ファイルリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
ファイル拡張子リスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
アプリケーションコントロールルールセット | 完全( アプリケーションコントロール ルールセットの作成、表示、編集、または削除が可能) | 非表示 | 非表示 |
アプリケーションコントロールルール | 完全( アプリケーションコントロール ルールの作成、表示、編集、または削除が可能) | 非表示 | 非表示 |
アプリケーションコントロールの承認されていないソフトウェア | 完全(認識できないソフトウェアを表示または許可/ブロックできます) | 非表示 | 非表示 |
アプリケーションコントロールソフトウェアインベントリ | 完全(ソフトウェアインベントリを作成、表示、または削除できます) | 非表示 | 非表示 |
変更監視ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
セキュリティログ監視ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
セキュリティログ監視デコーダ | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
ファイアウォールルール | 完全 (ファイアウォールルールを作成、編集、および削除可能) | 表示のみ | 表示のみ |
ファイアウォールステートフル設定 | 完全 (ファイアウォールステートフル設定を作成、編集、および削除可能) | 表示のみ | 表示のみ |
侵入防御ルール | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
アプリケーションの種類 | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
MACリスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
コンテキスト | 完全 (作成、編集、および削除可能) | 表示のみ | 表示のみ |
テナントアカウント | 製品版 | 非表示 | 非表示 |
[自身のパスワードと連絡先情報を]オプションに対応する設定は、次の表のとおりです。
[自身のパスワードと連絡先情報のみを変更]オプションに対応する設定 | |
ユーザ | |
ユーザを表示できます | 不許可 |
新規ユーザを作成できます | 不許可 |
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 不許可 |
ユーザを削除できます | 不許可 |
役割 | |
役割を表示できます | 不許可 |
新規の役割を作成できます | 不許可 |
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 不許可 |
役割を削除できます | 不許可 |
権限の委任 | |
同等以下の権限を持つユーザのみを操作 | 不許可 |
次の表は、 [同等以下のアクセス権を持つユーザを作成および管理] オプションに対応する設定を示しています。
[同等以下のアクセス権を持つユーザを作成および管理]オプションに対応する設定 | |
ユーザ | |
ユーザを表示できます | 許可 |
新規ユーザを作成できます | 許可 |
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 許可 |
ユーザを削除できます | 許可 |
役割 | |
役割を表示できます | 不許可 |
新規の役割を作成できます | 不許可 |
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 不許可 |
役割を削除できます | 不許可 |
権限の委任 | |
同等以下の権限を持つユーザのみを操作 | 許可 |
[すべての役割とユーザを完全に制御] オプションに対応する設定を次の表に示します。
[すべての役割とユーザを完全に制御]オプションに対応する設定 | |
ユーザ | |
ユーザを表示できます | 許可 |
新規ユーザを作成できます | 許可 |
ユーザプロパティを編集できます (ユーザは常に自分のアカウントの選択プロパティを編集できます) | 許可 |
ユーザを削除できます | 許可 |
役割 | |
役割を表示できます | 許可 |
新規の役割を作成できます | 許可 |
役割のプロパティを編集できます (警告: この権限を付与すると、この役割を持つユーザが自分の権限を編集できるようになります) | 許可 |
役割を削除できます | 許可 |
権限の委任 | |
同等以下の権限を持つユーザのみを操作 | 該当なし |