|
|
例外は、ホストでコントロールのステータスを一時的に「Failed」から「PassedE」(例外による合格)に変更するための手段です。特定のホストにある不合格のコントロールに対して、例外を要求できます。例外の要求は、権限を持つユーザによって検証され、承認される必要があります。
一部のホストから特定のコントロールを例外として除外しなければならない場合があります。例えば、組織のポリシーとして、どのサーバでも FTP サービスを使用できないようになっているとします。しかし、業務上、ホストに対して一時的に例外を設ける必要性が生じる可能性があります。カスタムアプリケーションや他のビジネスニーズをサポートするために、このようなことが必要になることがあります。
対話形式レポート(個別ホストコンプライアンスレポートおよびコントロール合格/不合格レポート)から例外を要求します。
ヒント: 対話形式のレポートは、ポリシーサマリから簡単に実行できます。「Reports」->「Policy Summary」を選択します。ポリシーを選択します。「Top Failing Hosts」にある任意のホストをクリックして、個別にホストコンプライアンスレポートを実行します。「Top Failing Controls」にある任意のコントロールをクリックして、コントロール合格/不合格レポートを実行します。
いずれかの対話形式レポートから、例外を必要とするホスト/コントロールを特定し、右側の「Request」リンクをクリックします。例外をユーザに割り当て、コメントを入力する必要があります。「Assign to」メニューから、ホストに対する権限を持つ任意のユーザ(マネージャユーザ、監査者ユーザなど)を選択できます。
いずれかの対話形式レポートから、要求を行う各ホスト/コントロールの横にあるチェックボックスを選択して、レポートの上部にある「Request Exception」ボタンをクリックします。例外をユーザに割り当て、コメントを入力する必要があります。
個別ホストコンプライアンスレポートから複数の例外を要求した場合、「Assign to」メニューにはマネージャと監査者のみが表示されます。他のユーザは表示されません。
コントロール合格/不合格レポートから複数の例外を要求した場合、「Assign to」メニューには、選択したすべてのホストに対する権限を持つユーザが表示されます(マネージャ、監査者も含む)。選択したホストの一部へのアクセス権しか持たないユーザは、「Assign to」メニューには表示されません。例えば、UserA には Host1 および Host2 へのアクセス権があり、UserB には Host1 へのアクセス権のみがあるとします。.例外の要求に「Host1」と「Host2」の両方を選択した場合、UserB には要求の一部を満たす Host2 へのアクセス権しかないため、リストには「UserA」は表示されますが、「UserB」は表示されません。
ホストの例外を表示するには、「PC」->「Exceptions」を選択します。関連するポリシー、コントロール、テクノロジに加えて、ポリシーで定義されているコントロールの期待値と、コンプライアンススキャンで返される実際値などの詳細を表示するには、「Quick Actions」メニューで「Info」を選択します。例外の履歴ログも表示できます。
リストにフィルタを設定する場合リストにフィルタを設定する場合
ユーザに割り当てられているすべての例外を表示するには、「Filters」メニューの「My Assigned」を選択します。「My Exceptions」を選択すると、ユーザが要求した例外が表示されます。
「PC」->「Exceptions」に移動し、アクションを行う例外を特定してから、「Quick Actions」メニューの「Edit」を選択します。例外の承認、拒否、または再オープンを実行できます。「Approved」を選択した場合、オプションとして終了日を指定して、一時的に例外の期間を設定することができます。終了日を過ぎると、例外ステータスは「Expired」になります。
例外を編集して、ホストへの特権を持つ他のユーザに再割り当てできます。「PC」->「Exceptions」に移動し、再割り当てを行う例外を特定してから、「Quick Actions」メニューの「Edit」を選択します。ヒント: 複数の例外を一括して再割り当てできます。例外の横にあるチェックボックスを選択してから、リスト上部にある「Actions」メニューの「Edit」を選択します。
例外を編集し、コメントを追加できます。「PC」->「Exceptions」を選択し、「Quick Actions」メニューの「Edit」を選択します。ヒント: 複数の例外に一括してコメントを追加できます。例外の横にあるチェックボックスを選択してから、リスト上部にある「Actions」メニューの「Edit」を選択します。
このオプションを使用すると、その後のスキャンで返されるコントロールの値が、リクエスト時点での値とは異なっていてもコントロールが引き続き不合格になる場合に、例外が自動的に再オープンされます。ヒント - このオプションは、例外をリクエストするとき、または承認するときに選択できます。
例えば、CID 1071「Status of the ‘Minimum Password Length’ setting」(パスワードの最小長の設定ステータス)で 8 という値が求められている場合に、ホストから 5 という値が返されると、不合格になります。ユーザがホストに対して例外をリクエストし、これが承認されたとします。次回のスキャンでホストから 6 という値が返された場合、この値は改善されてはいますが、依然として不合格のままです。このとき、例外の再オープン機能が有効になっていると、例外ステータスは、「Approved」(承認済み)から「Pending」(保留中)に変更されます。この例外は再評価し、再度承認を受ける必要があります。
このオプションが有効かどうかを確認する方法このオプションが有効かどうかを確認する方法
有効な場合、「Exceptions」リストの「Approved」ステータスの横にチェックマークが表示されます。
マネージャおよび監査者は、例外が割り当てられたユーザに関係なく、すべての例外を削除できます。例外を削除すると、例外の履歴が永続的に削除され、復元はできません。
次の場合に、システムコントロールの例外を削除できます。
- 明示的に例外を削除する場合
- ホストテクノロジとポリシーテクノロジが一致しない場合(ホストのテクノロジが変更されたか、ポリシーからテクノロジが削除された場合)
- ポリシーからコントロールを削除する場合
- ポリシーのコントロールからテクノロジを除外する場合
- ポリシーに属するアセットグループから IP を削除する場合
すべてのアクションは、アクションを実行したユーザと、アクションの実行日時のタイムスタンプとともに、例外の履歴に記録されます。任意の例外の「Quick Actions」メニューで「Info」を選択して、「History」項を選択します。元の例外要求と、要求以降に例外に行われた各アクションが、ユーザによって入力されたコメントとともに一覧表示されます。
ユーザが要求した例外、またはユーザに割り当てられた例外について、例外のステータスが変更されたときに E メール通知を受け取ることができます。例外の要求、承認、拒否、再割り当て、期限切れが発生すると、通知が送信されます。この E メールを受け取るには、ユーザ名の下(右上隅)に表示されるメニューから「User Profile」を選択します。「Options」を選択し、例外の通知を選択します。
例外ステータスのレベルには、次のものがあります。
「Pending」 - 例外がユーザによって最初に要求された時点では、ステータスは「Pending」です。また、以前に承認または拒否された例外が再オープンされても、「Pending」ステータスに戻ります。
「Approved」 - 権限を持つユーザによって例外が検証され、承認されると、ステータスは「Approved」になります。指定したコントロールでホストを除外する必要があると判断された場合、例外が承認されます。そのホストがコントロールで例外として除外されているかぎり、コンプライアンスレポートには「PassedE」ステータスが表示されます。例外が期限切れになると、ステータスは「Failed」に戻ります。
「Rejected」 - 例外が権限を持つユーザによって検証され、拒否されると、ステータスは「Rejected」になります。指定したコントロールでホストを除外する必要がないと判断された場合、例外が拒否されます。例外が拒否されると、コンプライアンスレポートにはそのホスト/コントロールが引き続き「Failed」ステータスで表示されます。
「Expired」 - 例外が以前に承認されたものの、有効期限に達した場合、例外のステータスは「Expired」になります。例外が期限切れになると、コンプライアンスレポートにはそのホスト/コントロールが再度「Failed」ステータスで表示されます。
コンプライアンス管理権限を持つユーザであれば、例外を要求することができます。
マネージャと監査者は、例外の承認/拒否、例外の再割り当て、例外へのコメントの追加が可能です。
ユニットマネージャには、自分に割り当てられているビジネスユニット内のホストの例外の承認/拒否、また他のユーザへの再割り当ての特権が付与されています。
スキャナとリーダは、自分に割り当てられているホストの例外を編集し、例外の詳細にコメントを追加できます。