1.2.2 管理者の構成を決定する

Systemwalker Desktop Keeper管理者の形態およびその役割について説明します。

管理者は、以下の3つの形態があります。

システム管理者: 本製品で定義されるシステム管理者とは、クライアント(CT)およびスマートデバイス操作の禁止や操作ログの採取などのポリシーを定義・管理する、システム全体のセキュリティの管理者として位置づけられます。システム管理者は、ポリシー設定のほか、システム全体のクライアント(CT)情報、スマートデバイス(エージェント)情報やユーザー情報、またログ情報を参照することができます。

部門管理者

部門管理者とは、システム管理者とは異なり、特定の部門配下に対してだけ権限を持つ管理者です。部門管理者は目的に応じて必要な権限だけが与えられ、権限のない他部門の情報を参照・操作することはできません。部門管理者はクライアント(CT)グループおよびユーザーグループごとに設定することができます。

システム管理者がシステム全体の状態を把握することは、大きな負担になります。システム管理者は部門管理者を設定し、その部門については、部門管理者に情報を管理する権限を委譲することで、自身の負荷を軽減することができます。

部門管理者の設定は、運用開始後も可能です。部門管理者が使用できる機能の詳細は、“管理者種別ごとの使用可能な機能”を参照してください。

USBデバイス管理者: USBデバイス管理者とは、システム管理者、部門管理者とは異なり、USBデバイスの登録/変更/削除だけが行える管理者です。ポリシー設定などを行うことはできません。USBデバイス管理者を設定することで、システム管理者、部門管理者の負荷を軽減することができます。

システム管理者による集中管理(部門管理者を配置しない運用)

システム管理者がすべてのポリシー設定やログの参照を行う形態です。すべてのクライアント(CT)およびスマートデバイス(エージェント)、すべてのユーザーのポリシー設定やログの参照が可能です。またすべての機能を使用することができます。

複数の管理者による分散管理(部門管理者を配置する運用)

部門ごとに部門管理者を設定し、部門内でポリシーの設定やログの参照を行う形態です。自部門内のポリシーの変更や、ログの参照が可能となり、内部統制としての管理が容易となります。

システム管理者は、ルート配下にあるシステム全体のセキュリティを管理することができますが、部門管理者は特定の部門に対してだけ権限をもちます。例えば、上記イメージ図で示すように、部門管理者Aさんは、”営業部”に対して、ポリシーを定義したりログを参照したりできますが、”開発部”に対してポリシーを定義したりログを参照したりすることはできません。

主に部門管理者が使用できる機能は以下のとおりです。各操作画面における詳細な機能範囲については、“管理者種別ごとの使用可能な機能”を参照してください。

部門管理者と設定されているクライアント(CT)グループでの以下の機能
- クライアント(CT) およびスマートデバイス(エージェント)の管理情報の参照
- クライアント(CT) およびスマートデバイス(エージェント)の移動(部門管理グループ内)、削除
- CTポリシーの参照、変更
- CTグループの作成、移動(部門管理グループ内)、および削除
- ログの検索、参照
- ログのCSV出力、付帯データの参照、および保存(制限することも可能)
部門管理者と設定されているユーザーグループでの以下の機能
- ユーザー情報の追加、参照、および変更
- ユーザー情報の移動(部門管理グループ内)、削除
- ユーザーポリシーの参照、変更
- ユーザーグループの作成、移動(部門管理グループ内)、および削除
- ログの検索、参照
- ログのCSV出力、付帯データの参照、および保存(制限することも可能)

管理者種別ごとの使用可能な機能

Systemwalker Desktop Keeperの管理コンソール、ログビューアにおける管理者モードと部門管理モードでの機能の差異について説明します。

管理コンソールでの機能の差異

管理コンソールでのシステム管理者と部門管理者の機能の差異について説明します。

区分		機能		システム管理者	部門管理者	USBデバイス管理者	備考
メニューバー	[ファイル]	[CT/CTグループ検索]		○	▲	×
		[CTグループ作成]		○	▲	×	注5
		[CTグループ削除]		○	▲	×	注5
		[CTグループ部門管理者設定]		○	×	×
		[CT情報CSV出力]		○	▲	×	注2
		[CTグループ情報CSV出力]		○	×	×	注2
		[CTグループ部門管理者情報CSV取り込み]		○	×	×	注1
		[CTグループ部門管理者情報CSV出力]		○	×	×	注2
		[リモート資料採取]		○	×	×
		[CTデバッグトレース]		○	○	×
		[配下CTのIPアドレス出力]		○	○	×
		[パスワード変更]		○	○	○
	[表示]	[端末情報参照/設定]		○	▲	×
		[サービス一覧取得/制御]		○	▲	×
		[プロセス一覧取得/制御]		○	▲	×
	[ツリー設定]	[ツリー最新表示(全サーバ)]		○	○	×
		[ツリー最新表示(選択中サーバ)]		○	○	×
		[ツリー全展開]		○	○	×
		[ツリー全縮小]		○	○	×
		[空のグループは表示しない]		○	○	×
		[CTグループ構成反映]		○	○	×
		[サーバ表示]		○	○	×	注3
		[「削除したCT」グループを表示]		○	×	×
	[リスト設定]	[CTリスト表示列設定]		○	○	×
	[動作設定]	[端末初期設定]		○	×	×
		[端末動作設定]		○	×	×
		[USBデバイス登録]		○	○	○	注6
		[起動時の最新情報取得]		○	○	×
		[デバッグトレース]		○	×	×
		[管理コンソールトレース]		○	○	×
	[ユーザー設定]	[ユーザーポリシー設定]		○	▲	×
	[他システム連携]	[Systemwalker Desktop Patrol連携]	[構成反映取り込み]	○	×	×	注1, 注4
	[他システム連携]	[Systemwalker Desktop Patrol連携]	[構成反映出力]	○	×	×	注2, 注4
[CTリスト]画面		[ポリシーコピー]		○	▲	×
		[ポリシー貼り付け]		○	▲	×
		[CT削除]		○	▲	×	注5
		[リモート資料採取]		○	×	×
		[CTデバッグトレース]		○	○	×
[ポリシー一覧]画面		[CTグループポリシー設定]		○	▲	×
		[CTポリシー設定]		○	▲	×
		[ポリシー最新表示]		○	▲	×
		[次回起動時に反映する]		○	▲	×
		[即時更新を行う]		○	▲	×
ドラッグ＆ドロップ操作		[CTグループの移動]		○	▲	×	注5
ドラッグ＆ドロップ操作		[CTの移動]		○	▲	×	注5

凡例: ○=機能制限なし、×=使用不可、▲=部門管理者の管理範囲で使用可能
注1: CSVファイルの取り込み権が必要です。
注2: CSVファイル保存権が必要です。
注3: Active Directory連携時、サーバ表示は常に表示される設定にしてください。(変更不可)
注4: Active Directory連携時は、使用できません。
注5: Active Directory連携時は、Localグループ内のみ使用可能です。
注6: USBデバイス登録/更新/削除権が必要です。

【ユーザーポリシー画面】

区分		機能	システム管理者	部門管理者	備考
メニューバー	[ファイル]	[ユーザー/ユーザーグループ検索]	○	▲
		[ユーザーグループ作成]	○	▲	注3
		[ユーザーグループ削除]	○	▲	注3
		[ユーザーグループ部門管理者設定]	○	×
		[ユーザーグループ部門管理者情報CSV取り込み]	○	×	注1, 注3
		[ユーザーグループ部門管理者情報CSV出力]	○	×	注2
	[ツリー設定]	[ツリー最新表示]	○	○
		[ツリー全展開]	○	○
		[ツリー全縮小]	○	○
		[空のグループは表示しない]	○	○
		[ユーザーグループ構成反映]	○	○
	[CSV連携]	[ユーザー情報CSV取り込み]	○	▲	注1, 注3
	[CSV連携]	[ユーザー情報CSV出力]	○	▲	注2
[ユーザー一覧]画面		[ポリシーコピー]	○	▲
		[ポリシー貼り付け]	○	▲
		[ユーザー削除]	○	▲	注3
[ユーザー属性]画面		[新しいユーザーの入力]	○	▲	注3
[ユーザー属性]画面		[ユーザー情報更新]	○	▲	AD連携項目は変更不可
[ユーザーポリシー一覧]画面		[グループポリシーを適用]	○	▲
		[ユーザーポリシー非適用]	○	▲
		[端末初期設定値を設定]	○	▲
ドラッグ＆ドロップ操作		[ユーザーグループの移動]	○	▲	注3
ドラッグ＆ドロップ操作		[ユーザーの移動]	○	▲	注3

凡例: ○=機能制限なし、×=使用不可、▲=部門管理者の管理範囲で使用可能
注1: CSVファイルの取り込み権が必要です。
注2: CSVファイル保存権が必要です。
注3: Active Directory連携時は、Localグループ内のみ使用可能です。

ログビューアでの機能の差異

ログビューアでのシステム管理者と部門管理者の機能の差異について説明します。

区分	機能		システム管理者	部門管理者	備考
データベース	運用データベース		○	▲
データベース	ログ閲覧データベース		○	▲
[CT操作ログ]/[ユーザー操作ログ]/[設定変更ログ] 注3	部門選択		○	▲
	最新表示		○	○
	検索条件		○	▲
	ログ一覧		○	▲
	表示項目設定	表示項目設定	○	▲
		部門表示設定	○	×
		違反CT表示設定	○	▲
	CT/CTグループ検索		○	▲
	CSV出力		○	▲	注2
[CT操作ログ]画面	問題PC一覧		○	▲
	ファイル追跡		○	▲
	付帯情報参照/保存		○	▲	注1、注4

凡例: ○=機能制限なし、×=使用不可、▲=部門管理者の管理範囲で使用可能
注1=[付帯]情報参照時や[ファイル保存]実行時は、“付帯情報参照/保存権”が必要です。
注2=“CSVファイル保存権”が必要です。

注3=[設定変更ログ]画面参照時は、“設定変更ログ画面参照権”が必要です。
注4=[付帯]情報でメール送信内容参照時は、“メール内容参照権”が必要です。

状況画面での機能の差異

状況画面でのシステム管理者と部門管理者の機能の差異について説明します。

区分	機能	システム管理者	部門管理者	備考
状況画面	状況画面の参照	○	▲
環境設定画面	集計条件の設定	○	×

凡例: ○=機能制限なし、×=使用不可、▲=部門管理者の管理範囲で使用可能

ログアナライザでの機能の差異

ログアナライザでのシステム管理者と部門管理者の機能の差異について説明します。

区分	機能	システム管理者	部門管理者	備考
[情報漏洩予防診断]画面	情報漏洩予防診断	○	×	注
	ランキング	○	×	注
	グラフ表示	○	×	注
[目的別集計]画面	結果一覧(集計結果)	○	×	注
	結果一覧(詳細結果)	○	×	注
	CSVファイル	○	×	注
[ランキング設定]画面	ランキング表示の設定	○	×	注
[絞込条件設定]画面	絞込条件の登録/追加/削除	○	×	注
[除外条件設定]画面	除外条件の設定	○	×	注
[動作設定]画面	違反、エコ監査の設定	○	×	注
[サーバ設定]画面	ログアナライザサーバの選択	○	×	注

凡例: ○=機能制限なし、×=使用不可、▲=部門管理者の管理範囲で使用可能

注=3階層システムの場合は、統合管理サーバのシステム管理者だけ使用可能

レポート出力ツールでの機能の差異

レポート出力ツールでのシステム管理者と部門管理者の機能の差異について説明します。

区分	機能	システム管理者	部門管理者
[総合分析]レポート	総合分析レポートの出力	○	▲
[情報漏洩分析]レポート	情報漏洩分析レポートの出力	○	▲
[端末利用分析]レポート	端末利用分析レポートの出力	○	▲
[違反操作分析]レポート	違反操作分析レポートの出力	○	▲
[印刷量監査]レポート	印刷量監査レポートの出力	○	▲
[複合機用紙使用状況]レポート	複合機用紙使用状況レポートの出力	○	×

凡例: ○=機能制限なし、×=使用不可、▲=部門管理者の管理範囲で使用可能