Security Configuration Asssessment(SCA)は、現在の脆弱性管理プログラムを拡張し、IT アセットの設定評価とレポート生成を継続的に自動で実行します。SCA は VM のアドオンオプションとして、脆弱性管理プログラムを完全なものにします。
NIST* によると、脆弱性には 3 種類あります。
次の 2 種類の脆弱性は、当社の Vulnerability Management(VM)アプリケーションと Web Application Scanning(WAS)アプリケーションを使用して評価できます。ソフトウェアの欠陥は、ソフトウェアのコードまたは設計のエラーであり、悪影響を及ぼします。ソフトウェア機能の濫用は、ソフトウェアの設計者が、ソフトウェアに重要な機能を持たせてもよいという信頼の想定をする一方で、誰かがこのような信頼の想定を裏切ってセキュリティを侵害する可能性もあるということから発生します。
脆弱性評価だけでは、システム侵害を防ぐのに十分ではありません。誤設定はセキュリティ侵害の主要な原因であり、この問題は、Petya などの最近目立つようになったサイバー攻撃に非常に大きく関与しています。そこで必要となるのが SCA です。
脆弱性の種類の 3 つ目は、セキュリティ設定の問題です。NIST によると、この種類の脆弱性は、ホストシステムのセキュリティ設定がソフトウェアのセキュリティに悪影響を及ぼす可能性があるというものです。例としては、機密コンテンツにアクセスするユーザの権限に関するアクセス制御リストを提供する OS などがあります。Security Configuration Assessment(SCA)アプリケーションを使用すると、セキュリティ設定の評価を自動で行うことができます。
* http://nvlpubs.nist.gov/nistpubs/Legacy/IR/nistir7502.pdf
SCA へのアセットの追加 - VM アプリケーションを使用してスキャンを行っているアセットでは VM が有効になっています。その同じアセットで SCA を有効にするのは簡単です。詳細
CIS ポリシーのインポートと構築 - ライブラリの CIS ポリシーから選択します。事前設定されたコントロールのある 200 以上のポリシーから選択できます。 詳細
設定データの収集の開始 - スキャンを開始して、CIS ポリシーで求められるデータを収集します。SCA スキャンを開始するワークフローは、すでに慣れている VM スキャンのワークフローと同様です。詳細
レポートの生成 - SCA レポートに、ポリシーの CIS ベンチマークに基づく最新のコンプライアンス状態が表示されます。各レポートには、コンプライアンス標準(PCI-DSS、HIPAA、NIST など)、改善情報、Qualys が提供するコントロールの重要度への参照が含まれています。詳細