|
|
1 つか 2 つの IP など、少数から始めることをお勧めします。この結果を確認して、検出された脆弱性を修正し、修正した内容を検証するために同じ IP を再スキャンします。この手順を習得すると、より多数の IP のスキャンも実行しやすくなります。
スキャンできる対象は、簡単に言えば「組織のネットワークに接続されているもののほとんどすべて」です。 具体的には、すべてのルータ、スイッチ、ハブ、ファイアウォール、サーバ(あらゆる一般的なオペレーティングシステム)、ワークステーション、データベース、デスクトップコンピュータ、プリンタ、ワイヤレスアクセスデバイスなどが含まれます。
新しい脆弱性は毎日発見されているため、脆弱性は定期的に識別して除去する必要があります。例えば、Microsoft 社では毎月第 2 火曜日にアドバイザリとパッチをリリースしており、これは“ 月例パッチ(Patch Tuesday) ”と呼ばれています。ホストについての最新の脆弱性情報が常に得られるように、スキャンが自動的に(毎日、毎週、毎月)実行されるスケジュールを設定しておくことをお勧めします。1 回のスキャンが終了すると引き続き別のスキャンが開始される継続的なスキャンを設定することもできます。詳細
当社は数百のアプリケーションやオペレーティングシステムにわたる、業界で最も包括的な脆弱性 KnowledgeBase を保有しています。バックドアとトロイの木馬、総当たり攻撃、CGI、データベース、DNS と Bind、電子商取引アプリケーション、ファイル共有、FTP、ファイアウォール、リモートサービス全般、ハードウェアおよびネットワークアプライアンス、メールサービス、SMB/Netbios Windows、TCP/IP、VMware、VoIP、Web サーバ、ワイヤレスアクセスポイント、X-windows など、広範囲のカテゴリで脆弱性をスキャンします。脆弱性カテゴリの詳細なリストは、KnowledgeBase の「Search」オプションで確認できます。
当社では、新たな脅威の出現に応じて、エンジニアが毎日脆弱性シグネチャの作成にあたっています。これらのシグネチャは、クォリス品質保証ラボの厳しいテストを通過すると、次回のスキャンで自動的に使用できるようになります。ユーザによる操作は不要です。さらに、新たに検出が可能になった脆弱性の詳細が記載された脆弱性シグネチャ更新 E メール(毎日/毎週発行)に登録することができます。
各スキャンの完了時に E メールで通知を受け取るように設定することが可能です。E メールにより、結果のサマリと保存されたレポートへの安全なリンクが通知されます。ユーザ名の下にある「User Profile」を選択して「Options」項に移動し、「Scan Complete Notification」を選択します。この他にも使用できる E メール通知があります。
脆弱性を修正するためには、まずネットワークにどのようなアセット(サーバ、デスクトップ、デバイスなど)があるのかを把握する必要があります。これが把握できたら、IP アドレスごとにアセットをアカウントに追加(「Assets」->「Host Assets」)します。これで、脆弱性がスキャンできるようになります。組織のドメインとサブネットワークの IP(または IP の範囲)を追加したり、またはスキャンが必要な特定のデバイスの IP を追加したりすることができます。
ネットワークにあるアセットが不明な場合は、検出スキャン(マップ)を実行してネットワーク上で動作中のデバイスを検出します。次にマップ結果のワークフローに従って、検出されたアセットをスキャンするためにアカウントに追加します。詳細
アセットグループは、ユーザが定義したホストアセット(IP アドレス)のグループです。ホストは、重要度、優先順位、所在地、所有者など、組織にとって意味のある方法でグループ化することができます。アセットグループをスキャンすると、そのグループに含まれるホストだけがスキャンされます。これにより、スキャンを行う範囲を特定のホストのグループやネットワーク内の小区分に限定できるようになり、スキャン結果や改善タスクの管理が容易になります。詳細
アセットタグは、アカウントにあるアセットの整理と追跡を行うためのもう一つの方法です。ホストアセットにはタグを割り当てることができます。タグを割り当てることで、スキャンを開始するときに、スキャンするホストに関連付けられたタグを選択できます。この動的なアプローチは、ネットワークがホストの追加と削除によって常に変化している場合であっても、特定の条件に一致するすべてのホストを含めるための優れた方法です。例えば、すべての Windows XP ホスト、またはポート 80 が開いているすべてのホストをスキャンします。タグを作成するには複数の方法があります。例えば、アセット検索(「Assets」->「Asset Search」を選択)からタグを作成することができます。また AssetView アプリケーションを使用して作成することもできます。詳細
外部 IP アドレスと内部 IP アドレスを一緒に指定してアセットグループをスキャンすることはできません。外部の対象と内部の対象は別々にスキャンする必要があります。外部 IP アドレスと内部 IP アドレスに別々のアセットグループ/タグを作成します。外部のスキャンの場合、外部 IP を持つアセットグループ/タグを選択し、外部 Scanner Appliance オプションを選択してクラウドスキャナを使用します。内部のスキャンの場合、内部 IP を持つアセットグループ/タグを選択し、アカウントで 1 つ以上の Scanner Appliance(物理または仮想)を選択します。アセットタグをスキャンする場合、「All Scanners in TagSet」オプションを選択して、同じタグを持つ Scanner Appliance を使用します。
脆弱性をスキャンできる IP を表示するには、「VM/VMDR」->「Assets」->「Host Assets」を選択します。スキャンする IP がリストに表示されない場合は、目的の IP を追加します(またはマネージャが追加してからこのユーザに割り当てます)。
はい。「Exclude IP/Ranges」フィールドに除外する IP を入力します。オプションとして、「Scans」->「Setup」->「Excluded Hosts」を選択すると、すべてのユーザによって開始されるすべてのスキャンから除外される IP のリストを作成できます。
IPv6 アドレスのスキャンをサポートしています。IPv6 スキャンを有効にする必要があります。サポートまたはテクニカルアカウントマネージャにお問い合わせください。IPv6 スキャンを開始するにはいくつかの設定手順を実行する必要があります。詳細
Scan by Hostname 機能が有効になっている場合、DNS 名または NetBIOS ホスト名によるホストのスキャンを実行できます。これらの機能を有効にする場合は、サポートまたはセールスマネージャにお問い合わせください。参照: ホスト名によるスキャン | DNS 名によるスキャンニングとレポート
当社のセキュリティサービスでは、対象ホストおよびネットワークに与える影響が最小限になることを保証しています。これは、次のような手法によって可能になっています。
- スキャン中に対象ホストまたはネットワークでパフォーマンスの低下が検出されると、これに動的に対応してスキャン速度が抑えられます。
- スキャン対象のマシンの種類に適した脆弱性チェックのみが実行されます(例えば、Windows オペレーティングシステム固有のテストが Linux マシンに対して行われることはありません)。
- スキャン対象のマシンにおけるさまざまな帯域負荷(低、中、高、カスタム)に対応しています。RTT(応答時間テスト)によって応答時間を監視し、設定に応じて負荷が調整されます。オプションプロファイルでは、スキャンパフォーマンスの設定を行うことができます。
直接接続されたネットワークのブロードキャストアドレスは、スキャン対象から明示的に除外されます。その他のブロードキャストアドレス(ルータを介したネットワーク)は、実際の応答に応じて、ホスト検出中に動的にスキャン対象から除外されます。
ホスト検出中、ネットワークアドレスは反応のないホストとしてマークされます。このブロードキャストアドレスがパケットを受信すると、その他のいくつかの IP が応答しますが、ブロードキャスト IP 自体は応答しません。このため、これらの IP アドレスに対するアクションはこれ以上処理されません。
オプションプロファイルでスキャン設定を変更することにより、スキャンをカスタマイズできます。スキャンするポートの指定や、特定の脆弱性のチェック(QID)のみにスキャンを限定するといった微調整を設定に加えることができます。実行するスキャンの各種のタイプに合わせて、オプションプロファルをいくつか作成してみることを検討してください。個別のニーズに合わせて、スキャンされる TCP ポート、スキャンされる UDP ポート、スキャンする脆弱性チェック(QID)、ロードバランサの検出、パフォーマンス設定、認証タイプなどの設定を調整することができます。
スキャンの強度は、選択するオプションプロファイルによって定まります。どのオプションを使用すればよいのかが分からない場合は、デフォルトプロファイルを使用してください。初心者のための「Initial Options」が用意されています。このプロファイルには大半のニーズに合致する一般的な設定が行われています。各システムに適したすべての脆弱性チェックが実行され、標準ポートのリストのスキャンが行われます。このリストはオプションプロファイルにあります。
独自のプロファイルを作成すると、スキャンするポートなどの設定を微調整したり、特定の脆弱性チェックにスキャンを制限したりできます。実行するスキャンの各種のタイプに合わせて、オプションプロファルをいくつか作成してみることを検討してください。
認証を使用するには、認証が有効になっているオプションプロファイルを選択し、スキャンする IP が認証レコードに含まれていることを確認します。スキャン時には、このレコードに用意されている情報を使用して対象ホストにログインします。レコードを管理する方法については、「Scans」->「Authentication」を参照してください。
PCI コンプライアンスへの準拠を目指す場合PCI コンプライアンスへの準拠を目指す場合
外部 PCI スキャンの場合は、用意されている「Payment Card Industry (PCI) Options」というプロファイルを使用します。このプロファイルには、コンプライアンスに必要な特定の設定が行われています。内部 PCI スキャンの場合は、「Initial Options」を使用するか、またはユーザが作成したプロファイルを使用します。
脆弱性の多くは認証スキャンによって検出する必要があるため、認証スキャンは重要な機能です。認証スキャンを実行するには、1)認証レコードに対象 IP のログイン資格情報を設定(「Scans」->「Authentication」を選択)して、2)使用するスキャンオプションプロファイルで認証を有効にすることが必要になります。詳細
外部 PCI スキャン用のスキャン設定を含む「Payment Card Industry (PCI) Options」というプロファイルが用意されています。このプロファイルを使用して、PCI データセキュリティ基準(DSS)に準拠した四半期ごとの外部スキャンの要件を満たす必要があります。詳細
外部スキャンと内部スキャンとは、ネットワークペリミターにある IP をスキャンするか(外部スキャン)、それとも企業ネットワークの内側をスキャンするか(内部スキャン)ということです。
外部スキャンは、全世界にある当社のセキュアオペレーションセンター(SOC)で設定されているクラウドスキャナを使用することでいつでも使用できます。これを選択するには、「Scanner Appliance」メニューで「External」を選択します。
内部スキャンでは、ネットワークの内側に配備された Scanner Appliance が使用されます。スキャンタスクに使用する 1 つまたは複数の Scanner Appliance を選択するには、「Build my list」オプションを選択します。Scanner Appliance がない場合は、「Scans」->「Appliances」から Virtual Scanner をインストールできます。
アセットグループで内部スキャンを実行している場合、Scanner Appliance を名前、または次のオプションのいずれかによって選択することができます。
「Default」 -各アセットグループでデフォルトのスキャナを使用するには、このオプションを選択します。アセットグループを編集して、グループのデフォルトのスキャナを割り当てます。
「All Scanners in Asset Group」 -アセットグループで定義されているように、各アセットグループでスキャンを Scanner Appliance のプールに分散するには、このオプションを選択します。ヒント: スキャンを実行する前に、対象のアセットグループを表示して、使用されるスキャナのプールを確認し、必要があれば変更することをお勧めします。詳細
スキャナはスキャン対象のホストに到達できる必要があります。「Help」->「About」を表示して、許可リストに追加する必要のある外部スキャナの IP アドレスを表示します。内部スキャンで Scanner Appliance が接続できる必要がある URL のリストも表示されます。
スキャントラフィックがファイアウォールを経由して内側から外側へルーティングされる場合、つまり Scanner Appliance が保護されているネットワーク領域内にあり、ファイアウォールの反対側にある対象をスキャンする場合、問題が生じることがあります。詳細
Scanner Appliance オプションが表示されるのは、アカウントに Scanner Appliance がある場合に限られます。このオプションが表示されない場合、スキャンでは自動的に外部スキャナが使用されます。
サポートまたはテクニカルアカウントマネージャに、1)物理 Scanner Appliance を出荷してもらうか、2)サブスクリプションの「Virtual Scanner」オプションを有効にしてもらい、Virtual Scanner イメージをダウンロードしてスキャナの設定を簡単な手順で行うことができます。