ユーザ、ロール、およびそれらの権限の管理

Email Security は Check Point Portal でホストされており、これは Check Point's security SaaS services をホストする Web ベースのインタフェースです。したがって、Email Security(またはその他の Check Point サービス)にアクセスできる管理者は、Check Point Portal でグローバルに管理されます。

Email Security(またはその他の Check Point ソリューション)を使用して保護されるすべてのユーザおよびユーザ グループは、次でグローバルに管理されますCheck Point Portal.

ユーザ、ユーザ グループ、認証、およびシングル サインオンの管理についての詳細は、Check Point Portal Administration Guideを参照してください。

ロールと権限

各 Check Point Portal ユーザには、2 種類のロールが割り当てられます。

  • Global Role– Check Point Portal 内のすべてのアプリケーションに対するデフォルト ロール。

  • Specific Service Role– サービス固有のロール。これらのロールはグローバル ロールに追加されるものであり、それらを上書きするものではありません。(たとえば、Email Security のみに適用されます)。

- Admin Global Role が割り当てられているユーザのみが、ユーザの追加、ユーザの削除、およびその権限の変更を行えます。

ロールについての詳細は、Check Point Portal Administration Guideを参照してください。

特定のサービス ロール

Email Security には、すぐに使用できる 3 つの Service Specific Roles があります。-AdminHelp Desk、および Read-Only - また、管理者は自社の最小権限ポリシーをサポートするためにカスタム ロールを作成できます。

変更された権限についての詳細は、次を参照してください変更される権限.

標準で提供される特定サービス向けロール:

ロール

SaaSアプリケーション

SaaSアプリケーションおよびセキュリティエンジン

ポリシー ルール

カスタムクエリ

イベント、隔離、および例外

重要データ *

Admin

表示、および接続または切断が可能です

表示および設定が可能です

表示および設定が可能です

表示、編集、およびアクションの実行が可能です

表示、編集、およびアクションの実行が可能です

表示できません(明示的な権限が必要です)

読み取り専用

表示できません

表示できません

表示できません

表示のみ

表示のみ

表示できません(明示的な権限が必要です)

ヘルプデスク

表示できません

表示できません

表示できません

表示および編集が可能です(アクションは不可)

表示およびアクションの実行が可能です

表示できません(明示的な権限が必要です)

カスタムの特定サービス向けロール

Email Securityでは、管理者がカスタムロールを作成できるため、異なる部門や個人が、会社のポリシーに従って許可されたアクションのみを表示および実行できます。

カスタムロールの作成と編集

新しいカスタムロールを作成するには:

  1. にログインし、Check Point PortalEmail Security Administrator Portalにアクセスします。

  2. System Settings >Roles にアクセス。

  3. Add New Role をクリックするか、既存のロールを選択して複製します。

  4. Nameフィールドに、希望する名前を入力します。

  5. Description フィールドに、ロールの説明を入力します。

  6. Permissionsセクションで、ロールに必要な権限を選択します。参照: カスタムロール – 設定可能な権限.

  7. Saveをクリックします。

カスタムロールを編集するには:

1. System Settings > Roles に移動します。

2. 編集する既存のロールを選択し、三点メニューをクリックします。

3. 表示される View Role ページで、必要なフィールドと権限を変更します。参照: カスタムロール – 設定可能な権限.

4. Save をクリックします。

カスタムロール – 設定可能な権限

Email Securityでは、さまざまなインタフェースページへのアクセス権限を定義し、通知や重要データなどの追加機能へのアクセスを管理することで、カスタムロールを作成できます。

インタフェースページの権限

Email Securityでは、次のオプションを使用してカスタムロールを定義する際に、さまざまなインタフェースページのアクセスレベルを設定できます:

  1. Hidden– ユーザがページを表示できるようにします。

  2. View– ユーザはページの表示とデータのエクスポートのみ可能で、イベント、メール、ファイルなどに対するアクションは実行できません。

  3. View and Actions– ユーザがページ内で利用可能なすべてのアクションを実行できるようにします。

- 一部のアクションは複数のインタフェースページから利用できます。例:

  • ユーザは、User Interaction > Phishing ReportsEvents ページの両方からメールを隔離できます。

  • ユーザが View > User InteractionPhishing Reports 権限しか持っていない場合、そのページからメールを隔離することはできません。

  • ユーザが View and Actions ページに対する Events 権限を持っている場合、そのページからメールを隔離できます。

インタフェースの以下のセクションに対するユーザアクセスを設定できます。

インタフェースページ

説明

利用可能な設定

概要

概要ページへのアクセス

非表示、表示、表示とアクション

イベント

イベントページへのアクセス

非表示、表示、表示とアクション

エンティティページ

個々のメール、ファイル、添付ファイル、メッセージ、ユーザなどの詳細を含む、エンティティページへのアクセス

  • 非表示

  • 検知がある場合のみ表示(システムがエンティティを悪意のあるものまたは DLP 漏えいとして検知した場合にのみ、ユーザは重要データを表示できます)

  • 検知がない場合も表示

 

重要データ

メール本文、メールの EML ファイルとしてのダウンロード、共有ファイル、送信済みメッセージ、および DLP 違反としてフラグ付けされたメール、ファイル、またはメッセージ内の文字列の表示を含む、重要データへのアクセス

Mail Explorer と Custom Queries

Mail Explorer ページおよび Custom Queries へのアクセス

非表示、表示、表示とアクション

ユーザインタラクション

ダッシュボード

ダッシュボードページへのアクセス

非表示、表示、表示とアクション

復元リクエスト

復元リクエストページへのアクセス

非表示、表示、表示とアクション

フィッシングレポート

フィッシングレポートページへのアクセス

非表示、表示、表示とアクション

隔離済みアイテム

隔離済みアイテムページへのアクセス

非表示、表示、表示とアクション

変更された添付ファイル

変更された添付ファイルページへのアクセス

非表示、表示、表示とアクション

Smart Banners

Smart Banners ページへのアクセス

非表示、表示、表示とアクション

分析

ダッシュボード

ダッシュボードページへのアクセス

非表示、表示、表示とアクション

Partner Risk

Partner Risk ページへのアクセス

非表示、表示、表示とアクション

シャドーIT

シャドーIT ページへのアクセス

非表示、表示、表示とアクション

セキュリティ診断

セキュリティ診断ページへのアクセス

非表示、表示、表示とアクション

Report Scheduler

Report Scheduler ページへのアクセス

非表示、表示、表示とアクション

サマリ レポート

サマリ レポートページへのアクセス

非表示、表示、表示とアクション

定期レポート

定期レポートページへのアクセス

非表示、表示、表示とアクション

セキュリティトレーニング

ダッシュボード

ダッシュボードページへのアクセス

  • 非表示

  • 表示

  • 表示とエクスポート

  • 表示、エクスポート、インポート

ポリシー

ポリシーページへのアクセス

  • 非表示

  • 表示

  • 表示とエクスポート

  • 表示、エクスポート、インポート

DMARC

DMARCページへのアクセス

非表示、表示、表示とアクション

ポリシー

ポリシーページへのアクセス

非表示、表示、表示とアクション

セキュリティ設定

SaaSアプリケーション

SaaSアプリケーションページへのアクセス

非表示、表示、表示とアクション

セキュリティエンジン

セキュリティエンジンページへのアクセス

非表示、表示、表示とアクション

DLP データタイプ

DLP データタイプページへのアクセス

非表示、表示、表示とアクション

セキュリティ例外

セキュリティ例外ページへのアクセス

非表示、表示、表示とアクション

ユーザインタラクション設定

ユーザインタラクション設定ページへのアクセス

非表示、表示、表示とアクション

システム設定

ロール

ロールページへのアクセス

非表示、表示、表示とアクション

その他 – システム設定配下のその他すべてのページ

システム設定セクション内のその他すべてのページへのアクセス

非表示、表示、表示とアクション

通知設定の権限

Email Securityでは、カスタムロールの定義時に、Notificationsセクションで以下の設定を構成できます。

権限

説明

利用可能な設定

概要

ユーザはシステムから通知を受信します。

  • 受信

  • 受信しない

イベント

ユーザはシステムからアラートを受信します。

- このロールが適用されている場合でも、ポリシーでSend alerts to adminsが選択されている場合にのみ、ユーザはセキュリティイベントのメールアラートを受信します

  • 受信

  • 受信しない

Checkup レポート

ユーザは、スケジュールされた Security Checkup レポートを受信します。

  • 受信

  • 受信しない

ユーザおよびグループへのロールの割り当て

Email Security では、カスタム ロールを含むGlobal RoleSpecific Service Rolesを、個々のユーザ、カスタム グループ、または Active Directory、Entra ID、その他の IDP グループ内のグループに割り当てることができます。

詳しくは Check Point Portal Administration Guideを参照してください。

複数の割り当て済みロール間の競合

各ユーザまたはユーザ グループには、複数のグローバル ロールと複数のサービス固有ロール(既定またはカスタム)を割り当てることができます。

この場合、Email Security 内では、ユーザには割り当てられたすべてのロールの中で最も高いレベルの権限が付与されます。

例 1: ユーザは Check Point Portal でRead-Onlyグローバル ロールを持ち、Email Security 専用にAdminロールが割り当てられています。これにより、そのユーザは Email Security サービスを担当する管理者になることができ、一方で他のサービスに対してはRead-Onlyアクセス権のみを持ちます。

例 2: ユーザは Check Point Portal でAdminグローバル ロールを持ち、Email Security 専用にRead-Onlyロールが割り当てられています。その場合、ユーザは Email Security でAdminロールの権限を取得します。

Example 3: ユーザには、2 つのカスタム サービス固有ロールCustom Role 1Custom Role 2が割り当てられています。Custom Role 1Eventsページでの操作の実行が許可され、Custom Role 2Eventsページが非表示になる場合、ユーザは Eventsページを表示でき、そのページで操作を実行できます。

既存のお客様向けに利用可能な追加のカスタム ロール

カスタム サービス固有ロールは 2025 年 5 月に導入されました。2025 年 5 月以前は、管理者は、一部の権限を別の方法では変更できない場合にそれらを変更することだけを目的とした、追加の既定のサービス固有ロールを割り当てることができました。

権限

説明

変更される権限

週次レポートの受信を無効化

ユーザは Security Checkup レポートを受信しません。

アラートを受信

このロールを持つユーザにメール アラートを送信します。

- このロールが適用されている場合でも、ポリシーでSend alerts to adminsが選択されている場合にのみ、ユーザはセキュリティ イベントのメール アラートを受信します。

脅威が検出された場合のみ機密データを表示

脅威を含むとフラグ付けされたメール/ファイル/メッセージに対してのみ、ユーザが機密データ*にアクセスできるようにします。

ポリシーを見る

ユーザがポリシー ルールを表示できるようにし、ルールの編集は許可しません。

ポリシーの表示と編集

ユーザがポリシー ルールを表示、作成、および編集できるようにします。

すべての機密データを表示

ユーザが機密データ*にアクセスできるようにします。

何も割り当てられていない場合

デフォルトでは、ロールに関係なく、すべてのユーザには次の権限があります。

  • 機密データへのアクセスなし

  • アラートを受信しません

  • Security Checkup レポートを受信

* 機密データには、メール本文、メールを EML ファイルとしてダウンロードする機能、共有ファイルおよび送信メッセージをダウンロードする機能、ならびに DLP 違反として検出されたメール/ファイル/メッセージから文字列を表示する機能が含まれます。

カスタム ロール機能がリリースされると、いずれかのユーザがこれらの変更済み権限の 1 つを持っている場合、システムはそのユーザ用のカスタム ロールを自動的に作成して割り当てます。その結果、Rolesページで作成していなくても、システム内に次の定義済みカスタム ロールが表示される場合があります。

  • 検出ありのみ表示

  • 検出なしでも表示

  • アラート

  • Checkup レポート

  • ポリシーの表示と編集

  • ポリシーを見る

たとえば、ユーザに 2025 年 5 月より前にReceive Alertsサービス固有ロールが割り当てられていた場合、Alertsカスタム ロールが自動的に作成され、そのユーザに割り当てられました。

これらのロールが不要であれば削除できます。ただし、削除する前に、システム内の他のロールがすべてのユーザに必要な権限を提供していることを確認してください。