はじめに
最近何かと情報セキュリティが話題になってますが、米国では、情報セキュリティの自動化とキーワードで数多くのスタートアップが生まれてきており、大きな注目を集めています。
その中でも、もっとも有望とみられているのが Vanta という SaaS なので、その Vanta についての解説を書きたいと思います。
今回は、特に権限周りの話です。
Vantaとは
Vantaは、アメリカ・サンフランシスコ発のセキュリティコンプライアンス自動化のリーディングカンパニーです。
2018年の設立以来、14,000社以上に導入され、SOC 2やISO 27001、GDPR、HIPAAなどの主要認証への対応を効率化している現在最も注目されているSaaSツールです。
Vantaの権限セットについて
Vantaの「権限セット(役割)」を、正しく使いこなせていますか?
「とりあえず全員管理者」という“あるある”な失敗は、監査指摘や運用トラブルの温床になりがちです。
この記事では、Vantaが「最初から用意している」権限セットと、それぞれの最適な使い分けを徹底解説します。 独自の権限作成を検討する前に知っておきたい、柔軟な「タスク割り当て (Collaborator (協力者)権限の活用術)」のコツもご紹介します。
その「管理画面」、全員に「管理者」権限を渡していませんか?
新しいSaaSツールを導入する際、「早くみんなに慣れてほしい」と思うあまり、IT担当チーム全員にとりあえず一番強い「管理者(Admin)」権限を付与してしまうのは、よくある失敗談です。
最初は問題なく動きますが、その「とりあえず」付与した最強権限が、後にトラブルの原因となります。
-
設定がいつの間にか変更されている
- 例:「セキュリティポリシーが緩いものに変わっていた。原因は、管理者権限を持つ誰かがテストで設定を変え、戻し忘れた。」
-
監査で指摘される
- 例:「『なぜこの部署の5人全員が管理者なんですか?』と監査人から指摘された。」
解決策: Vantaなら「最適な権限」をイチから悩まず設定できます
「管理者権限を渡しすぎるのは怖いが、細かく設定するのは面倒」というジレンマを解決するのが、Vantaの「役割 (Roles)」機能です。
担当者が「この役割の人には、どの権限が必要か?」をイチから設計する必要はありません。Vantaは、セキュリティ認証のプロとして、「この役割なら、ここまで見えれば十分」という安全かつ実用的な権限セットを最初から用意しています。
担当者はVantaが用意した「役割」を選ぶだけで、悩む時間ゼロで「最小権限の原則」に基づいた安全な運用をスタートできます。
「管理者」「編集者」「監査人」~ Vantaが用意した「権限セット」を徹底解説
Vantaの権限設定には、大きく2つのタイプがあります。
- Vantaが標準で用意した「権限セット(役割)」
- 特定の項目に対する「オブジェクトレベルの権限」
(※これらとは別に「カスタム権限」も作成可能ですが、多くは標準権限で対応できるため、本記事では標準権限に絞って解説します。)
「権限セット(役割)」は、さらに2つのグループに分類されます。
- Vanta全体に関わる権限
- トラストセンターやアンケート機能を利用できる権限
1. Vantaが標準で用意した「権限セット(役割)」
A. Vanta全体に関わる権限
-
① Employee (従業員):
- 手動またはIDP経由で登録されたユーザーにデフォルトで割り当てられる、最も基本的な権限です。
- Vantaの管理画面には一切アクセスできません。
- 許可されているのは、入社時などに割り当てられるタスク(例: セキュリティ研修、ポリシー同意)の完了だけです。
- 特定のオブジェクトやタスク(テスト、ドキュメントなど)に割り当てることはできません。
- (補足) IDPから同期された時点では全員この権限です。管理画面の操作が必要な担当者は、後から管理者が上位の役割(EditorやAdmin)に変更します。
-
② Collaborator (協力者):
- Employee (従業員)の基本的な責務(研修など)に加え、Employeeとは根本的に異なる点があります。
- Employeeとは異なり、特定のオブジェクトやタスク(テスト、ドキュメント、リスク)の「オーナー (担当者)」としてアサインされる資格があります。
- 自分がオーナーとして割り当てられたタスクには、Vantaの管理画面全体にアクセスすることなく、ピンポイントでアクセスし処理する権限が与えられます。
-
③ Admin(管理者):
- Vantaのすべてを設定・閲覧できる最強の権限です。
- Trust Centerの管理なども含め、Vantaの全機能を統括する「最高責任者」(例: IT部門リーダーやセキュリティ責任者)1~2名に限定して割り当てるべきロールです。
- IT担当者だからといって全員にこの権限を渡してはいけません。
-
④ Editor (編集者):
- 「日々の運用担当者」に最適な、IT部門の"標準"ロールです。
- Admin(管理者)とほぼ同等の操作ができますが、「機密性の高い従業員データ」や「APIトークン」、(デフォルトでは)「Trust Center」の管理権限など、特にデリケートな情報にはアクセスできません。
- IT担当者チームのほとんどのメンバーには、Adminではなく、まずこのEditor権限を付与するのが安全運用のコツです。
-
⑤ Auditor (監査人):
- 「監査人専用」の権限です。
- 監査人が必要な証拠(エビデンス)をVantaから直接ダウンロードできるように設計されています。これにより、メールやExcelでの証拠のやり取りが激減します。
-
⑥ View-only Admin (閲覧のみ管理者):
- 「見るだけ」の権限で、設定は一切変更できません。
- 経営陣や他部門のマネージャーにセキュリティの進捗状況を共有するのに便利です。
B. トラストセンターやアンケートへの回答機能を利用できる権限
このグループの役割は、Aグループの「Employee (従業員)」が持つ基本責務をベースに、「Trust Center」や「AI質問票回答」機能に特化した権限が追加されたものです。
-
Trust Admin (トラスト管理者):
- Employeeの機能に加え、「Trust Center」および「AI質問票回答」機能に関するすべての「管理」権限(ナレッジベースの編集・承認、公開設定など)が可能です。
-
Trust Collaborator (トラスト協力者):
- Employeeの機能に加え、「Trust Center」の共有や「AI質問票回答」機能の「実行(利用)」が可能です。
- (※ Trust Adminが持つ「管理」権限(ナレッジベースの編集・承認など)は含まれません。)
2. 特定の項目に対する「オブジェクトレベルの権限」
これは、特定のタスクや項目(オブジェクト)単位でアクセス権を管理する仕組みです。
例えば、「開発エンジニアに、Vanta全体(人事情報など)は見せたくないが、担当機能に関する『リスク評価』の作業だけを依頼したい」といったニーズに応えられます。
このニーズは、カスタム権限を作成しなくても、「② Collaborator (協力者)」権限と「オブジェクトレベルのアクセス管理(タスクの割り当て)」を組み合わせることで解決できます。
(例) 開発エンジニアに「特定のテスト項目」だけを割り当てる方法
-
役割(権限セット)の設定:
- 対象エンジニアの役割を「② Collaborator (協力者)」に設定します。(※ Employeeのままではタスクを割り当てられません)
-
タスク (オブジェクト)の割り当て:
- AdminやEditorが、「リスク管理台帳」などに項目(例: 「XX機能におけるSQLインジェクションのリスク」)を登録し、その担当(オーナー)として対象のエンジニアをアサインします。
-
(結果)
- このエンジニアは「Collaborator (協力者)」なので、Vantaの管理画面(人事情報や他部署の項目)は一切見えません。
- ログインすると、自分が担当する「XX機能におけるSQLインジェクションのリスク」の項目だけがピンポイントで表示されます。
- エンジニアは、そのリスクに対する対応策や進捗状況をVantaに直接記述・更新できます。
このように、Vantaはまず標準の「権限セット」と「オブジェクトレベルの権限」を組み合わせることで、多くの運用ニーズに柔軟かつ安全に対応できるよう設計されています。
Vantaの用意した権限セット(役割)を使う「3つの大きなメリット」
Vantaの権限セットを活用することで、担当者は「作業の手間」と「セキュリティの不安」を同時に減らせます。
メリット1: 悩む時間ゼロ (=設定が"楽")
最大のメリットは、担当者が権限設計で悩む時間をゼロにできることです。本来必要な「この役割にはどの画面を見せるか?」といった設計作業が一切不要になります。
「IT担当者ならEditor」「経営陣ならView-only Admin」といった具合に、セキュリティのプロが考え抜いた「安全かつ実用的」な役割を選ぶだけです。
メリット2: セキュリティ的に"安全" (最小権限の原則を実践できる)
「最小権限の原則」とは、「その人が仕事をする上で、本当に必要な最低限の権限だけを与える」という考え方です。
もし全員が「マスターキー(管理者権限)」を持っていたら、以下の問題が起こりやすくなります。
-
「うっかりミス」の影響が甚大になる
- 管理者権限を持つ人が増えると、「設定をテストで変えて戻し忘れた」「重要なデータを消してしまった」といったヒューマンエラーがシステム全体に影響を与える可能性が高まります。
-
「万が一の被害」が致命的になる
- 誰か一人のアカウントが流出した場合、その人が管理者権限を持っていたら、攻撃者はシステム全体を乗っ取り、すべての機密情報を盗み出せてしまいます。
Vantaの権限セットは、「Editor権限なら日々の運用はできるが、機密データには触れない」というように、最適な「最小権限セット」を自動的に適用してくれます。担当者は役割を選ぶだけで、自然とセキュリティのベストプラクティスを実践できます。
メリット3: 監査対応がスムーズ
特に威力を発揮するのが「Auditor (監査人)」権限です。
従来の監査では、「○○の証拠をください」と依頼され、担当者がスクリーンショットなどを集めてメールで送る、という面倒な作業が発生していました。
Vantaの場合、監査人にこの「Auditor (監査人)」権限を渡すだけです。監査人はシステム設定を一切変更できず、監査に必要な証拠の「閲覧・ダウンロード」だけが許可されています。監査人は自分でVantaにログインし、必要な証拠を安全に確認できるため、担当者の「証拠集め」の作業負担が劇的に軽減されます。
まとめ
Vantaは、セキュリティ監査の自動化だけでなく、日々の運用そのものもシンプルにするツールです。
「権限セット」機能は役割分担を明確にし、操作ミスを防ぎます。また「監査人権限」を使えば、監査のたびに担当者が証拠集めに奔走する必要もありません。Vantaは担当者を煩雑な作業から解放し、「安全な状態」を効率的に維持します。
Vantaをご利用中の方は、ぜひ「Settings (設定) > Users & Permissions (ユーザーと権限)」を開き、メンバーの権限が「Admin」だらけになっていないか確認してみてください。適切な権限設定は、セキュリティを強化し、操作ミスを防ぐ第一歩です。
さいごに
TrustNowでは、Vantaの製品販売と導入支援を行っております。
ご興味がありましたら、ぜひご連絡ください。
あわせて、Vanta製品のナレッジに関するブログもこちらで公開しております。