役割

Vulnerability ProtectionDeep Securityでは、役割に基づいたアクセス制御を使用して、Vulnerability ProtectionDeep Securityシステムのさまざまな部分へのユーザのアクセスを制限します。Vulnerability ProtectionDeep Security Managerをインストールしたら、ユーザごとに個々のアカウントを作成して役割を割り当てます。役割は、各ユーザのアクティビティを業務に必要な範囲に制限します。

Vulnerability ProtectionDeep Securityには、事前に定義された2つの役割があります。

Full Access: Full Accessの役割では、コンピュータ、コンピュータグループ、ポリシー、ルール、不正プログラム検索設定などの作成、編集、削除を含むVulnerability ProtectionDeep Securityシステムの管理に関するすべての権限がユーザに付与されます。
Auditor: Auditorの役割では、Vulnerability ProtectionDeep Securityシステムのすべての情報を表示する権限がユーザに付与されます。ただし、パスワード、連絡先情報、ダッシュボードレイアウト設定などの個人情報設定以外は変更できません。

Managerコンソールの制限は、付与されたアクセスレベルに応じて、表示および編集可能、表示のみ可能、非表示のいずれかになります。事前に定義された各役割に付与されている権限のリスト、および新しい役割を作成するときの権限の初期設定については、「ユーザ管理」を参照してください。

新しい役割を作成して、Vulnerability ProtectionDeep Securityのオブジェクト (特定のコンピュータ、セキュリティルールのプロパティ、システム設定など) をユーザが編集または表示できないように制限することができます。

ユーザアカウントを作成する前に、ユーザの役割、およびそれらの役割がアクセスする必要があるVulnerability ProtectionDeep Securityのオブジェクトとアクセスの種類 (表示、編集、作成など) を確認します。役割を作成したら、ユーザアカウントを作成して特定の役割を割り当てることができます。

Full Accessの役割を複製して変更する方法で新しい役割を作成しないでください。新しい役割に目的とする権限のみを確実に付与するには、ツールバーの [新規] をクリックして新しい役割を作成します。新しい役割の権限は、初期設定では最も制限された状態で設定されます。後で必要な権限のみを付与できます。Full Accessの役割を複製してから制限を適用すると、不要な権限を与える危険があります。

メイン画面から、次のことを実行できます。

新規役割を作成する ()
既存の役割のプロパティを確認または変更する ()
既存の役割を複製および変更する ()
役割を削除する ()

[新規] () または [プロパティ] () をクリックして、6つのタブ ([一般]、[コンピュータの権限]、[ポリシーの権限]、[ユーザ権限]、[その他の権限]、および [割り当て対象]) がある [役割のプロパティ] 画面を表示します。

一般

一般情報

この役割の名前と説明。

アクセスの種類

この役割のユーザが、Vulnerability ProtectionDeep Security Managerコンソール、Vulnerability ProtectionDeep Security ManagerのWebサービスAPI、あるいはその両方へのアクセス権を付与するかどうかを選択します。

WebサービスAPIを有効にするには、[管理]→[システム設定]→[詳細]→[SOAP WebサービスAPI] に移動します。

コンピュータの権限

コンピュータとグループの権限

表示、編集、削除、アラート消去、イベントのタグ付けなどの権限をある役割のユーザに与えるには、[コンピュータとグループの権限] パネルを使用します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用できます。また、権限の付与を特定のコンピュータに制限することもできます。アクセス権を制限する場合は、[選択したコンピュータ] オプションを選択し、この役割のユーザにアクセス権を与えるコンピュータグループとコンピュータの横にあるチェックボックスをオンにします。

これらの権限の制限は、Vulnerability ProtectionDeep Security Managerのコンピュータに対するユーザのアクセス権だけでなく、イベントやアラートなどの情報の表示にも影響します。メール通知も同様に、ユーザがアクセス権を持つデータに関連する場合のみ送信されます。

次に示す4つの基本オプションを使用できます。

選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示: この役割のユーザの編集/削除/アラート消去の権限が制限されている場合でも、このチェックボックスをオンにすることで他のコンピュータに関する情報の表示 (変更は不可) を許可できます。
コンピュータに関連していないイベントおよびアラートを表示: システムイベント (ユーザがロックされた、新しいファイアウォールルールが作成された、IPリストが削除されたなど) のような、コンピュータ関連以外の情報をこの役割のユーザが表示できるようにするには、このオプションを設定します。
前述の2つの設定は、ユーザがアクセスできるデータに影響します。これらの2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。
選択したグループ内に新しいコンピュータを作成: この役割のユーザが、アクセス可能なコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
選択したグループ内にサブグループを追加または削除: この役割のユーザが、アクセス可能なコンピュータグループ内にサブグループを作成および削除できるようにするには、このオプションを設定します。

詳細な権限

コンピュータファイルをインポート: この役割のユーザが、Vulnerability ProtectionDeep Security Managerのコンピュータのエクスポートオプションから作成されたファイルを使用してコンピュータをインポートできるようにします。
ディレクトリを追加、削除、および同期: この役割のユーザが、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加/削除および同期できるようにします。
VMware vCenterを追加、削除、および同期: この役割のユーザが、VMware vCenterを追加、削除、および同期できるようにします。
クラウドプロバイダの追加、削除、および同期を許可: この役割のユーザが、クラウドプロバイダを追加、削除、および同期できるようにします。

ポリシーの権限

特定の役割のユーザがポリシーを作成、削除、変更、またはインポートするための権限を決定します。

ポリシーの権限

表示、編集、削除権限をある役割のユーザに与えるには、[ポリシーの権限] パネルを使用します。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー] オプションを選択し、この役割のユーザにアクセス権を与えるポリシーの横にあるチェックボックスをオンにします。

「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。

次に示す2つの基本オプションを使用できます。

選択されていないポリシーを表示: この役割のユーザの編集/削除の権限が制限されている場合でも、このチェックボックスをオンにすることで他のポリシーに関する情報の表示 (変更は不可) を許可できます。
ポリシーの作成: この役割のユーザが、新しいポリシーを作成できるようにするには、このオプションを設定します。

詳細な権限

ポリシーのインポートを許可: この役割のユーザが、Vulnerability ProtectionDeep Security Managerの [ポリシー] タブの[エクスポート] オプションで作成したファイルを使用してポリシーをインポートできるようにします。

ユーザ権限

[ユーザ権限] タブのオプションを使用すると、この役割のユーザが他のユーザに対して持つ権限の種類を設定できます。

自身のパスワードと連絡先情報のみを変更: この役割のユーザは、自身のパスワードと連絡先情報のみを変更できます。
同等以下のアクセス権を持つユーザを作成および管理: この役割のユーザは、同等以下のアクセス権を持つユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
すべての役割およびユーザを完全に管理: この役割のユーザは、ユーザと役割を制限なしで作成および管理できます。
このオプションの使用には、十分な注意が必要です。このオプションを役割に割り当てると、別の制限付きの権限を持つユーザに、作成権限およびVulnerability ProtectionDeep Security Managerのすべての要素への無制限のフルアクセス権を持つユーザとしてログオンできる権限を与える可能性があります。

カスタム権限

[カスタム] を選択して、[カスタム権限] パネルのオプションを使用すると、ユーザが他のユーザおよび役割を表示/作成/編集/削除する権限をさらに制限できます。[同等以下の権限を持つユーザのみを操作] オプションを選択すると、特定のユーザに対して一部のオプションが制限される場合があります (下記参照)。

権限の委任

[同等以下の権限を持つユーザのみを操作] オプションを選択すると、この役割のユーザの権限がさらに制限されます。ユーザは、自身と同等または下位の権限を持つユーザに対する変更のみ行うことができます。

このオプションを選択した場合、この役割のユーザは、役割を作成、編集、削除できなくなります。

このオプションを選択すると、[カスタム権限] エリアの以下のオプションが制限されます。

新規ユーザを作成できます: 同等または下位の権限を持つユーザの作成のみ可能です。
ユーザプロパティを編集できます: 同等または下位の権限を持つユーザの編集、またはパスワードの設定/リセットのみ可能です。
ユーザを削除できます: 同等または下位の権限を持つユーザの削除のみ可能です。

その他の権限

操作可能なVulnerability ProtectionDeep Securityのオブジェクトに関する役割を制限できます。新しい役割の初期設定は各オブジェクトの [表示のみ] または [非表示] ですが、これらの権限を [完全] に拡張したり、リストから [カスタム] を選択してカスタマイズしたりすることができます。

割り当て対象

[割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。