タグベースのユーザスコープ設定

タグベースのユーザスコープ設定（TBUS）を使用すると、アセットグループやビジネスユニットなど、IP ベースの方法ではないアセットタグを利用して、ユーザのアセットアクセスのスコープを設定できます。

この機能により、ユーザのアセットアクセスのスコープ設定が大幅に柔軟になり、特定の使用例（予測できない IP アドレスを持つエージェントのローミングなど）に対応できます。現在、この新モデルは、レポーティングおよびアセット検索のアセットアクセスに対応しています。今後のリリースでは、スキャンのアセットアクセスにも対応する予定です。

これを有効にすると、タグベースのユーザスコープ設定が VM/VMDR、PC、および SCA でサポートされます。 

考慮すべき事項

- マネージャが各ユーザにタグセットを割り当てて、ユーザのスコープを定義します。これには、ビジネスユニットタグ、アセットグループタグ、静的タグ、動的タグ、エージェントアクティブ化キータグなど、あらゆるタイプのタグが含まれます。ユーザの最終的なスコープは、割り当てられたすべてのタグの統合として作成されます。

- 動的タグは、慎重に管理する必要があります。タグのスコープを不適切に設定すると、ユーザが自身の対象スコープ以外のアセットを表示できる可能性があるためです。アセットグループタグ、ビジネスユニットタグ、エージェントアクティブ化キータグを組み合わせて使用することをお勧めします。

- アセットグループの場合のような自動プロパゲーションはありません。アセットアクセスは、すべてタグを通じて管理されます。ユーザが閲覧できるアクセス権を持つ IP スコープは、そのユーザのスコープに IP 範囲タグとして追加される必要があります（アセットグループタグおよびビジネスユニットタグは IP 範囲タグであるため、この場合に使用できます）。

- 既存のアセットグループモデルと新しいアセットタグモデルはどちらも使用可能です。これらは各々独立して機能します。ユーザのスコープを定義する場合、どちらでも使用できます。ユーザがアセットの割り当てをアセットグループとアセットタグの両方を通じて行った場合、レポート生成などの操作を行うときに両方のオプションを使用できます。 

タグベースのユーザスコープ設定の有効化が必須

テクニカルアカウントマネージャに連絡して、サブスクリプションのタグベースのユーザスコープ設定をリクエストしてください。現在、次のオプションを使用できます。

Include all assets from tags in all operations, except scan launch

スキャンでは、スキャンされる IP はライセンスコンテナ（VM/PC の場合）およびユーザの「All」グループ内にある必要があります。すなわち、ユーザがアセットグループまたはビジネスユニットの割り当てを通じて IP を使用する必要があるということです。スキャンを開始するユーザが IP を使用できない場合、この IP は無視されます。 

レポートでは、タグが「All」グループ内にない IP アドレスに解決された場合でも、スコープ内のあらゆるアセットタグについてレポートすることができます。すなわち、ユーザは、アセットグループまたはビジネスユニットを通じて割り当てられていない IP についてレポートすることができます。 

アセットタグをユーザに割り当てる方法

アセットタグは、Administration ユーティリティからマネージャがユーザに割り当てることができます。モジュールピッカーから「Administration」を選択します。「ユーザ管理」タブで、対象のユーザを特定し、「クイックアクション」メニューから「スコープにタグを追加」を選択します。ユーザに割り当てる新しいタグを選択し、「保存」をクリックします。

また、タグを追加する前にユーザにすでに割り当てられているタグを表示する場合は、「クイックアクション」メニューから「編集」を選択します。「ロールとスコープ」タブを選択すると、割り当てられたタグが「スコープを編集」に表示されます。ここで、タグを追加/削除して、ユーザのスコープを定義できます。 

「スコープを編集」項には次のオプションが表示されます。

「選択」 – ユーザに割り当てるタグを選択します。

「作成」 – 新しいタグを作成し、ユーザに割り当てます。

「すべて削除」 – ユーザにすでに割り当てられているすべてのタグを削除します。 

ユーザにアセットグループも割り当てる必要がある場合

ユーザがスキャンを実行する必要がある場合にのみ必要となります。今後のリリースで、スキャンでタグベースのユーザスコープ設定がサポートされるようになると、ユーザはアセットタグのみを割り当てるだけでよくなり、アセットグループを割り当てる必要がなくなります。 

マネージャにはサブスクリプション内のすべてのアセットへのアクセス権があり、監査者には PC 内のすべてのアセットへのアクセス権があり、ユニットマネージャには自身に割り当てられたビジネスユニット内のすべてのアセットへのアクセス権があります。

アセットタグに関するレポートの生成方法

レポート生成の手順は、タグベースのユーザスコープ設定が有効であるかどうかにかかわらず同じです。「Reports」を選択し、「New」メニューから生成するレポートのタイプを選択します。次に、レポートソースに含めるアセットタグを選択します。 

アセットタグは、レポート生成時に IP アドレスに解決されます。タグベースのユーザスコープ設定が有効の場合、ユーザのタグベースのスコープと一致するすべての解決された IP アドレスがレポートに含まれます。タグベースのユーザスコープ設定が有効でない場合、ユーザの割り当てられたアセットグループ/ビジネスユニットと一致する解決された IP アドレスのみがレポートに含まれます。 

例 1:

ユーザに次のアセットが割り当てられた場合を見ていきます。

AG1（10.10.10.10-10.10.10.15） – アセットグループが割り当てられている

Tag1（10.10.10.10-10.10.10.15） – ユーザスコープ内にタグが割り当てられている

Tag2（10.10.10.20-10.10.10.30） – ユーザスコープ内にタグが割り当てられている

上記の割り当てで決定したユーザスコープ:

タグベースのユーザスコープ設定が有効でなく、ユーザが Tag2 でレポートを実行した場合、レポートは割り当てられた IP アドレスに解決されません。「Empty report targets/assets resolved from the tags」というエラーが表示され、レポートは生成されません。IP が AG1 を通じてユーザに割り当てられている IP に解決されるため、Tag1 のレポートは生成されます。 

タグベースのユーザスコープ設定が有効で、ユーザが Tag2 のレポートを実行した場合、これらの IP は AG1 を通じてユーザに割り当てられていないにもかかわらず、レポートは実行され、IP 10.10.10.20-10.10.10.30 はレポートに含まれます。Tag1 と AG1 はユーザのアセットスコープ内にあるため、レポートを生成できます。 

例 2:

以下の例では、ユーザに AG1 と Tag2 が割り当てられています。ユーザのスコープに Tag1 は割り当てられていません。 

AG1（10.10.10.10-10.10.10.15） – アセットグループが割り当てられている

Tag1（10.10.10.10-10.10.10.15） – ユーザに割り当てられていない

Tag2（10.10.10.15-10.10.10.30） – ユーザスコープ内にタグが割り当てられている

上記の割り当てで決定したユーザスコープ:

タグベースのユーザスコープ設定が有効で、ユーザが Tag1 のレポートを実行した場合、ユーザにはアセットグループ AG1 を通じて同じアセットのセットが割り当てられているにもかかわらず、レポートは生成されません。ユーザがレポート対象としてユーザスコープ内にないタグを選択したため、レポートは実行されません。レポート対象としてアセットグループ AG1 を指定すると、レポートを実行できます。Tag2 はユーザのアセットスコープ内にあるため、問題なくレポートを生成できます。  

レポートに関する注意事項

- タグベースのユーザスコープ設定は、STIG ベースのレポートおよびコンプライアンス状態情報 API（/api/2.0/fo/compliance/posture/info/）ではまだサポートされていません。このレポート/API 出力には、ユーザのタグベースのスコープに一致するアセットの状態情報は表示されません。 

- アセットタグに関する対話形式レポートまたはスコアカードレポートを（PC/SCA から）実行すると、レポートには、ユーザのタグベースのスコープに一致するアセットとユーザの割り当てられたアセットグループ/ビジネスユニットに一致するアセットの統合が表示されます。 

- サブスクリプションで PC と SCA の両方が有効で、サブユーザがアセットタグに関する対話形式レポートまたはスコアカードレポートを（PC/SCA から）実行した場合、レポートには PC および SCA のアセットが表示されます。