ポリシーコンプライアンスレポート - 基本事項

ヒント

レポート内容

コンプライアンスデータ


 

クラウドエージェントがインストールされている場合、エージェントホストのレポートについてはこちらをクリックしてください。

推奨事項

スキャンとレポートは、まず 1 つか 2 つの少数の IP から始めることをお勧めします。レポートを確認して、検出された脆弱性を修正し、修正した内容を検証するために同じ IP を再スキャンして、レポートを入手します。この手順を習得すると、より多数の IP のスキャンも実行しやすくなります。

レポート対象

簡単に言うと、コンプライアンススキャンが実行された、アカウント内のあらゆる IP がレポートの対象となります。IP には、ルータ、スイッチ、ハブ、ファイアウォール、サーバ(すべての一般的なオペレーティングシステム)、ワークステーション、データベース、デスクトップコンピュータ、プリンタ、ワイヤレスアクセスデバイスなど、ネットワーク上のあらゆるデバイスが含まれます。

レポートの作成頻度

スキャンが自動で実行されるようにスケジュール(日単位、週単位、月単位)し、同じ頻度でレポートを作成することをお勧めします。このようにすることで、ホストの最新のコンプライアンスステータスを常に取得することができます。さらに、レポートが自動で開始されるようにスケジュール(日単位、週単位、月単位)を設定することもできます。

レポートの E メール通知

レポートの完了時に E メールで通知を受け取るように設定することが可能です。E メールにより、結果のサマリとレポートへの安全なリンクが通知されます。ユーザ名の下にある「User Profile」を選択して「Options」項に移動し、「Report Notification」を選択します。この他にも使用できる E メール通知があります。

スキャン設定とその影響

スキャン時に選択するスキャン設定は、スキャンの実行方法に影響を与えます。スキャン結果が処理されると、ホストごとにコンプライアンスデータが保存されます。これにより、レポートに最新のコンプライアンスデータを取り込むことができます。レポートには、ホストごとに保存された最新のコンプライアンスデータが取り込まれることに注意してください。

ヒント: 常に同じスキャン設定を使用することをお勧めします。これにより、一定期間にわたるホストのセキュリティとコンプライアンスのトレンドについて、より正確な状況を把握することができます。

各種レポートについて

参照: ポリシーレポート | ポリシーサマリ | コンプライアンススコアカードレポート | 個別ホストレポート | コントロール合格/不合格レポート | 認証レポート | 規制ベースのレポート

レポート対象の IP

スキャンとレポートを実行できる IP を表示するには、「Assets」->「Host Assets」を選択します。レポート対象にする IP がリストに表示されない場合は、目的の IP を追加して(またはマネージャが追加してからこのユーザに割り当て)、IP をスキャンします。IP アドレスがスキャン済みであるかどうかを確認するには、アセット検索を実行します。「Assets」->「Asset Search」を選択して、IP を入力し、「Search」をクリックします。IP アドレスがスキャン済みの場合、検索結果に表示されます。IP アドレスをクリックするとホスト情報が表示されます。

アセットグループとは

アセットグループは、ユーザが定義したホストアセット(IP アドレス)のグループです。ホストは、重要度、優先順位、所在地、所有者など、組織にとって意味のある方法でグループ化することができます。アセットグループについてレポートすると、そのグループに含まれるホストだけが取り込まれます。これにより、レポートの範囲を特定のホストのグループやネットワーク内の一部の環境に限定できるようになり、レポートの管理が容易になります。詳細

アセットタグとは

アセットタグは、アカウントにあるアセットの整理と追跡を行うためのもう一つの方法です。ホストアセットにはタグを割り当てることができます。スキャンとレポートを開始するときに、ホストに関連付けられるタグを選択できます。この動的なアプローチは、ネットワークがホストの追加と削除によって常に変化している場合であっても、特定の条件に一致するすべてのホストを含めるための優れた方法です。例えば、すべての Windows XP ホスト、またはポート 80 が開いているすべてのホストをスキャンおよびレポートします。タグを作成するには複数の方法があります。例えば、アセット検索(「Assets」->「Asset Search」を選択)からタグを作成することができます。また AssetView アプリケーションを使用して作成することもできます。詳細

最新のコンプライアンスデータの取り込み

スキャンが完了している必要があります。スキャンリストのスキャンステータスに「Finished」と表示されていれば、スキャンは完了しています。スキャン結果が準備されている必要があります。スキャンが完了すると、スキャン結果はアカウントにマージ(処理)されます。スキャンリストのスキャンの横にある緑色で塗りつぶされた円 「Scan Finished, Results Processed」アイコン は、スキャン結果が処理されたことを示します。これでレポートを開始する準備が整いました。処理済みのスキャンからコンプライアンスデータが取り込まれます。

コンプライアンスステータスについて

コンプライアンスステータスは、コンプライアンスレポートとユーザインタフェースに表示されます。新しいスキャン結果が処理されると、ステータスは自動で更新されます。

「Passed」(合格)は、ホストのコントロール評価の予想値と実際値が一致していることを表します。

「Failed」(不合格)は、予想値と実際値が一致していないことを表します。

「Error」(エラー)は、ホストでのコントロールの評価中にエラーが発生したことを表します(ヒント - ユーザ定義コントロールの設定のレポートオプションを使用すると、エラーを無視して別のステータスを表示することができます。詳細)。

非アクティブなインスタンスのコンプライアンスデータをパージする方法

単一のアセットには、複数のテクノロジインスタンスを含むことができます。アクティブではなくなったインスタンのコンプライアンスデータのみをパージして、アクティブなインスタンスのコンプライアンスデータは保持したい場合があります。マネージャは「Inactive Instance Purge」オプション(「PC」->「Scans」->「Setup」->「Inactive Instance Purge」)を有効にして、指定した期間内にインスタンスが評価されなかった場合に、インスタンスが自動的にパージされる期間を設定することができます。この方法により、アクティブではなくなったインスタンスのデータがレポートに表示されることがなくなります。これは、「Scan by Policy」を使用している場合に特に便利です。「Scan by Policy」では、アセットに既に存在しなくなっている場合も含めて、以前に検出されたすべてのインスタンスのインスタンスデータが保持されています(インスタンスがパージされるのは、指定された期間内に同じタイプのテクノロジのインスタンスが少なくとも 1 つ評価された場合に限られます)。

証拠とは

証拠とは、ホストのコントロール評価の期待値と実際値のことです。期待値とは、コンプライアンスポリシーで定義された値です。実際値とは、ホストで最後に実行されたコンプライアンススキャンから返された値です。これらの値はホスト上のコントロールの評価プロセスで比較され、「Passed」または「Failed」ステータスが出力されます。チェックマークは、ポリシーでその値が選択されていることを示しています。

証拠について - コントロール値には、整数、正規表現、Windows パーミッションなどがあります。詳細

その他の証拠とは

その他の証拠には、ホストのコントロール評価で収集された他の検出結果や情報があります。例えば、スキャンエンジンがコントロール値の検査時に実行したクエリから返された結果などがあります。その他の証拠はレポートの期待値と実際値の下に表示されます。

コントロールの改善情報の追加

コンプライアンスレポートに、コントロールテクノロジの改善情報を表示できます。ポリシーレポートテンプレートの「Layout」タブで、「Remediation Info」オプションから選択します。

システム定義のコントロールでは、レポートに、Qualys が設定する改善情報が表示されます。

ユーザ定義コントロールでは、レポートに、ユーザが追加した改善情報が表示されます。コントロールに改善情報を追加するには、「Policy」->「Controls」を選択し、既存のコントロールを編集するか、新しいコントロールを作成します。「Control Technologies」項まで下にスクロールし、対象のコントロールテクノロジの改善情報を入力します。

改善情報が入手できない場合は、N/A と表示されます。

不合格のコントロールの情報の追加

レポートにサマリ項を追加して、不合格となったコントロールで欠落している必須値または期待値以外の値を強調表示することができます。これにより、どの設定が原因でコントロールが不合格になったかを特定しやすくなります。これは、システムのユーザのリストをまとめて返したり、特定の権限を持つユーザのリストを返したりする CID など、長いデータリストを返すコントロールで特に有益です。

「Reports」->「Templates」->「New」->「Policy Template」を選択し、「Cause of Failure」項のオプションを有効にします。次に、このテンプレートを使用するポリシーコンプライアンスレポートを実行し、レポートで、不合格のコントロールの「Cause of Failure」項に移動します。

一部のカージナリティについて、次の点に注意してください。

- 複数のデータポイントがあるコントロールには、「Cause of Failure」項は表示されません。

- 「does not contain」および「match none」が設定されたコントロールに対して、「Unexpected values」が表示されます。

- 「Matches」、「Intersect」のカージナリティに対して、「Unexpected values」と「Missing values」の両方が表示されます。

- 「contains」カージナリティに対しては、「Missing Value」のみが表示されます。

- 「is contained in」カージナリティに対しては、「Unexpected value」のみが表示されます。

ポリシーおよびコントロールの評価日および更新日

ポリシーおよびポリシーコンプライアンスレポートには複数の日付が表示されます。この項では、これらの日付の詳細およびいつ更新されるのかについて説明します。  

(1)Policy Last Evaluated Date(ポリシー): この日付は、「Report Summary」項に表示されます。ポリシー評価が完了した日付です。この値は、ホストのポリシー評価が起動するたびに更新されます。複数の対象がスキャンされる場合、この値は、対象のポリシー評価が実行されるたびに更新されます。したがって、この値は、常にレポートのコントロールの個々の「Evaluation date」以降になります。継続スキャンで、コントロールで収集されたデータに変更がなくても、この値は更新されます。

Policy Last Evaluated date

(2)Last Scan Date(ホスト): この日付は、レポートに表示される各ホストの「Detailed Results」項に表示されます。これは、ホストの最新スキャン日です。この日付は、ホストのすべてのタイプのスキャン(フルスキャン、「Scan by Policy」オプションを使用した制限スキャン、エージェントスキャン)で更新されます。

Last Scan Date

(3)Evaluation Date(コントロール): この日付は、コントロールの詳細を更新したときに表示されます。これは、コントロールの最終評価日です。コントロール評価は、ポリシー評価の一部として実行されます。したがって、この値は、「Policy Last Evaluated」の日付以前となります。通常、ポリシー評価は、スキャンデータが収集された直後に起動します。ただし、場合によっては、プロセスの負荷が高いといった理由で遅れることもあります。

また、継続スキャンで、対象のスキャンデータに変更がない(コントロールで収集したスキャンデータがすべて同じ)場合は、関連付けられたポリシーは評価されません。結果として、コントロールのこの値は変更されないままとなります。ただし、「Policy Last Evaluated」の値は更新されます。 

(4)Actual Last Updated Date(コントロール値): この日付は、実際値を持つコントロールの「Evidence」項に表示されます。この日付は、コントロールのスキャンデータ(フルスキャン、「Scan by Policy」オプションを使用した制限スキャン、エージェントスキャンから収集されたデータ)が収集されるたびに更新されます。

コントロールのデータがいつ収集されるかについては、スキャンのタイプを確認してください。 

- Full Scan/Agent Scan: 対象スキャンで特定されたテクノロジに基づいて、該当するすべてのデータを収集します。  

- Scan by Policy: スキャンを制限するポリシーで指定されたコントロールのデータのみを収集します。したがって、レポートの「Actual Last Updated Date」値は、これらのコントロールでのみ更新されます。コントロールのサブセットが他のポリシーの一部である場合、ポリシーのコントロールに、異なる値が表示される場合があります。スキャンの実行に使用される他のオプションプロファイルの「Scan by Policy」設定にもこれが指定されているためです。

Evaluation Date および Actual Last Updated Date