ユーザーアカウントの管理
必要なユーザーロール: 管理者
Tenable Vulnerability Management では、次の方法でユーザーアカウントを管理できます。
ユーザーアカウントの作成
[ユーザー] ページで、新しいユーザーのアカウントを作成できます。
ユーザーアカウントを作成する方法
-
[ユーザー] ページにアクセスします。
-
[ユーザーの作成] ボタンをクリックします。[ユーザーの作成] ページが表示されます。
- 次のオプションを設定します。注意: 各セクションのオプションを表示して設定するには、左側のメニューでセクションを選択する必要があります。
オプション アクション [一般] セクション 氏名 ユーザーの氏名を入力します。 ユーザー名 有効なユーザー名を入力します。
有効なユーザー名は、名前 @ ドメインの形式である必要があります。ここで、ドメインはお使いの Tenable Web App Scanning インスタンス用に承認されたドメインに対応します。
注意: 初期設定で、Tenable は Tenable Web App Scanning インスタンス用に承認されたドメインを設定します。インスタンスにドメインを追加する方法については、Tenable の担当者にお問い合わせください。
警告: このユーザー名は、単一のインスタンス内だけでなく、MSSP 環境内などのすべての顧客インスタンス間で一意である必要があります。
注意: Tenable Vulnerability Management のユーザー名に次の文字を含めることはできません。
'、!、#、$、%、^、&、*、(、)、/、\、|、{、}、[、]、"、:、;、~、`、<、>、,メール 有効なメールアドレスを
name@domein の形式で入力します。この domain は、お使いの Tenable Web App Scanning インスタンスで承認されたドメインになります。
このメールアドレスは、[ユーザー名] ボックスに設定されたメールアドレスをオーバーライドします。このオプションを空のままにすると、Tenable Web App Scanning は [ユーザー名] の値を、ユーザーのメールアドレスとして使用します。
注意: 管理者は、承認されていないドメインのメールアドレスでユーザーアカウントを作成できます。ユーザーアカウントの作成後は、メールアドレスを別の承認されたドメインにのみ変更できます。
パスワード 有効なパスワードを入力します。詳細については、パスワード要件を参照してください。
Tenable Web App Scanning では、パスワードは最低 12 文字の長さで、次のものを含む必要があります。
- 大文字
- 小文字
- 数字
- 特殊文字
パスワードの確認 パスワードをもう一度入力します。 ロール ドロップダウンボックスで、ユーザーに割り当てるロールを選択します。
注意: 管理者ユーザーには、Tenable Web App Scanning アカウントのすべてのリソースに対する完全なアクセス権があります。
認証 利用可能なセキュリティ設定オプションを選択または選択解除します。選択する場合、以下の設定があります。
注意: カスタムロールを持つユーザーに対してパスワードアクセスまたは SAML オプションを有効にすると、そのユーザーは自動的にダッシュボードおよびウィジェットへの基本的なアクセス権を持ちます。
API キー - ユーザーが API キーを生成することを許可します。
ヒント: この設定だけを選択して、API のみのユーザーアカウントを作成できます。
SAML - ユーザーが SAML シングルサインオン (SSO) を使用してアカウントにログインすることを許可します。詳細は、SAML を参照してください。
ユーザー名/パスワード - ユーザーがパスワードを使用してアカウントにログインすることを許可します。
注意: このオプションの選択を解除すると、MFA オプションを選択できません。
二要素が必要です ‐ ユーザーが自分のアカウントにログインするには二要素認証の入力が必要です。
ヒント: マイアカウントページで、自分のアカウントの二要素認証を設定できます。
重要! 自分または他のユーザーが [二要素が必要です] を有効にしている場合には、二要素認証を使用してログインする必要があります。二要素認証を使用せずに Tenable Vulnerability Management へのログインを試みた場合、Tenable 製品のいずれにもアクセスできません。
セッションタイムアウト ユーザーのセッションがタイムアウトするまでの時間枠を時間と分で指定します。タイムアウトになると、ユーザーは Tenable Vulnerability Management から自動的にログアウトされ、再びログインし直さなければなりません。
注意: セッションのタイムアウトは最短 5 分から最長 12 時間の範囲で設定できます。重要: 一括更新は他のすべてのユーザーのセッションタイムアウト設定に影響を与えますが、自分のアカウントには影響しません。自分のアカウントのこの設定を変更するには、[ユーザーアシスト] 機能を使用して別の管理者として実行する必要があります。その後、[ユーザーの編集] ページに移動して、自分のアカウントのセッションタイムアウトを更新できます。[ユーザーグループ] セクション ユーザーグループ ユーザーの割当先となる 1 つまたは複数のユーザーグループを選択します。
デフォルトでは、新しいユーザーはシステム生成の [すべてのユーザー] ユーザーグループに属し、これによって [基本] ロールが割り当てられます。
次の手順でユーザーグループを追加します。
[ユーザーグループ] ボックスの任意の場所をクリックします。
検索ボックスとロールのドロップダウンリストが表示されます。
(オプション) [検索] ボックスに、ユーザーグループ名を入力します。
入力すると、検索条件に一致するユーザーグループのリストが表示されます。
追加するユーザーグループをクリックします。
[ユーザーグループ] ボックスに、Tenable Web App Scanning によってユーザーグループを表すラベルが追加されます。
- これらの手順を繰り返して、別のユーザーグループにユーザーを追加します。
[アクセス許可] セクション アクセス許可 [アクセス許可] テーブルで、ユーザーに割り当てるアクセス許可設定を選択します。
-
[保存] をクリックします。
注意: ユーザーにアクセス許可を割り当てると、ボタンは [追加して保存] と表示されます。
Tenable Web App Scanning により、新しいユーザーアカウントがユーザーテーブルに表示されます。
ユーザーアカウントの編集
-
[ユーザー] ページにアクセスします。
-
[ユーザー] テーブルで、編集するユーザーの名前をクリックします。
[ユーザーの編集] ページが表示されます。
-
ユーザー設定オプションに必要な変更を加えます。
- (オプション) ユーザーの API キーを生成します
-
[保存] をクリックします。
Tenable Web App Scanning はアカウントへの変更を保存します。
ユーザーのアカウントでユーザーをサポートする
Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP 製品を参照してください。
管理者として、ユーザーサポート機能を使用し、別のアカウントとしてログインをシミュレートできます。ユーザーアカウントをサポートする間、そのユーザーのパスワードを取得したり、管理者アカウントからログアウトしたりすることなく、そのユーザーとして Tenable Vulnerability Management で操作できます。
ユーザー名 / パスワード
SAML
各自のアカウントでユーザーをサポートする方法
-
[ユーザー] ページにアクセスします。
-
で、サポートするユーザーアカウントのチェックボックスをクリックします。
テーブルの上部にアクションバーが表示されます。
注意: 一度に選択できるユーザーは 1 人だけです。
-
アクションバーで、
ボタンをクリックします。により、サポートしているユーザー用のデフォルトのダッシュボードが更新されて表示されます。ユーザーをサポートしている間、 の各ページの上部にはサポートしているユーザーのロールを記載したオーバーレイが表示されます。
各自のアカウントでユーザーのサポートを停止する方法
- 任意のページの上部にある、サポート中のユーザーのロールが表示されているオーバーレイで
ボタンをクリックします。
ユーザーパスワードの変更
別のユーザーのアカウントのパスワードを変更するには、管理者の権限が必要です。自分自身のパスワードを変更するには、パスワードの変更を参照してください。
別のユーザーのパスワードを変更する方法
-
[ユーザー] ページにアクセスします。
-
[ユーザー] テーブルで、編集するユーザーの名前をクリックします。
[ユーザーの編集] ページが表示されます。
-
[新しいパスワード] ボックスに新しいパスワードを入力します。詳細については、パスワード要件を参照してください。
-
[保存] をクリックします。
Tenable Web App Scanning は、ユーザーアカウントの新しいパスワードを保存します。
ユーザーの API キーの生成
自分のユーザーアカウントに関連付けられた API キーにより、所属組織にライセンスされたすべての Tenable Vulnerability Management 製品の API にアクセスすることができるようになります。これらのキーを使って、Tenable Vulnerability Management REST API で認証する必要があります。
管理者は、任意のユーザーアカウントの API キーを生成できます。他のロールは、自分自身のアカウントの API キーを生成できます。詳細は、Generate API Keys を参照してください。
注意: お使いのユーザーアカウントに関連付けられた API キーを使って、所属組織にライセンス付与されているすべての Tenable Vulnerability Management 製品の API にアクセスすることができます。個別の製品に別々のキーを設定することはできません。たとえば、Tenable Vulnerability Management で API キーを生成した場合、この操作により Tenable Web App Scanning および Tenable Container Security の API キーも変更されます。
別のユーザーの API キーを生成する方法
-
[ユーザー] ページにアクセスします。
-
[ユーザー] テーブルで、編集するユーザーの名前をクリックします。
[ユーザーの編集] ページが表示されます。
-
[API キー] セクションで、[API キーの生成] をクリックします。
警告: 新しい API キーを生成すると、既存の API キーはすべて置き換えられます。以前の API キーを使用していたアプリケーションを更新する必要があります。警告メッセージが表示されます。
-
警告を確認し、[置き換えと生成] をクリックします。
[API キーの生成] テキストボックスが表示されます。
アカウントの新しいアクセスキーとシークレットキーがテキストボックスに表示されます。
-
(オプション) [API キーの再生成] をクリックします。
-
新しいアクセスキーとシークレットキーを安全な場所にコピーします。
警告: [ユーザーの編集] ページから移動する前に、アクセスキーとシークレットキーを必ずコピーしてください。このページを閉じてしまうと、Tenable Web App Scanning からキーを取得することはできなくなります。
ユーザーアカウントのロックの解除
Tenable Web App Scanning でログインを試みて 5 回連続して失敗すると、アカウントがロックされます。
次のいずれかの方法で、ユーザーアカウントのロックを解除できます。
- ユーザーがユーザーアカウントで指定されたメールアドレスにアクセスできる場合、ユーザーは自分のアカウントのロックを解除できます。
- ユーザーが上記メールアドレスにアクセスできない場合、管理者権限を持つ別のユーザーがそのユーザーのパスワードをリセットできます。
- ユーザーに二要素認証が強制されており、認証コードにアクセスできない場合、管理者権限を持つ別のユーザーが、そのユーザーの二要素認証をリセットできます。
ユーザーアクセス認証情報の管理
ユーザーは、次の方法を使用して Tenable Web App Scanning にアクセスできます。
- ユーザー名とパスワードログイン
- シングルサインオン (SSO)詳細は、SAML を参照してください。
- Tenable Web App Scanning REST API (API キー使用) 詳細は、ユーザーの API キーの生成 を参照してください。
新規ユーザーを作成すると、すべてのアクセス権がデフォルトで認証されます。企業のセキュリティポリシーに応じて、SSO を強化するためにユーザ名およびパスワードログインを無効化するなど、特定のアクセス方法を無効化できます。
Tenable Web App Scanning Platform API を使用して、ユーザーのアクセス認証の表示、付与、失効ができます。詳細については、Tenable 開発者ポータル のユーザー認証を取得するおよびユーザー認証を更新するを参照してください。
二要素認証の管理
二要素認証 (2FA) は、ユーザーのアイデンティティを検証するために 2 種類の形式の ID を必要とするセキュリティ方式です。これにより、ユーザー名とパスワードだけでなく、追加の保護レイヤーが提供されます。ユーザーに二要素認証が設定されている場合、そのユーザーはログイン認証情報と、自分が選んだサードパーティの認証方法を使用して Tenable Vulnerability Management にアクセスする必要があります。
管理者はユーザーを作成するときに、[二要素認証が必要です] オプションを有効にできます。また、管理者は次の方法でも Tenable Vulnerability Management ユーザーの二要素認証を管理できます。
2FA のリセット
-
[ユーザー] ページにアクセスします。
-
二要素認証をリセットするユーザーの行の右側にある
ボタンをクリックします。メニューが表示されます。
-
[2FA をリセット] をクリックします。
確認メッセージが表示され、Tenable Vulnerability Management は選択したユーザーの二要素認証をリセットします。
2FA の強制
ユーザーに二要素認証を強制する方法
-
[ユーザー] ページにアクセスします。
-
二要素認証を強制するユーザーの行の右側にある
ボタンをクリックします。メニューが表示されます。
-
[2FA を強制] をクリックします。
確認メッセージが表示され、Tenable Vulnerability Management は選択したユーザーに対して二要素認証を強制します。その後、ユーザーは [時間ベースのワンタイムパスワード] などの [二要素認証セットアップ] オプションを使用してログインできます。
2FA 必須化の削除
ユーザーの二要素認証の必須化を削除する方法
-
[ユーザー] ページにアクセスします。
-
二要素認証をリセットするユーザーの行の右側にある
ボタンをクリックします。メニューが表示されます。
-
[2FA 要件を削除] をクリックします。
確認メッセージが表示され、Tenable Vulnerability Management は選択したユーザーの二要素認証を必須化を削除します。
アクティブなユーザーアカウントの無効化
- そのユーザーの定期レポートが無効になったり、無効になったユーザーが共有したレポートを他のユーザーが生成できなくなったりすることはありません。詳細は、Reportsを参照してください。
- そのユーザーはログインできなくなります。
- そのユーザーのスキャンは実行されなくなり、そのユーザーが所有する進行中のスキャンは中止されます。
無効なユーザーアカウントの有効化に説明されている手順で、無効化されたユーザーアカウントを有効化することができます。
ユーザーアカウントを無効にする方法
-
[ユーザー] ページにアクセスします。
-
無効にする 1 人または複数人のユーザーを選択します。
-
1 人のユーザーを選択
-
ユーザーテーブルで、無効にするユーザーアカウントの行にある
ボタンをクリックします。アクションボタンが
-
行にある
ボタンをクリックします。確認ウィンドウが表示されます。
-
-
複数のユーザーを選択
- ユーザーテーブルで、無効にする各ユーザーのチェックボックスをクリックします。
- アクションバーで、 ボタンをクリックします。
確認ウィンドウが表示されます。
- ユーザーテーブルで、無効にする各ユーザーのチェックボックスをクリックします。
-
-
確認ウィンドウで、[無効化] をクリックします。
成功したことを示すメッセージが表示され、
Tenable Web App Scanning により、選択した 1 人または複数のユーザーが無効になります。ユーザーテーブルで、無効になったユーザーは薄いグレーで表示されます。
注意: 無効にされたユーザーに進行中のセッションがある場合は、引き続き制限付きのアクセス権が付与される場合があります。ただし、ログアウト後は再度ログインできません。
無効なユーザーアカウントの有効化
ユーザーアカウントを無効化した場合でも、そのアカウントを再度有効にしてユーザーのアクセスを復元することができます。
ユーザーアカウントを有効にする方法
-
[ユーザー] ページにアクセスします。
-
有効にする 1 人または複数のユーザーを選択します。
1 人のユーザーを選択
-
ユーザーテーブルで、有効にするユーザーアカウントの行にある
ボタンをクリックします。アクションボタンが
注意: ユーザーが無効になっている場合はグレー表示されます。
-
行にある
ボタンをクリックします。確認ウィンドウが表示されます。
複数のユーザーを選択
- ユーザーテーブルで、有効にする各ユーザーのチェックボックスをクリックします。
- アクションバーで、 ボタンをクリックします。
確認ウィンドウが表示されます。
-
-
確認ウィンドウで、[有効] をクリックします。
成功したことを示すメッセージが表示され、
Tenable Web App Scanning により、選択した 1 人または複数のユーザーが有効になります。ユーザーテーブルで、有効になったユーザーは黒で表示されます。
ユーザーアカウントの削除
ユーザーアカウントを削除する前に、ユーザーアカウントを無効にする必要があります。
- Tenable Web App Scanning はオブジェクトの移行をサポートしていません。Tenable Web App Scanning ユーザーを削除すると、アプリケーションは削除されたユーザーに属するオブジェクトを再割り当てしません。所有者が削除された場合、Tenable Web App Scanning スキャンを新しい所有者に再割り当てすることはできません。
- ユーザーアカウントを削除する前に、関連付けられている修正プロジェクトを割り当て直してください (ある場合)。これらは自動的には再割り当てされません。
次の表に、ユーザーを削除したときにどのオブジェクトが移行、保持、または完全に削除されるかを示します。
| オブジェクトタイプ | 削除 | 注記 |
|---|---|---|
| スキャンの監査ファイル | 〇 | 完全に削除 |
| スキャンのスケジュール | ✕ |
新しいオブジェクト所有者に移行 注意: 移行されたスキャンスケジュールは、完全に削除された他のオブジェクト (監査ファイル、ターゲットグループ、管理されていない認証情報など) に依存している場合は無効になることがあります。 |
|
過去のスキャン結果 |
✕ | 新しいオブジェクト所有者に移行 |
| スキャンテンプレート | ✕ | 新しいオブジェクト所有者に移行 |
| スキャンの管理されていない認証情報 | 〇 | 完全に削除 |
| カスタムダッシュボード/ウィジェット | 〇 |
新しいオブジェクト所有者に移行 |
| 認証情報の管理 | ✕ | 保持 ([作成者] 値に [null] が表示) |
| タグ | ✕ | 保持 ([作成者] 値に [null] が表示) |
| 変更/許容ルール | ✕ | 保持 ([所有者] 値に [不明なユーザー] が表示) |
| 除外 | ✕ | 保持 |
| システムターゲットグループ | ✕ | 保持 |
| ユーザーターゲットグループ | ✕ | 新しいオブジェクト所有者に移行 |
| 保存された検索条件 | 〇 | 完全に削除 |
| コネクタ | ✕ | 保持 |
| センサー | ✕ | 保持 |
| 定期エクスポート | いいえ | 新しいオブジェクト所有者に移行 |
ユーザーアカウントの削除手順
-
[ユーザー] ページにアクセスします。
-
ユーザーの表で、削除するユーザーアカウントの行にある
ボタンをクリックします。メニューが表示されます。
-
メニューにある
ボタンをクリックします。注意: ユーザーが無効になっていない場合は、
ボタンは表示されません。ユーザーを削除する前にユーザーを無効にします。注意: デフォルトの管理者アカウントを削除することはできません。デフォルトの管理者アカウントを削除する場合は、Tenable サポート に連絡する必要があります。
ユーザー画面が表示されます。
- [新しいオブジェクト所有者の選択] ドロップダウンリストボックスから、ユーザーのオブジェクト (スキャン結果、ユーザー定義スキャンテンプレートなど) の転送先のユーザーを選択します。
-
[削除] をクリックします。
確認のメッセージが表示されます。
- [削除] をクリックします。
Tenable Web App Scanning ユーザーを削除し、ユーザーオブジェクトを指定されたユーザーに転送します。