Skip to Content

【パートナー寄稿】「Tableau 管理 虎の巻 セキュリティ対策編」効果的・効率的な方法、教えます(後編)

「Tableau 管理 虎の巻」では、「Tableau」 を導入したものの運用の仕方でお悩みを抱えているユーザーの皆様へ、解決の一助になるような情報を発信しています。第1回と第2回ではライセンス管理を解説しましたが、前回と今回のテーマはセキュリティ。今回は「Tableau」 におけるセキュリティ対策の実践を紹介します。

Tableau Pulse & Agent 体験会

Tableauは生成AIの機能を拡充し、より多くの人がデータを活用できるように進化しました。本動画では、進化を遂げたTableauの生成AI機能を操作し、データのインサイトをより簡単に、より深く引き出す方法を学べます。

コンテンツ管理の実践

前回の記事で、コンテンツ管理を支える基本的な仕組みや関係性、管理のためのポイントをご理解いただけたと思います。今回の記事では、ヘルプドキュメント「クイックスタート」の記載内容を追いながら、実際のコンテンツ管理の流れをご説明します。

参考:クイック スタート: パーミッションの設定

a) ユーザーをグループに追加する

ユーザー作成からグループへのユーザー追加までを行います。まずはユーザーやグループを作成できる以下のサイトロールを持つユーザーで 「Tableau Server/Cloud」 のサイトへログインします。

・サーバー管理者 Creator(Tableau Server のみ)
・サイト管理者 Creator
・サーバー管理者 Explorer (Tableau Server のみ)
・サイト管理者 Explorer

※サーバー管理者は全てのサイトに対するユーザーが作成でき(サーバーレベルでユーザー作成可)、作成後に各サイトにユーザーを追加します。その方法は割愛しますが、「1.コンテンツ管理の全体像/ユーザー」の項が参考になります。サイト管理者は、管理者となっているサイトのユーザーしか作成できません。

次に左ペインの[ユーザー] > [ユーザーの追加] より、ユーザー作成方法を選択します。

参考:Tableau Server on Windows ヘルプ – Tableau Server へのユーザーの追加
参考:Tableau Server on Windows ヘルプ – サイトへのユーザーの追加
参考:Tableau Cloud ヘルプ – サイトへのユーザーの追加

ここでは、[新しいユーザーを作成] から「test_user」というユーザーを作成します。必要事項を入力し、[ユーザーを作成] をクリックします。

サイト内でグループを作成します。左ペインの[グループ] > [グループの追加] よりグループ作成方法を選択します。

参考:Tableau Server on Windows ヘルプ – ローカル グループの作成
参考:Tableau Server on Windows ヘルプ – Active Directory 経由でのグループの作成
参考:Tableau Cloud ヘルプ – グループを作成してユーザーを追加する
参考:Tableau Cloud ヘルプ – ユーザーのインポート

ここでは、「test_group」というグループを作成します。必要事項を入力し、[追加] をクリックします。

最後に、作成したグループにユーザーを追加します。左ペインの[ユーザー] からユーザーの一覧を表示し、グループに追加するユーザーを選択して、[アクション] > [グループ メンバーシップ] を選択します。

ここでは、test_user を test_group に追加します。

グループを選択し、[保存] をクリックします。

参考:Tableau Server on Windows ヘルプ – グループへのユーザーの追加
参考:Tableau Cloud ヘルプ – グループを作成してユーザーを追加する

b) プロジェクトレベルのパーミッション設定にアクセスする

パーミッションを設定したいコンテンツを保管しているプロジェクトにアクセスします。左ペインの[探索] からプロジェクトの一覧を表示し、以下どちらかのやり方でパーミッションを設定するプロジェクトに移動します。

[すべてのプロジェクト] から対象のプロジェクトにアクセス

 

対象のプロジェクトにアクセスした後、[アクション] (…) メニューを開いて [パーミッション] を選択します。


c) パーミッション ルールを作成する

コンテンツに対してパーミッション ルールを作成します。この操作は、以下のユーザーが実施可能です。

・a) に記載したサイトロール(サーバー管理者 Creator、サイト管理者 Creator、サーバー管理者、サイト管理者 Explorer)
・コンテンツの所有者
・パーミッションの設定機能の権限を付与されており、サイトロールでそれが禁止されていないユーザー

[+グループ/ユーザー ルールの追加] を選択し、任意のユーザーやグループを選択します。

ここでは、 test_group を選択します。

コンテンツタイプ(プロジェクト、ワークブック、データソース、フロー、仮想接続など)を選択後、各機能(アイコン)の□部分をクリックして設定を施して、 [保存] をクリックします。

設定は [許可]、[拒否]、[未指定] から選択でき、拒否は許可より優先され、未指定の場合は他にパーミッションが指定されていない場合に拒否と同じ扱いとなります。なお、各権限は明示的に許可されたユーザーにのみ付与されます。

ここでは test_project に含まれるワークブックに対する権限設定を行います。

※パーミッションルールのテンプレートについて

パーミッションは、さまざまな操作に対して許可・拒否が指定できるため、ルールを一から考えるのが難しい、時間がかかるといった場合もあります。

これに対して、「Tableau」 では推奨される権限をテンプレート化した「パーミッションルール」が用意されています。 [テンプレート] ドロップダウンからアクセスでき、選択すると自動で権限の設定が施されます。

例えば、コンテンツタイプがワークブックの時に「ビュー」を選択すると、以下のような設定となります。

テンプレートで権限を設定後、各機能(アイコン)の□部分をクリックしてルールをカスタマイズすることもできます。各アイコンの詳細とテンプレートについては下記ドキュメントをご確認ください。

参考:Tableau Server on Windows ヘルプ – パーミッションの機能とテンプレート
参考:Tableau Cloud ヘルプ – パーミッションの機能とテンプレート

パーミッションルールは、他のアクセス制御の仕組みと競合する場合があります。各設定の優先順(評価順)に関しては、「権限設定の注意点とコンテンツ管理のまとめ」の項も参照ください。

d) ユーザーの有効なパーミッションを表示する

グループのパーミッションルールを保存したら、各ユーザーの有効なパーミッション(コンテンツに対して利用できる操作)を表示することができます。

画面上部の「パーミッションルール」でグループ名をクリックすると、画面下部の「有効なパーミッション」にグループに所属するユーザーとそのパーミッションが表示されます。

権限ボックスの上にマウスのポインタを置くと、その権限の許可/拒否に関するツールヒントを確認できます。

なお、ユーザーの利用できる操作を決定する要因は、サイトロール、パーミッションルール以外に、以下の役割の有無も関係します。

・コンテンツ所有者:コンテンツを作成したユーザー
・プロジェクトリーダー:プロジェクトを作成したユーザー

両者は各アセットの生成者のため優位な権限が与えられており、彼らがパブリッシュしたコンテンツに対して常にフルアクセス権を持ちます。

権限設定に関してもある程度優位な権限を持ち、具体的には親プロジェクトのパーミッションがロックされていない場合に限り、所有者はパブリッシュされたコンテンツのパーミッションを変更することができます。ロックされている場合は、親プロジェクトの設定を引き継ぐため、状況次第で設定はできません。

権限設定の注意点とコンテンツ管理のまとめ

ここまでの通り、コンテンツへのアクセス制御にはいくつかの仕組みが働いています。そして有効なパーミッション(コンテンツに対して利用できる操作のこと)は、複数の仕組みが特定の順序で評価され、条件を満たすことで決まります。

本項では、最終的に期待した権限を利用するために必要な条件や各仕組みの評価順について解説し、コンテンツ管理のポイントをまとめます。

ユーザーが複数グループに所属している、サイトロールとパーミッションルールの設定が異なっているといったケースなどにおいて、権限の確認にお役立てください。

本項の主な参考ドキュメントは下記です。

参考:Tableau Server on Windows ヘルプ – 有効なパーミッション
参考:Tableau Cloud ヘルプ – 有効なパーミッション

設定した権限を利用できる条件

設定した権限は下記 3 つの条件をすべて満たした場合に有効になります。想定していた操作ができないユーザーがいる場合、これらを満たしているか確認してください。

  1. 利用したい操作権限がサイトロールの範囲内に含まれている。
  2. ユーザーが以下のいずれかによって該当の権限を持っている。
    ・ 特定のユーザーシナリオに基づいている(コンテンツ所有者やプロジェクトリーダーである、または管理者サイト ロールであるなど)
    ・ ユーザーとして機能が許可されている
    ・機能を許可されているグループに含まれており、ユーザーまたは別のグループのメンバーとして機能を拒否するルールがない
  3. 優先度の高い別のコンテンツレベルに競合するパーミッション設定がない。

参考:Tableau Server on Windows ヘルプ – ユーザーのサイト ロールの設定
参考:Tableau Cloud ヘルプ – ユーザーのサイト ロールの設定
参考:プロジェクトを使用したコンテンツへのアクセスの管理

有効なパーミッションと評価順

有効なパーミッションは、複数の要素が特定の順序で評価されて決まります。

評価順はヘルプページに公開されており、個々のユーザーに対してどの設定が有効になるかは、以下のパーミッションルールの評価順をたどることで分かります。こちらのフローチャートでは、ユーザーパーミッションはグループパーミッションより優先されるなど、よくある評価順が可視化されています。

複数箇所でパーミッションルールを設定した場合、どれが適用されるかは以下のルールをご参照ください。

各フローチャートはドキュメントにも詳しく解説があります。

参考:Tableau Server on Windows ヘルプ – 有効なパーミッション
参考:Tableau Cloud ヘルプ – 有効なパーミッション

その他、以下ドキュメントも参考になります。

参考:パーミッション

パーミッション管理のまとめ

ルールが多く悩むこともあるパーミッション管理ですが、以下を理解いただくことで運用がしやすくなります。

  1. パーミッションが「許可」になるための必須条件
    ・サイトロール (サーバー管理者、サイト管理者 Creator、サイト管理者 Explorer) により許可される もしくは ユーザーがコンテンツ所有者、プロジェクト所有者、またはプロジェクトリーダーであるため許可される
    ・グループルール、グループセット ルール、またはユーザールールにより許可される (かつ、優先度の高いルールにより拒否されない)
  2. パーミッションが「拒否」になる3パターン
    ・サイトロールにより拒否される
    ・ルールにより拒否される (かつ、優先度の高いルールにより許可されない)
    ・いずれのルールによっても付与されない
  3. パーミッション管理のための3つの観点
    ・ユーザーではなくグループに対してパーミッションルールを設定すること
    ・個々のコンテンツに対してパーミッションを設定するのではなく、プロジェクトレベルでロックされているパーミッションを管理すること
    ・[すべてのユーザー] グループのパーミッションルールを削除するか、すべての機能を [なし] に設定すること

参考:Tableau Server on Windows ヘルプ – 有効なパーミッション
参考:Tableau Cloud ヘルプ – 有効なパーミッション

5分で学ぶ:
データ×AIで変わるKPIの深掘り分析

AIでKPI管理を効率化!データ分析でボトルネックを特定し、業務改善とチームパフォーマンス向上を実現する方法をご紹介。

セキュリティに関するヒント

最後に、セキュリティに関するよくあるお問い合わせについて解説します。

1. ウイルス対策ソフト・セキュリティソフトの使用について

Tableau製品では、同じ環境にインストールされているウイルス対策ソフトやセキュリティソフトが Tableauの動作に関与するファイル・フォルダをランダムに排他ロックし、アクセスを妨げるケースが確認されています。

これにより、Tableau 製品の動作異常やさまざまな障害につながることが報告されているため、メーカーは製品をインストールしている環境では、ウイルス対策ソフトやセキュリティソフトの利用を控えることを推奨しています。

ただし、社内ポリシーなどによりウイルス対策ソフトなどの実行が必須とされている場合は、ソフトのチェック対象からTableau のプロセスやフォルダを除外する設定を行うという代替案が提供されています。各Tableau 製品の詳細な設定方法は、下記ドキュメントをご参照ください。

・Tableau Server の場合
参考:Improving Performance by Using Antivirus Exclusions

・Tableau Desktop/Prep の場合
参考:Processes and Folders Recommended to Put in the Allow List of Antivirus Scanning for Tableau Desktop and Prep Builder
※ドキュメントに記載のインストールディレクトリは一例です。実際の環境に合わせて適宜 読み替えください。

2. Tableau における更新方法

Tableau 製品では、バグ修正や不具合対応は単体のパッチファイルではなく、メンテナンスリリースやアップグレードを通じて提供される新しいバージョンへ更新することで行います。

なお、Tableau Server を使用している環境でOS のパッチ適用や更新を行う際は、以下の手順を実施してください。

a) Tableau Server の停止
 TSM WebUI もしくは “tsm stop”コマンドを用いて、Tableau Server を停止する。
b) OS のパッチ適用・更新
 必要なパッチや更新を適用する。
c) OS 再起動後の対応
 OS再起動をした場合は、完了後に TSM WebUI もしくは “tsm start”コマンドを使用して Tableau Server を起動する。
※tsm コマンドを使用する場合、管理者としてコマンドラインを起動してください。

※multi node 構成の場合は、Tableau Server クラスタのすべてのホストで再起動が完了していることを確認してください。

参考:Applying Windows Updates to Tableau Server
参考:Best Practices for Patching or Upgrading the OS That is Hosting Tableau Server

3. Tableau 製品の利用環境における各種ネットワーク仕様

Tableau製品は利用環境におけるネットワークの通信要件やプロキシ、ポートの仕様を定めています。

[ネットワークの通信要件]
Tableau製品をインストールしている環境がインターネットに直接アクセスできない場合、各種機能を利用するために特定のドメインへの接続許可が必要です。以下に代表的な機能と許可が必要なドメインを示しますので、利用状況に応じて構成をご検討ください。最新の情報は下記ドキュメントをご参照ください。

参考:必要なアドレス、プロキシ、ポート
参考:Tableau Server on Windows ヘルプ – インターネットとの通信
参考:Tableau Server on Linux ヘルプ – インターネットとの通信

・ワークブックやデータ ソースを Tableau Cloud にパブリッシュする
*online.tableau.com
sso.online.tableau.com

・ビューでマップを利用する
mapsconfig.tableau.com:443
api.mapbox.com:443

・製品のライセンス認証(アクティブ化)を行う
atr.licensing.tableau.com:443 および 80
licensing.tableau.com:443 および 80
register.tableau.com:443 および 80 など、計16ドメイン

※Tableau Desktop/Prep の場合は、register.tableau.com:443 と tableau.com:443 のみ

[プロキシ]
各Tableau 製品では、以下のプロキシ構成はサポートされていません。

・Tableau Server
パススルー認証や手動プロキシ認証が必要なプロキシサーバー

参考:Tableau Server on Windows ヘルプ – Tableau Server プロキシの設定
参考:Tableau Server on Linux ヘルプ – Tableau Server プロキシの設定

※Tableau Server のフォワードプロキシ・リバースプロキシの構成手順は上述のドキュメントをご参照ください。

・Tableau Desktop / Prep
認証リバース プロキシがあるサーバーへの接続 および 認証が必要なフォワード プロキシサーバー

参考:必要なアドレス、プロキシ、ポート -プロキシ環境のサポート-

[ポート]
Tableau Server の主要なサービスが使用するポートは下記ドキュメントをご参照ください。

例えば、クライアントがブラウザからTableau Server へ接続する場合、HTTPなら80番ポート、SSLの通信のHTTPSなら443番ポートを利用し、TSM(Tableau Services Manager)へ接続する場合は8850番ポートを利用します。

参考:Tableau サービス マネージャーのポート

なお、Tableau Server を動作させている環境で他のサービスを起動することは推奨されていません。理由として、以下のリスクが挙げられます。

・ポートの競合
Tableau Server と他のサービスが同じポートを使用すると、Tableau Server へ接続できなくなるなどの障害が発生する可能性があります。

・リソースの影響
ポートがバッティングしなくても、他のサービスがシステムリソースを消費することでTableau の動作に影響を与える可能性があります。

4. Tableau Cloud の送信元IPアドレスについて

Tableau Cloud では、アカウントごとのIPアドレスは公開されていません。そのため、クラウドをデータソースとして利用する際に、Tableau Cloudの送信元IPをクラウドサービスの許可リストに追加することはできません。

しかし、各ポッド(サイトの場所)のIPアドレス範囲は公開されています。Tableau Cloud にサインインすると表示される URL からポッドを確認できるため、ドキュメントに記載されているIPアドレス範囲を許可リストに登録してください。

参考:Tableau Cloud にパブリッシュされたクラウド データへのアクセスの承認

5. 新機能やリリースノートの確認方法

Tableauの新製品に関する情報は常に「/new-features」のURLから確認できます。

参考:Tableauの新製品の情報

過去のバージョンは「/products/new-features」が「/2024-1-features」のような形式に変更されます。

参考:Tableau 2024.1

リリースノートは以下のリンクから確認できます。

参考:Product downloads(英語)

※左ペインでTableau製品を選択し、任意のバージョンを選ぶと、issue ID と修正内容を確認できます。

機能比較を行う場合は、以下のリンクにあるビューを活用すると便利です。

参考:Tableau Server のリリース ノート

6. セキュリティ関連のサイト4選

・バグ情報
参考:Known Issues(英語)

issueの対応状況が掲載されています。画面上部の Category から製品や対応状況のステータスを指定することで、特定の issue を絞ることができます。代表的なバグはこちらに掲載されており、修正されるとリリースノートに反映されるフローになっています。

各 issue に関してメーカーから修正スケジュールは公開されていないため、注目している問題がある場合は、Known Issue のサイトで修正状況をトラッキングする必要があります。また、通知機能も用意されており、設定をすることで誰でも利用可能です。

Known issues の詳しい使い方は下記ドキュメントもご参照ください。

参考:About the Salesforce Known Issues Site

・Tableau Cloud のリアルタイム運用状況
参考: Salesforce Trust(英語)

Tableau Cloud の最新のサービスステータス(稼働状況)や過去のインシデントの詳細、システムメンテナンス情報が掲載されています。また、ステータスやインシデント情報の通知機能もあり、設定することでリアルタイムに更新情報を受け取ることができます。

参考:Tableau Cloud ヘルプ – Tableau Cloud のシステム メンテナンス

・製品のサポート期間
参考:テクニカルサポートプログラム

ページ下部の「各バージョンのサポート」から、各 Tableau 製品のサポート期間を確認できます。製品のリリースサイクルやサポート期間は変更されることがあるため、最新情報を定期的にこちらで確認されることをお勧めします。

・脆弱性
参考:セキュリティアドバイザリ

脆弱性に関する情報はこちらにまとめられています。また、以下の方法でも確認できます。
– Tableau からメールで発行されるセキュリティ通知
– 公式のナレッジベース(KB)記事
– リリースノート

なお、未公開の脆弱性に関する情報は悪用されるリスクを考慮して公開していないため、お問い合わせには対応できません。

関連記事

今、知るべきビジネスのヒントをわかりやすく。厳選情報を配信します