Policy Editor の使用法

ポリシーを作成して、ポリシーとそのポリシー内のコントロールに対するシステムのコンプライアンス状態を確認します。

PC アプリケーションを使用して新しいポリシーを作成する方法

「PC」->「Policies」に移動し、「New」->「Policy」を選択します。次の方法があります。1）空のポリシーに対して最初からポリシーを構築する。2）既存のホストのスキャンデータに基づいてポリシーを作成する。3）ライブラリからポリシーをインポートする。4）XML ファイルからポリシーをインポートする。手順に従って実行します。

SCA アプリケーションを使用して新しいポリシーを作成する方法

「SCA」->「Policies」に移動し、「New」->「Import CIS Policy」を選択します。手順に従って実行します。SCA では、CIS ポリシーのみをインポートおよび編集できます。カスタムポリシーには対応していませんので注意してください。

ポリシーにアセットを割り当てる方法

各ポリシーでコンプライアンスをテストするホストを指定する必要があります。この指定は、ポリシーにアセットグループを追加する（指定したアセットごループの全ホストが含まれる）、またはアセットタグを対象リストに追加する（指定したタグのいずれかまたはすべてに一致するホストが含まれる）ことによって行います。除外するアセットタグを指定することもできます。除外リストのすべての、またはいずれかのタグがあるホストは、ポリシーコンプライアンス評価から除外されます。PC エージェントがある場合は、PC エージェントライセンスのすべてのホストを含めるオプションも表示されます。

コントロールについて

コントロールは、コンプライアンスポリシーの構成要素です。各コントロールは 1 つ以上のオペレーティングシステムやアプリケーションに関連しており、これらをテクノロジと呼びます。

コントロールの詳細を編集する方法

Policy Editor でポリシーの項にドリルダウンし、任意のコントロールをダブルクリック（または「Edit」をクリック）して、コントロールの詳細を表示します。ここから、任意のテクノロジのコントロール値の変更、コントロールに適用されるテクノロジの追加/削除、外部参照番号の追加、改善値の編集を実行できます。

コントロールの改善値の変更

改善値は変更できます。コントロールの詳細をドリルダウンすると、コントロール設定の一部として、「Remediation」テキストフィールドが表示されます。当初表示されているのは、サービス定義コントロール（SDC）のサービスによって定義された改善値と、ユーザ定義コントロール（UDC）のユーザによって定義された改善値です。ポリシーにおける改善値は、テキストフィールドに入力する（最大 4000 文字）することで、変更することができます。改善に必要になる手順はテクノロジによって異なるため、コントロールテクノロジごとにカスタムの改善値を設定することができます。  

ホストに対してコントロールをテストする方法

コントロールの詳細で、簡単なテストを実行して、アカウントのスキャン済みホストのコントロールが合格か不合格かを確認することができます。「Test Control」ボタンをクリックして、IP アドレスを入力し、「Evaluate」をクリックします。ホストの最終スキャンに基づいた評価データが表示され、ホストの実際値が返されます。これにより、必要に応じて、ポリシーを保存する前にコントロール値を変更できます。

コントロール値について

コントロール値には、固定値チェックボックス、整数、正規表現、文字列、Windows パーミッション、Unix パーミッション、特殊コンプライアンスチェックステータスコードなどがあります（コンプライアンスチェックはデータポイントとも呼ばれます）。コントロール定義により、コントロール値のタイプとコントロールにおけるコントロール値の表示方法が決まります。詳細

最終更新日、評価日、ポリシーの前回評価の日付について

ポリシーおよびポリシーコンプライアンスレポートには、ポリシーの最終評価日、ホストの最終スキャン日、コントロールの最終評価日、コントロール値の実際の最終更新日など、複数の日付が表示されます。これらの日付の詳細およびいつ更新されるのかについては、「ポリシーおよびコントロールの評価日および更新日」を参照してください。 

Policy Compliance（PC）アプリケーションのみ

項にコントロールを追加する方法

ホームページからドリルダウンしてきた項でコントロールを検索または追加するには、その項の「Add Controls」ボタンをクリックします。選択できるのは、まだポリシーに追加されていないコントロールに限られ、またコントロールは設定するポリシーのグローバルテクノロジリストで該当している必要があります。 

別のポリシーからのコントロールのコピー

別のポリシーからコントロールとその設定をコピーすると、時間の節約になります。ポリシーの項にドリルダウンし、「Copy Controls」をクリックして、コントロールのコピー元のポリシーを選択します。次に、目的のコントロールを選択します。コントロールが追加され、その設定（コントロール値、カーディナリティ/演算子の設定、改善など）がコピーされます。

注記:

- 別のポリシーから File Integrity または Directory Integrity コントロールをコピーする場合、コントロールの実際のハッシュ値がコピーされるわけではありません。コントロール値は、AUTO_UPDATED として表示されます。

- 非推奨のコントロールはコピーできません。

新しいテクノロジを追加する場合のコントロール設定のコピー 

ポリシーに新しいテクノロジを追加する場合、「Copy Control Settings」オプションを選択して、同じポリシー内、アカウントの別のポリシー内、またはライブラリのポリシー内にある別のテクノロジから設定をコピーすることができます。例えば、Windows 10 をポリシーに追加して、Windows 8 などの別のテクノロジから設定をコピーするよう選択するとします。この場合、適用可能なすべての Windows 8 コントロールから Windows 10 コントロールに設定が適用されます。コントロール設定には、コントロール値、カーディナリティ/演算子の設定、改善が含まれます。

テクノロジ間でのコントロール設定のコピー

ポリシーにある任意のコントロールをコントロールの詳細までドリルダウンし、左側にあるテクノロジを選択すると、そのテクノロジに対するコントロール設定が表示されます。次に「Copy to Other Technologies」ボタンをクリックして、選択したテクノロジから同じコントロールのポリシーにリストされている別のすべてのテクノロジに設定をコピーします。

選択したテクノロジとコントロールの別のテクノロジとの間でコントロール条件（カーディナリティ、演算子、固定値のオプションなど）が異なる場合は、改善値のみがコピーされます。この場合、他のコントロール設定はコピーされません。コントロール設定のすべては取得できなかったテクノロジを通知するためのメッセージが画面に表示されます。ここをクリックして例を表示ここをクリックして例を表示

コントロール参照を追加する方法

コントロールのリストから「Add Ref #」リンクをクリックするか、または「Control Details」の「Reference #」の横にある「Edit」をクリックすることで、任意のコントロールに参照を追加できます。ここに入力したテキストは、「Control References」にあるポリシーレポートに表示されます。マネージャと監査者が、コントロールデータリストからコントロールを編集（「PC」->「Policies」->「Controls」を選択）することで参照（文書、URL、およびテキスト）を追加できる点には変更ありません。

コントロールの順序を変更する方法

次の方法を使用すると、コントロールリストでコントロールの順序を変更することができます。1）「Reorder」ボタンをクリックし、コントロール番号を上書きします。これはコントロールをある項から別の項に移動するときに便利な方法です。例えば、コントロール 2.1 をコントロール 1.1 に変更することで、コントロールは項 2 から項 1 へ移動します。2）コントロールをリスト内の新しい位置に単純にドラッグアンドドロップします。コントロールを移動するには、コントロール行の左端をクリックします。

ロックされたコントロールについて

サービスによってロックされたコントロールには、ロックされたコントロールのアイコン が表示されます。ロックされたコントロールは、ポリシー内で編集することはできません。