ロールベースのアクセス制御(RBAC)ユーザーガイド

ロールベースのアクセス制御(RBAC)を使用すると、管理者は組織の従業員の役割に基づいて Google Security Operations の機能へのアクセス権を調整できます。

始める前に

RBAC は、次の大文字と小文字を区別しないデフォルト属性名から SAML レスポンスからグループ情報を読み取ります。

  • group
  • idpgroup group
  • memberof

カスタム属性名を使用する場合は、RBAC の設定を変更できるように、まず Google セキュリティ オペレーションに属性名を指定する必要があります。

RBAC 設定を変更する

RBAC プロファイルと設定ページに移動するには、ナビゲーション バーの [設定] をクリックします。

プロファイル

[プロファイル] ページには、ユーザーのプロファイルから情報(ユーザー ID、グループ ID、割り当てられたロール)と、組織に関する追加情報(顧客 ID、Google Cloud プロジェクト番号、Google Cloud プロジェクト ID)が表示されます。

顧客 ID

お客様 ID は、[プロファイル] ページの [組織の詳細] セクションにあります。

タイムゾーン

プロファイルに関連付けられたタイムゾーンを変更するには、[時刻設定] の横にある [編集] をクリックします。適切なタイムゾーンを選択し、[保存] をクリックします。これにより、選択したユーザー インターフェースに表示される時刻が、選択したタイムゾーンと一致するように変更されます。

ユーザーとグループ

[ユーザーとグループ] ページで、管理者は RBAC を構成できます。

  1. 左側のナビゲーション パネルで [ユーザーとグループ] リンクをクリックします。ユーザーとグループの一覧は、[ユーザーとグループ] ページに列(User/GroupTypeAssigned role)とともに表示されます。

  2. [新しく割り当て] をクリックして、[ロールの割り当て] ダイアログを開きます。このウィンドウから、次のタスクを実行できます。

    • 1 人以上の新しいユーザーをロールに割り当てます。
    • ロールに 1 つ以上の新しいグループを割り当てます。

    使用可能なロールは、次の通りです。

    • デフォルト
    • ViewerWithNoDetectAccess
    • 閲覧者
    • 編集者
    • 管理者

    ユーザー ID またはグループ ID を追加し、[ロールを割り当て] プルダウン メニューから適切なロールを選択したら、[割り当て] をクリックします。

    ロールを割り当てる際は、次の点に注意してください。

    • ユーザーまたはグループを追加する際は、そのユーザーが ID プロバイダ(IdP)に存在することを確認してください。ユーザーまたはグループを削除する場合は、管理者ロールを持つユーザーまたはグループを 1 つ以上保持していること、それが IdP 内に存在することを確認してください。そうしないと、管理者のアクセス権を失います。
    • ユーザー ID とグループ IdP では大文字と小文字が区別されます。
    • このダイアログを使用して、既存のユーザーまたはグループに割り当てられているロールを変更することはできません。ロールを変更し、ユーザーとグループを削除する手順については、以下をご覧ください。
    • Google Security Operations は、ユーザーとグループとロール間のマッピングを管理します。
    • ユーザー ID やグループ ID に特殊文字が含まれる場合は、テキストソースによっては UTF-8 エンコードが使用される可能性があるという注意を使用します。[割り当て] をクリックした後は、新しい割り当てが正しく保存されたことを確認することをおすすめします。

  3. 既存のユーザーまたはグループのロールを変更するには、[ロールの割り当て] 列のそのユーザーまたはグループに対応するプルダウン メニューから新しいロールを選択します。

  4. 新しいユーザーとグループに割り当てるデフォルトのロールは、右上の角のロールのプルダウン メニューから変更できます。

  5. ユーザーやグループを削除するには、ユーザーまたはグループの行の右端にカーソルを合わせたときに表示されるゴミ箱アイコンをクリックします。

    管理者であるユーザーとグループを削除し、残りの管理者が IDP 内にいない場合、管理者権限を失います。

ロールと権限

ロール

ロールは、プロダクトの権限のセットに関連付けられます。ロールをユーザーに割り当てると、そのロールに関連付けられた権限がユーザーに付与されます。

Google Security Operations には、次の事前定義ロールが含まれています。

  • 管理者 - 企業のロールベースのアクセス制御ポリシーを管理します。[Google セキュリティ運用] ページを編集または表示することもできます。
  • 編集者 - 検出エンジンのルールの作成や編集などを含めて、Google の [Security Operations] ページを編集できます。
  • 閲覧者 - [Google Security Operations] のページを表示できますが、変更はできません。
  • ViewerWithNoDetectAccess - 検出結果を含まないすべての Google セキュリティ オペレーション ページ(主に [ルール] ページと [リファレンス リスト] ページ)を表示できます。

RBAC アプリケーションには次のものがあります。

  • 職責に基づいてロールを作成して割り当てる。
  • 借用先または組織に基づいてロールを作成して割り当てる。
  • 問題を調査するために、アナリストに一時的なロールを割り当てる。

権限

権限によって、次のものを含む、単一の制御されたアクションを Google Security Operations で実行するために必要な承認が提供されます(権限の完全なリストについては、ユーザー インターフェースをご覧ください)。

  • ルールを表示
  • ルールを変更する
  • フィードバックを編集する
  • 参照リストを編集する
  • RBAC 権限を表示する

ユーザーがアクションに対する権限を付与されていない場合、関連する機能は無効になります。たとえば、閲覧者のロールを持つユーザーは新しいルールを作成できない(ルールエディタで [新規] ボタンが無効になっている)ため、ルールを複製する([複製] オプションが無効になっています)か、既存のルールを変更します。

ユーザーとグループが利用できるロールと権限を表示するには、次の操作を行います。

  1. 左側のナビゲーション パネルで [ロール] リンクをクリックします。

  2. [ロール] 列からロールを選択し、そのロールに付与されている権限を表示します。各ロールに関連付けられた権限は変更できません。

新しく追加されたユーザーとグループのデフォルトのロールは閲覧者です。他のロールのいずれか(編集者など)を選択すると、Set as default の制御が使用可能になります。これにより、そのロールをデフォルトに設定できます。