Tenable 提供のロールと権限
Tenable が提供するロールは、Tenable Vulnerability Management でユーザーがアクセスできる機能と実行できるアクションを大まかに決定する、事前定義されたユーザー権限のセットです。これらのロールは、アクセスを管理する上で構造化され階層化されたアプローチを提供します。これにより、ユーザーは自分のセキュリティ責任に必要な機能のみを保有することができます。ユーザーアカウントを作成する場合、これらのロールのいずれかを割り当てる必要があります。これにより、特定の権限のセットが自動的に付与されます。
- ロール - ロールにより、Tenable Vulnerability Management の主要機能の権限を管理し、ユーザーがアクセスできる Tenable Vulnerability Management モジュールや機能を制御できます。
- アクセス許可 - アクセス許可により、タグ、資産、その検出結果など、データへのアクセスを管理できます。
簡単に言うと、ロールとは製品で実行できるアクションのことで、アクセス許可はそれらのアクションを実行できるデータを決定します。
Tenable Vulnerability Management ロール
Tenable Vulnerability Management で使用される主な Tenable 提供のロール (最も制限されたロールから最も権限のあるロール) には、次のものが含まれます。
基本
基本ユーザーは、自分に割り当てられたスキャンを実行および表示できますが、プラットフォームを設定したり、他のユーザーを管理したり、システム設定を制御したりすることはできません。これらのロールは、管理者またはスキャンマネージャーによって設定された領域内の、日常的な脆弱性評価タスクを想定して設計されています。
基本ユーザーのコア機能
-
スキャンの使用
-
共有されているスキャンまたは所有しているスキャンを起動する
-
作成した、またはアクセス権を付与されたスキャンの結果を表示する
-
実行が許可されているスキャンを停止または一時停止する
-
許可されている場合、他のユーザーに自分のスキャンを共有する
-
スキャンマネージャーまたは管理者からスキャンの割り当てを受け取る
-
-
結果とレポート
-
自分のスキャンまたは割り当てられたスキャンのスキャン結果を表示する
-
それらのスキャンのレポート (PDF や CSV など) を生成、フィルタリング、エクスポートする
-
ダッシュボードと検出結果を使用して、自分の範囲に関連する脆弱性を追跡する
-
-
資産とポリシー
-
スキャンマネージャーまたは管理者に利用可能にしてもらった既存のスキャンポリシーを使用する
-
表示するアクセス許可を持つ特定の資産または資産グループにスキャンを割り当てる
-
スキャンオペレーター
スキャンオペレーターは、割り当てられた資産、リポジトリ、またはネットワーク内でスキャンを操作および管理します。これらのユーザーは一般的に、脆弱性スキャンの実行と管理に重点を置いていますが、必ずしも広範なシステム設定の作成や管理を行うわけではありません。
スキャンオペレーターのコア機能
-
スキャンの実行
-
すでに作成された、または割り当てられたスキャンを起動または開始する。
-
操作するアクセス許可のあるスキャンを一時停止、再開、または停止する。
-
-
スキャンのステータスと結果の表示
-
アクティブスキャン中のスキャンステータス (実行中、完了、停止、失敗など) と進行状況メトリクスを表示する。
-
自分が実行したスキャンや共有されているスキャンの結果にアクセスして確認する。
-
スキャンデータをエクスポートする (CSV または PDF 形式のレポートなど)。
-
-
割り当てられたスキャンの管理
-
アクセスグループ内で許可されている場合、既存のスキャンをクローンまたは変更する。
-
既存の設定またはスケジュールを使用してスキャンを再実行する。
-
標準
[標準] は脆弱性データを表示および操作する必要があるものの、管理権限や設定権限は必要としない一般ユーザー向けに設計された組み込みロールです。標準ユーザーは、主に、すでに収集された脆弱性データを表示、分析、レポート作成するためのアクセス権を持ちます。共有されている資産、ダッシュボード、レポートを表示できますが、特に追加の権限が付与されていない限り、スキャンを作成、変更、起動することはできません。
標準ユーザーのコア機能
-
脆弱性データの表示
-
アクセスグループに割り当てられた脆弱性、資産、ダッシュボード、レポートにアクセスする。
-
検出結果、深刻度レベル、脆弱性の傾向を確認する。
-
脆弱性データをフィルタリングまたは検索して、分析や修正の追跡をサポートする。
-
-
ダッシュボードとレポートの活用
-
ビルトインダッシュボードまたは共有ダッシュボードを表示、操作する。
-
脆弱性データをフィルタリングまたは検索して、分析や修正の追跡をサポートする。
-
利用可能なテンプレートまたは保存したフィルターを使用して脆弱性レポートを生成し、結果を分析のためにエクスポートする。
-
-
範囲内での連携
-
検出結果にコメントを付けるか、有効になっている場合は修正ワークフロー内で作業する。
-
割り当てられたアクセスグループまたは資産内で共有されたデータやインサイトにアクセスする。
-
スキャンマネージャー
スキャンマネージャーの目的は、システム全体を無制限に制御することなく、脆弱性スキャンとスキャン結果を作成、管理、監督することです。スキャンマネージャーユーザーは、スキャンを完全に管理できますが、プラットフォームやユーザーに対する管理権限を持ちません。
標準ユーザーのコア機能
-
スキャンの作成および管理
-
脆弱性スキャンを作成、設定、起動、スケジュールする
-
スキャンのターゲットと資産グループを定義する
-
所有しているスキャンまたはアクセスを許可されたスキャンを編集または削除する
-
(管理者から付与された権限を持つ) 他のユーザーまたはグループとスキャンを共有する
-
スキャンのアクセス許可を割り当てる
-
-
資産とスキャナーの使用
-
(管理者によって割り当てられた) 利用可能なスキャナーとスキャンゾーンを使用する
-
スキャンを特定のスキャナーに割り当てる
-
スキャナーリソース間のスキャン分散を管理する
-
-
結果とレポート
-
所有または管理するスキャンのスキャン結果を表示する
-
レポート (PDF や CSV など) を生成してエクスポートする
-
管理者
[管理者] は最高レベルのアクセス許可を持ち、セキュリティ管理とシステム設定の両方のタスクを実行できます。管理者の役割は、製品環境の全体的なデプロイメント、ユーザーアクセス、および運用設定を制御することです。
管理者のコア機能
-
ユーザーおよびロールの管理
-
ユーザーアカウントを作成、変更、無効化、または削除する。
-
ロール、アクセス許可、グループメンバーシップを割り当てる。
-
パスワード要件や認証方法などのセキュリティポリシーを適用する。
-
-
システム設定
-
グローバルシステム設定 (ネットワーク設定、ログ、通知、認証など) を設定する。
-
Tenable を外部システム (LDAP/AD、SIEM、チケットシステム、API) と統合する。
-
アクセス制御を設定および管理する。
-
-
スキャンおよび資産管理
-
脆弱性スキャンを作成、設定、起動、スケジュールする
-
スキャナーとスキャンゾーンを管理する。
-
他のユーザー用のスキャンポリシーとテンプレートを定義する。
-
資産または資産グループを追加、整理、監視する。
-
-
プラグインおよび更新管理
-
Tenable プラットフォームのコントロールプラグインを更新する。
-
スキャナーに最新の検出機能があることを確認する。
-
-
データとレポート
-
環境全体のすべての脆弱性データ、スキャン結果、レポートにアクセスする。
-
レポートテンプレートとダッシュボードを設定する。
-
検出結果の表示を他のユーザーに対して共有または制限する。
-
-
セキュリティおよびコンプライアンスの監視
-
コンプライアンススキャン (CIS、DISA STIG、PCI DSS など) を設定する。
-
監査ファイルとコンプライアンステンプレートを管理する。
-
組織全体の修正戦略を確認し、実施する。
-
-
ユーザー管理
-
ユーザーロールとデータアクセスの範囲を定義する。
-
アクティビティログと監査証跡を監督する。
-
必要に応じてユーザーまたはシステムのアクセスを取り消す。
-
Tenable Vulnerability Management ロール権限
次のテーブルは、Tenable が提供する各 Tenable Vulnerability Management ユーザーロールに関連付けられた権限を、権限と機能別にまとめたものです。
| 領域 | Tenable Vulnerability Management で提供されるロールと権限 | ||||
|---|---|---|---|---|---|
|
管理者 |
スキャンマネージャー | 標準 | スキャンオペレーター | 基本 | |
| Activity Logs | 表示、エクスポート | - | - | - | - |
| アカウント設定 | 表示、修正 | 表示、修正 | 表示、修正 | 表示、修正 | 表示、修正 |
| エージェント | 表示、削除 | 表示、削除 | - | - | - |
| エージェントフリーズ期間 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | - | - | - |
| エージェントグループ | 表示、作成、修正、削除 | 表示、作成、修正、削除 | - | - | - |
| エージェント設定 | 表示、修正 | 表示、修正 | - | - | - |
| 資産 | 表示、修正、エクスポート、削除 | 表示、修正、エクスポート、削除 | 表示、修正、エクスポート、削除 | 表示、修正、エクスポート、削除 | 表示、エクスポート |
| コネクタ | 表示、作成、修正、削除 | - | - | - | - |
| ダッシュボード | 表示、作成、修正、エクスポート、削除 | 表示、作成、修正、エクスポート、削除 | 表示、作成、修正、エクスポート、削除 | 表示、作成、修正、エクスポート、削除 | 表示、作成、修正、エクスポート、削除 |
| 除外 | 表示、インポート、エクスポート、削除 | 表示、インポート、エクスポート、削除 | - | - | - |
| Exports | 表示、修正、エクスポート、削除 | - | - | - | - |
| 検出結果 | 表示、エクスポート | 表示、エクスポート | 表示、エクスポート | 表示、エクスポート | 表示、エクスポート |
| 全般設定 | 表示、修正 | - | - | - | - |
| 認証情報の管理 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 |
| 変更ルール | 表示、作成、修正、削除 | - | - | - | - |
| レポート | 表示、実行、作成、修正、削除 | 表示、実行、作成、修正、削除 | 表示、実行、作成、修正、削除 | 表示、実行、作成、修正、削除 | 表示 |
| スキャン結果 | 表示、エクスポート、削除 | 表示、エクスポート、削除 | 表示、エクスポート、削除 | 表示、エクスポート、削除 | 表示、エクスポート、削除 |
| スキャン1 | 表示、インポート、実行、作成、修正、削除 | 表示、インポート、実行、作成、修正、削除 | 表示、インポート、実行、作成、修正、削除 | 表示、インポート、実行、作成2、修正3、削除 | 表示4、インポート |
| スキャナーグループ | 表示、作成、修正、削除 | 表示、作成、修正、削除 | - | - | - |
| センサー | 表示、追加、修正、削除 | 表示、追加、修正、削除 | - | - | - |
| 共有コレクション | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示 |
| タグ5 | 表示、タグカテゴリの作成、タグ値の作成、削除、エクスポート、割り当て、割り当て解除 | 表示、タグ値の作成、削除、割り当て、割り当て解除 | 表示、削除、割り当て、割り当て解除6 | 表示、削除、割り当て、割り当て解除 | 表示、割り当て、割り当て解除 |
| ユーザーグループ | 表示、作成、修正、削除、エクスポート | - | - | - | - |
| ユーザー | API キーの表示、作成、変更、削除、生成 | - | - | - | - |
その他の Tenable One プラットフォーム製品のロールと権限
Tenable Vulnerability Management では、Tenable One プラットフォーム内の他のアプリケーションの権限を適用することもできます。詳細については、Tenable OneデプロイメントガイドのTenable One 製品アーキテクチャを参照してください。
次のテーブルは、各製品の利用可能なユーザーロールに関連付けられた権限を、それぞれの製品の機能別にまとめたものです。
Tenable Web App Scanning で提供されるロールと権限
| 領域 | Tenable Web App Scanning で提供されるロールと権限 | |||||
|---|---|---|---|---|---|---|
|
管理者 |
スキャンマネージャー | 標準 | スキャンオペレーター | WAS Reader | 基本 | |
| ダッシュボード | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示 | 表示 |
| Tenable 提供スキャンテンプレート | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示 | - | - |
|
スキャン (スキャンアクセス許可も必要です) |
表示、インポート、作成、修正、実行、削除 | 表示、インポート、作成、修正、実行、削除 | 表示、作成、修正、実行、削除 | 表示、作成7、修正8、実行、削除、ゴミ箱に移動 | 表示 | 表示 |
| 認証情報の管理 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 | 表示、作成、修正、削除 |
|
スキャンアクセス許可 |
表示、作成、修正、削除9 | 表示、作成、修正、削除10 | 表示、作成、修正、削除11 | 表示、作成、修正、削除12 | - | - |
|
スキャン結果 (スキャンアクセス許可も必要です) |
表示、削除 | 表示、削除 | 表示、削除 | 表示、削除 | 表示、削除 | 表示、削除 |
Tenable サイバーエクスポージャー管理 で提供されるロールと権限
| 領域 | Tenable サイバーエクスポージャー管理 で提供されるロールと権限 | ||||
|---|---|---|---|---|---|
|
管理者 |
スキャンマネージャー | 標準 | スキャンオペレーター | 基本 | |
| 設定 | 管理、読み取り | 読み取り | 読み取り | 読み取り | 読み取り |
| アクセスできる資産タイプ | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID |
| エクスポート | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 |
|
エクスポージャーカード |
作成、共有、読み取り | 作成、共有、読み取り | 作成、共有、読み取り | 共有、読み取り | 読み取り |
| Finding | 管理、読み取り | 管理、読み取り | 読み取り | 読み取り | 読み取り |
| クエリ | 検索、保存、読み込み | 検索、保存、読み込み | 検索、保存、読み込み | 検索、読み込み | 検索、読み込み |
|
タグ |
作成、編集 | 作成、編集 | - | - | - |
| サードパーティコネクタ | 作成、管理、読み取り | - | - | - | - |
Tenable Identity Exposure で提供されるロールと権限
| 領域 | Tenable Identity Exposure で提供されるロールと権限 | |
|---|---|---|
|
グローバル管理者 |
カスタム | |
| アプリケーション全体 | 読み取り、編集、作成 |
ユーザーロールはアプリケーションで定義されます。詳細については、ロールを参照してください。 |
Tenable Attack Surface Management で提供されるロールと権限
| 領域 | Tenable Attack Surface Management で提供されるロールと権限 | |||
|---|---|---|---|---|
| ビジネス管理者 | Cloud Connector Manager | アクティブユーザー | 閲覧専用ユーザー | |
|
インベントリ |
管理、追加、修正、削除 | 追加、修正、放置 | 追加、修正、放置 | 閲覧 |
| 提案 | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 閲覧 |
| サブスクリプション | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 表示 |
| ダッシュボード | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 閲覧 |
| レポート | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 閲覧 |
| テキストレコード | 管理、修正、削除 | 管理、修正、削除 | 管理、修正、削除 | 表示 |
| アクティビティログ | 表示 | 表示 | 表示 | 表示 |
| ユーザーアカウント | 管理、修正、削除 | - | - | - |
| ビジネス | 管理、修正 | - | - | - |
| クラウドコネクタ | 管理、追加、修正、削除 | 管理、追加、修正、削除 | 表示 | 表示 |
Tenable Cloud Security で提供されるロールと権限
| 領域 | Tenable Cloud Security で提供されるロールと権限 | ||
|---|---|---|---|
|
管理者 |
コラボレーター | 閲覧者 | |
| コンソールタブ | 表示 | 表示 | 表示 |
| レポート | 表示、作成、スケジュール、削除 | 表示、作成、スケジュール、削除 | 表示、作成 |
| インベントリ | ポリシーの表示、管理、生成 | ポリシーの表示、管理、生成 | - |
| 検出結果 | 表示、共有、管理、無効化 | 表示、共有、管理 | 表示、共有 |
| 管理 | 表示、管理、監査 | - | - |
Tenable PCI ASV で提供されるロールと権限
| 領域 | Tenable PCI ASV で提供されるロールと権限 | |
|---|---|---|
|
管理者 |
その他 | |
| アプリケーション全体 | 表示、インポート、実行、作成、修正、削除 | - |
Lumin Exposure View で提供されるロールと権限
| 領域 | Lumin Exposure View で提供されるロールと権限 | ||||
|---|---|---|---|---|---|
|
管理者 |
スキャンマネージャー | 標準 | スキャンオペレーター | 基本 | |
| 設定 | 管理、読み取り | 読み取り | 読み取り | 読み取り | 読み取り |
| アクセスできる資産タイプ | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID |
| エクスポート | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 |
|
エクスポージャーカード |
作成、共有、読み取り | 作成、共有、読み取り | 作成、共有、読み取り | 共有、読み取り | 読み取り |
Tenable Inventory で提供されるロールと権限
| 領域 | Tenable Inventory で提供されるロールと権限 | ||||
|---|---|---|---|---|---|
|
管理者 |
スキャンマネージャー | 標準 | スキャンオペレーター | 基本 | |
| アクセスできる資産タイプ | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID | コンピューティングリソース (ホスト)、クラウドリソース、ウェブアプリケーション、ID |
| エクスポート | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 |
|
タグ |
作成、編集 | 作成、編集 | - | - | - |
Attack Path Analysis で提供されるロールと権限
| 領域 | Attack Path Analysis で提供されるロールと権限 | ||||
|---|---|---|---|---|---|
|
管理者 |
スキャンマネージャー | 標準 | スキャンオペレーター | 基本 | |
| エクスポート | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 | 自分のもののみ管理 |
| 検出結果 | 管理、読み取り | 管理、読み取り | 読み取り | 読み取り | 読み取り |
| クエリ | 検索、保存 | 検索、保存 | 検索、保存 | 検索 | 検索 |