アクセス許可

Tenable Web App Scanning では、企業のアカウントで企業のリソースとデータに対して特定のアクションを実行できるユーザーを決定する設定を作成および管理できます。このドキュメントでは、これらの設定をアクセス許可設定閉じる 特定のユーザーおよびグループが特定のリソースセットで実行できるアクションを決定するために、管理者が作成できる設定です。と呼びます。

ユーザーまたはユーザーグループを作成する場合、過去に作成したタグで指定された条件を満たす資産に対して、既存のアクセス許可設定をそれらに割り当てることができます。Tenable Web App Scanning では、これらの資産とそれらを定義するタグをオブジェクト閉じる アクセス許可設定において、アクセス許可を定義する資産とタグのことです。と言います。

注意: Tenable Web App Scanning は、タグに依存するアクセス許可を処理しません。

ロールとアクセス許可の違いは何ですか?
  • ロール - ロールにより、Tenable Web App Scanning の主要機能の権限を管理し、ユーザーがアクセスできる Tenable Web App Scanning モジュールや機能を制御できます。
  • アクセス許可 - アクセス許可により、タグ、資産、その検出結果など、データへのアクセスを管理できます。

簡単に言うと、ロールとは製品で実行できるアクションのことで、アクセス許可はそれらのアクションを実行できるデータを決定します。

Tenable が提供しているアクセス許可

アクセス許可設定を作成する場合は、以下にある定義済みのアクセス許可を 1 つ以上選択する必要があります。これらのアクセス許可は、アクセス許可設定で定義された 1 つまたは複数のオブジェクトに対してユーザーが実行できるアクションを決定します。

閲覧可

[閲覧可] アクセス許可は、意図しない変更が行われることを心配をせずに、スキャンと結果を表示する必要がある監査人、コンプライアンス担当者、またはセキュリティアナリストに役立ちます。

ユーザーにオブジェクトの [閲覧可] アクセス許可が付与されている場合、次の操作を実行できます。

  • オブジェクトの表示

    • スキャン設定 (ターゲット、スケジュール、割り当てられたポリシーなど) の参照

    • スキャン結果、検出結果、および関連するレポートの表示

    • そのスキャンまたは資産グループに関連付けられているダッシュボードと脆弱性データの参照

  • レポートとエクスポートの生成

    • 結果からレポート (PDF や CSV など) を生成してエクスポートする

    • このデータを修正やコンプライアンスレビューに使用する

スキャン可

[閲覧可] アクセス許可があれば、ユーザーは自分に割り当てられたスキャンを実行および管理できます。グローバルポリシーの作成、スキャナーの設定、または許可された範囲外のスキャンへのアクセスはできません。

注意: 手動で入力されたターゲットが有効と見なされるには、次の基準を満たす必要があります。

  • ユーザーが管理者である、

    または

  • ユーザーに少なくともスキャンオペレーターロール権限があり、かつ

  • ターゲットが Tenable Web App Scanning システム内に存在しない場合、ユーザーは IPv4、IPV6 または FQDN を介してターゲットを明示的に参照するオブジェクトに対するスキャン可能アクセス許可を持っている必要があります。オブジェクトに複数のルールがある場合、それらのルールは「いずれかに一致」フィルターで結合される必要があります。または

  • ターゲットが Tenable Web App Scanning システム内にすでに存在する場合、ユーザーがスキャン可能アクセス許可を持つオブジェクトによってターゲットがタグ付けされる必要があります。

ユーザーにオブジェクトの [スキャン可] アクセス許可が付与されている場合、次の操作を実行できます。

  • スキャンの実行と管理

    • [スキャン可] アクセス許可を持つスキャンを起動 (開始、一時停止、停止、再開) します。

    • 管理者がすでに設定したスキャナーまたはスキャンゾーンを使用します。

    • [スキャン可] アクセス許可を持つスキャンのスケジュールを設定または変更します。

  • 結果の表示と管理

    • 実行されたスキャン結果にアクセスします。

    • その結果に基づいてレポートを生成します。

  • 割り当てられた資産を操作する

    • アクセス許可が適用されるスキャン資産グループに含まれる資産のみをターゲットにします。

編集可

[編集可] アクセス許可により、ユーザーはオブジェクトを変更および管理することができますが、完全に管理できるわけではありません。これは、ユーザーがアクセス権を持つスキャン、資産、レポートを更新、設定、実行できることを意味します。ただし、オブジェクトに対する所有権レベルのコントロールや管理者権限はありません。

ユーザーにオブジェクトの [編集可] アクセス許可が付与されている場合、次の操作を実行できます。

  • 設定の変更

    • スキャン設定 (ターゲット、スケジュール、認証情報、ポリシー、通知など) を変更します。

    • 資産グループ定義を更新します (資産を追加および削除する)。

    • ダッシュボードやフィルター、または編集可能なレポートテンプレートを調整します。

    • [閲覧可] または [スキャン可] アクセス許可を持つ他のユーザーにオブジェクトを割り当てます (管理者が許可している場合)。

  • スキャンの実行と管理

    • スキャンを開始、一時停止、停止、再開します。

    • 更新された設定でスキャンを再実行します。

    • (指定された範囲内で) スキャンテンプレートまたはスケジュールを保存および更新します。

  • 結果の表示と管理

    • 結果を表示、分析、エクスポートします。

    • スキャン結果を他のユーザーに共有します (ロールによる)。

使用可

Tenable の [使用可] アクセス許可は、多くの場合、スキャンポリシー、レポートテンプレート、またはその他の再利用可能なオブジェクトに適用されます。これは、[編集可] よりも制限がありますが、単なる [閲覧可] よりも高い権限を持っています。これによりユーザーは既存のオブジェクト (スキャンポリシーやテンプレートなど) を適用できますが、オブジェクト自体を編集または管理することはできません。

ユーザーにオブジェクトの [使用可] アクセス許可が付与されている場合、次の操作を実行できます。

  • 既存のポリシーまたはオブジェクトを使用する

    • スキャンを作成または実行するときに、既存のスキャンポリシーを適用します。

    • 事前に構築されたレポートテンプレートまたはダッシュボードを使用します。

    • 共有された設定を変更せずに使用します。

  • 割り当てられたポリシーを使用する

    • [使用可] アクセス許可を持つポリシーに基づいてスキャンを起動します。

    • 基になるポリシーやテンプレートは変更できないため、スキャン設定に一貫性が保たれます。

  • 結果の表示と管理

    • 割り当てられたポリシーまたはテンプレートを使用するスキャンからの結果を表示およびエクスポートします ([スキャン可] などのスキャンアクセス許可と組み合わせて使用する場合)。

アクセス許可設定を表示する

[マイアカウント] ページで、各ユーザーは自分に割り当てられたアクセス許可設定を表示できます。ただし、他のユーザーのアクセス許可設定を表示または管理できるのは、管理者ロールを持つユーザーのみです。ロールの詳細については、Tenable 提供のロールと権限 を参照してください。

Tenable Web App Scanning でアクセス許可設定を表示する方法:

  1. 左側のナビゲーションで [設定] をクリックします。

    [設定] ページが表示されます。

  2. [アクセス制御] タイルをクリックします。

    [アクセス制御] ページが表示されます。このページで、Tenable Web App Scanning アカウントのリソースへのユーザーアクセスとグループアクセスを制御できます。

  3. [アクセス許可] タブをクリックします。

    [アクセス許可] タブが表示されます。このタブの表には、Tenable Web App Scanning インスタンスのすべてのアクセス許可設定が一覧表示されます。

    注意: アクセス許可の表の最初の行には、管理者の読み取り専用エントリが含まれています。このエントリは、管理者がアカウントのすべてのリソースに対するすべてのアクセス許可を持っていることを示すために存在します。詳細は、ロールを参照してください。

[アクセス許可] タブでは、次のアクションを実行できます。