QualysGuard(R) Release Notes

Transcription

1 QualysGuard 7.8 リリースノート 2013 年 2 月 14 日 QualysGuard 7.8 が利用可能になりました QualysGuard クラウドスイートのセキュリティおよびコンプライアンスアプリケーションの今回の新リリースでは 脆弱性管理とポリシーコンプライアンスに対して改善が実施されました QualysGuard クラウドプラットフォーム Amazon EC2 アセットインベントリとスキャン Hitachi ID Privileged Access Manager(PAM) のサポート信頼できる認証局のインポート初回ログイン後の強制的なパスワード変更スケジュールスキャンの改善通知の送信元 E メールアドレスの変更データリストの拡張 QualysGuard 脆弱性管理 (VM) 脆弱性スコアカードレポートの拡張パッチレポートにおける実行されていない Linux カーネルのフィルタ QID のレガシーコンプライアンス情報の非推奨化 QualysGuard PC(Policy Compliance) ユーザ定義コントロールに追加される Unix テクノロジ QualysGuard API の機能拡張 VM スキャン結果の XML 選択したアセットタグを表示する新しい要素アセット IP API v1 CIDR 形式のサポートとクラス A の IP アドレスの追加 HYPERLINK \l "_ Asset_Group _APIv1_ " 検出 API v2 実行されていないカーネルで見つかった脆弱性を除外 無断複写 転載を禁じます 2013 年クォリスジャパン株式会社 1

2 QualysGuard クラウドプラットフォーム Amazon EC2 アセットインベントリとスキャン 新しい Amazon EC2 データコネクタ A ユーザが Amazon EC2 asset データコネクタを作成すると Amazon EC2 および VPC 仮想マシンインスタンスインベントリの QualysGuard アセットデータベースへのインポートと同期が継続的に行なわれるようになりました 既存のインスタンス ( 例えば IP アドレス ) に対する変更は QualysGuard アセットデータベースで自動的に更新されます ユーザに必要なのは各自の Amazon アカウントの読み取り専用の資格情報を用意することだけで その他の処理は Amazon API との通信を介して QualysGuard が自動的に行います QualysGuard のワークフローとレポート全体を駆動できる動的なアセットタグが インポート処理の一環として自動的に割り当てられます 使用する Amazon EC2 と VPC インスタンスのインスタンス情報とメタデータ ( 例えば AMI ID やインスタンス起動時刻 ) も より詳細な情報を動的アセットタグに提供するデータポイントとして QualysGuard に取り込まれて 使用可能になります アカウントで EC2 スキャン機能が有効になっているという要件があるので注意してください アカウントでこの機能を有効にするには テクニカルアカウントマネージャまたはテクニカルサポートにお問い合わせください Virtual Scanner の設定とアクティブ化 Amazon EC2/VPC を使用して Virtual Scanner を設定するには QualysGuard Virtual Scanner ユーザガイド に記載されている手順に従います 最新バージョンは QualysGuard アカウントから Help Resources Scanner Appliance を選択するとダウンロードできます EC2 コネクタの作成 QualysGuard アカウントでモジュールピッカーから ASSET を選択し Connectors タブで Actions Create EC2 Connector を選択します Create EC2 Connector ウィザードを使用して スキャンする EC2 ホストを選択するためのステップを順に行います すべてのリージョン または選択されたリージョンを選択できます リージョンの選択後 スキャンするホストをアクティブ化し アセットタグを割り当てるよう指示されます QualysGuard リリースノート 2

3 設定した EC2 ホストは Assets タブに表示されます EC2 ホストがアクティブ化されると VM アプリケーションに青色のアイコンで表示されます ヒント : ホストを検出したときにアクティブ化しないように EC2 コネクタを設定している場合は アセットリストからいつでもホストをアクティブ化できます 1 選択した EC2 コネクタでアクティブ化されていないアセットを表示するようにアセットリストにフィルタをかけます 2 アクティブ化するアセットを選択し Actions メニューの Activate Assets を選択します QualysGuard リリースノート 3

4 事前認証された Amazon EC2 スキャン QualysGuard 7.8 では 新しい Amazon EC2 スキャンのワークフローが QualysGuard VM に導入されています これは Amazon EC2 データコネクタと連携して 自分のインスタンスを現在の IP アドレスによって効果的に対象化し 他の Amazon ユーザが所有するインスタンスを誤って対象にすることを防止する統合化されたスキャン機能を提供します この緊密な統合により QualysGuard を使用する Amazon EC2 スキャンは Amazon によって事前認証されており Amazon の標準的な認証プロセスによる事前承認を得ることなく Amazon EC2 および VPC のオンデマンドスキャンとスケジュールスキャンを実行できます 今回の初期リリースでは 事前認証された Amazon EC2 スキャンは Amazon EC2 および VPC の内部プライベート IP スキャンで使用可能になっています これには AWS Marketplace に投稿した当社の AMI(Amazon Machine Image) テンプレートから各自の Amazon アカウントに導入する QualysGuard Virtual Scanner Appliance( 事前認証 ) のインスタンスを使用します EC2 ホスト上での脆弱性スキャンの起動 すべてのマネージャは QualysGuard アカウントにログインして EC2 ホストの脆弱性スキャンの起動とスケジュール設定を行えます オンデマンドスキャンの場合 VM ー > Scans を選択して New EC2 Scan を選択してから 1)Amazon EC2/VPC 用に設定した Virtual Scanner を選択し 2)EC2 データコネクタを選択し 3)EC2 ホストに割り当てられたアセットタグを選択して 4) Launch をクリックします スキャンプロセスは 他の脆弱性スキャンと同じです スキャンが完了すると スキャンした各 EC2 ホストがスキャン結果の Detailed Results にリストで表示されます スキャンした各ホストの 1)IP アドレスと 2)Amazon ホスト ID( 複数の場合もあり ) が表示されます QualysGuard リリースノート 4

5 Hitachi ID Privileged Access Manager(PAM) のサポート Windows ホストおよび Unix ホストに対する脆弱性スキャンとコンプライアンススキャンの両方について 既存の Hitachi ID Privileged Access Manager(PAM) を使用した QualysGuard 認証スキャンを実行できるようになりました Hitachi ID PAM Vault は Hitachi ID Management Suite バージョン 7.3 以降の Hitachi ID PAM の既存のインストールから取得して認証に使用するパスワードに サービスがアクセスできるようにするためのユーザ定義の設定です Hitachi ID PAM との統合には 次の要件があります 1)HTTP または HTTPS プロトコルで動作するようにスキャナを統合するには Hitachi ID PAM のユーザインタフェースで webservices オプションを有効にする必要があります Manage System Maintenance Services を選択して Hitachi ID (idapi) API Service を有効にし これが動作することを確認します 2)Hitachi ID PAM 環境で設定する必要があるこの他の設定については Hitachi ID Systems Customer Portal ( ログインが必要 ) にある QualysGuard Integration Notes を参照してください 新しい Hitachi ID PAM Vault レコードの作成方法 Scans Authentication New Authentication Vaults を選択します 次に New Hitachi ID PAM を選択します 1 この Authentication Vault を識別する一意のタイトルを入力します このタイトルは この Authentication Vault を (Windows または Unix の ) 認証レコードに適用するときに選択します 2 Hitachi ID PAM Web サービスの HTTP URL または HTTPS URL を入力します SSL Verify が選択されている場合は ( デフォルト ) URL に HTTPS プロトコルを使用する必要があります 3 Hitachi ID PAM ユーザアカウントのユーザ名 (ID) を入力します このアカウントを使用して Qualys スキャナが接続できるためには このユーザが Hitachi ID Management Suite の Administrator information の設定で 1) OTP IDAPI caller の権限を持ち 2) IP address with CIDR bitmask フィールドに入力した値が Qualys スキャナの IP アドレスに含まれていることが必要です 4 Hitachi ID PAM ユーザアカウントのパスワードを入力します 5 このオプションをオフ ( チェックを外す ) にしない限り Qualys スキャナは Hitachi ID PAM Web サーバの SSL 証明書が有効で信頼できることを確認するための検証を行います QualysGuard リリースノート 5

6 Windows/Unix レコードで Vault レコードを指定する方法 Windows または Unix の認証レコードの Login Credentials 項で Authentication Vault を選択します Vault のタイプで Hitachi ID PAM を選択し Vault レコードのタイトルを指定して システムアカウントのユーザ名を入力します 次の Windows レコードの例を参照してください 動作方法 Hitachi ID PAM からパスワードを取得するには スキャン対象の IP アドレスと FQDN( ホスト名 ) が必要です ドメイン認証を必要としない Unix ホストおよび Windows ホストの場合 認証レコードに IP アドレスを入力すると ホストの FQDN を取得するために DNS の逆引きクエリが実行されます ドメイン認証が必要な Windows ホストの場合 ドメインコントローラの IP アドレスを取得するために通常の DNS クエリが実行され Hitachi PAM にパスワードをクエリするときに この IP とドメインの FQDN が使用されます 信頼できる認証局のインポート スキャナでは公開された周知のルート認証局と中間認証局を使用して SSL 接続を確立し SSL 証明書を検証します このリリースでは 顧客のサブスクリプションにあるスキャナで使用するために プライベート認証局のリストを作成する機能が導入されました スキャナは SSL 検証が必要な場合に既に QualysGuard でいつも使用されている周知の認証局に加えて この信頼できる認証局のカスタムリストを使用します 例えば SSL 検証で Thycotic Secret Server のパスワード Vault に接続する必要があるものとします このパスワード Vault にプライベート認証局で発行された証明書が設定されている場合 接続に成功するためにカスタムのルート CA( 認証局 ) をサブスクリプションにインポートできるようになりました この例は VMware 認証用に Hitachi ID PAM パスワード Vault に接続するために SSL が使用される場合にも適用されます また スキャン中に https を介して利用できる内部 Web サーバのプライベート証明書を検証するために使用するということも考えられます 重要 : この機能を使用する場合 証明書が現行のものであることの確認や強力な暗号化アルゴリズムの使用など 現在のセキュリティのベストプラクティスを満たすために CA リストのメインテナンスを行うことはユーザの責任です QualysGuard リリースノート 6

7 Scanner Trusted CA オプションを有効にする方法 サブスクリプションの一次連絡先のマネージャが 最初にこの機能を有効にする必要があります Scans Setup Scanner Trusted CA を選択して 表示される免責事項を承認します 信頼できる認証局のチェーンを設定することをサブスクリプションのマネージャに許可することを承認する場合は I Accept をクリックします これが承認されると すべてのマネージャが Scanner Trusted CA を選択して 信頼できる認証局をインポートできるようになります 信頼できる認証局をインポートする方法 PEM でエンコードされた証明書をインポートするには Scanner Trusted CA ウィンドウで Browse ボタンをクリックします QualysGuard リリースノート 7

8 インポートされた認証局は ページの上部にリストで表示されます リスト内の認証局をクリックすると 発行者についての情報 証明書が有効だとされる期間 スキャナが SSL 検証で使用する MD5 および SHA1 フィンガープリントなどの詳細が表示されます 詳細が表示される様子を次に示します 認証局を削除する方法 リストにある認証局を選択して Remove ボタンをクリックするだけです 選択した認証局はデータベースから削除され 以後 SSL 検証では使用されなくなります QualysGuard リリースノート 8

9 認証局の有効期限が切れた場合 認証局の有効期限が切れると 識別しやすくするために赤色で強調表示されます 有効期限が切れた CA 証明書が使用されると SSL 検証は失敗します 脆弱性の評価テスト中に有効期限の切れたカスタム CA 証明書が使用されると QID SSL 証明書 - 失効 (SSL Certificate - Expired) が脆弱性スキャン結果にレポートされます ( この QID は 証明書の有効期限が切れたために失敗した接続をパスワード Vault にはレポートしません ) 初回ログイン後の強制的なパスワード変更 マネージャは ユーザが初めてログインしたときにパスワードを強制的に変更できるようになりました これは すべての新しいユーザアカウントに影響するサブスクリプションレベルのオプションです 操作手順 Users Setup Security を選択し Password Security 項まで下にスクロールします Force password change at initial login オプションを選択します このオプションは Allow user defined passwords が選択されている場合にのみ使用できます QualysGuard リリースノート 9

10 Force password change at initial login が有効な場合 次に示すように 初めてログインするとき およびパスワードがリセットされたときに ユーザはパスワードを変更するよう必ず指示されるようになります スケジュールスキャンの改善 起動時にアセットタグがホストに解決されない場合でも スケジュールスキャンが無効にならなくなりました QualysGuard では この回のスキャンをスキップし 次回の起動日付を設定します スキップされたスキャンは 参考のためにアクティビティログに表示されます 次に例を示します 通知の送信元 E メールアドレスの変更 スケジュールスキャンの E メール通知が E メールアドレス support@qualys.com から送信されなくなりました これは 通知がスパムとして誤認されないようにするための取り組みの一環です 通知 E メールは qualys@qualys.com から送信されるようになりました QualysGuard リリースノート 10

11 データリストの拡張 このリリースでは データリストの UI が改善されました カラムの幅を変更する機能 一部のデータリストで ユーザがカラムの幅を変更できるようになりました カーソルをヘッダ行のカラムとカラムの間において カーソルを右または左にドラッグするとカラムの幅を変更できます 選択された行数の表示と選択の解除 Actions ボタンにデータリストで選択されている行の数が表示されるようになりました これは削除など 一括アクションの対象となる項目の数を示しています 選択された行の表示は 複数のページにわたって行を選択している場合には特に便利です また Actions メニューから Clear Selections を選択するだけで 1 回で簡単にすべての選択を解除できるようになりました 次の例では Users リストで 3 人のユーザが選択されています リストで選択されている行の数が Actions ボタンに表示されます リスト内で選択されているすべての行の選択を解除 ( クリア ) するには Actions Clear Selections を選択します QualysGuard リリースノート 11

12 QualysGuard 脆弱性管理 (VM) 脆弱性スコアカードレポートの拡張 このリリースでは 企業のセキュリティポリシーに則って修正する必要のある脆弱性の改善に責任を負う各種チームのパフォーマンスを監視するために ユーザは新しいスコアカードテンプレートを作成できます 異なるグループまたはビジネスユニットの全般的なリスク状態をすばやく確認するための目標も作成できます また追加された脆弱性管理基準により マネージャは企業の脆弱性の改善への取り組みを従来よりも追跡しやすくなっています スコアカードレポートは レポートの実行がより容易なワークフロー 検索リストを使用した QID 選択 アセットタグを使用したホスト選択 目標と管理基準の備わった脆弱性スコアカードレポートの点で改善が行われました パッチレポートのスコアカードには変更はありません スコアカードレポートの実行がより容易に これまでよりも見つけやすいように New メニューでの Scorecard Report オプションがより上に位置するようになりました VM Reports を選択します Report Share が有効な場合は Reports New Scorecard Report を選択します Report Share が有効でない場合は Templates New Scorecard Report を選択します 次の例は Report Share が有効なアカウントの場合です スコアカードレポートを実行する場合 レポートに含めるホストを指定するためにアセットタグを使用できるようになりました Asset Tags 項は Report Source に表示されます レポートするタグを指定して Run をクリックします QualysGuard リリースノート 12

13 QID 選択のサポート このリリースでは よりきめの細かい脆弱性フィルタで検索リストを指定する機能が導入されました これにより レポートに脆弱性のカスタムリストを指定できます テンプレートの Display 項で Show Included & Excluded Search List summary オプションを選択すると レポートで指定される検索リストのサマリを含めることができます 目標と管理基準のある脆弱性スコアカードレポート 脆弱性スコアカードレポート ( 以前のアセットグループ脆弱性レポート ) には レポートに含まれるアセットグループ / タグごとの脆弱性の件数をレポートするための新しいオプションがあります Business Risk Goal オプションの詳細 Business Risk Goal オプションは スライダバーを使用して設定します この目標は 受け入れられる最大のリスクを各アセットグループまたはタグにある脆弱性ホストに対する割合で表したものです ホストが 1 つまたは複数の選択された QID による影響を受けていると ホストには脆弱性があるとみなされます 影響を受けているホストの割合が この目標以下である場合 アセットグループまたはタグは合格します 次のページにあるレポートの例を参照してください この例では グループ / タグ内で脆弱性のあるホストが 30% 以下である場合 アセットグループ / タグは合格します QualysGuard リリースノート 13

14 脆弱性スコアカードレポートの例 レポートの上部には 重大度 タイプ ステータス 経過時間ごとの脆弱性の件数が表示されます 脆弱性のあるホストの割合です 合格 ( 緑色 ) と不合格 ( 赤色 ) のステータスは テンプレートの Business Risk Goal スライダバーで決定されます レポートで選択されている QID の情報を表示するには さらに下にスクロールします QualysGuard リリースノート 14

15 KnowledgeBase にある 件の QID のうち レポート用に 149 件が選択されており 件は選択されていません 22 件の QID は 選択から削除されています ( これらの QID は検索リストに含める QID と検索リストから除外する QID の両方に含まれています ) パッチレポートにおける実行されていない Linux カーネルのフィルタ このリリースでは パッチレポートテンプレートに新しい カーネルのフィルタ が導入されています カーネルのフィルタが有効 ( オンに設定 ) な場合 アクティブで実行中の Linux カーネルで検出された脆弱性のパッチのみがレポートに含まれます カーネルのフィルタはデフォルトでは有効になっていません QualysGuard リリースノート 15

16 QID のレガシーコンプライアンス情報の非推奨化 ( 代わりにポリシーコンプライアンスを使用 ) CobIT HIPAA GLBA および SOX のコンプライアンス情報に基づいて脆弱性 (QID) の検索とレポートを行う機能は 非推奨になりました この機能は アプリケーションの将来のリリースからは完全に削除されます PCI コンプライアンスに関連付けられた QID の検索は 今までどおり実行できます QualysGuard リリースノート 16

17 QualysGuard ポリシーコンプライアンス (PC) ユーザ定義コントロールに追加される Unix テクノロジ このリリースでは CentOS 6.x Oracle Enterprise Linux 6.x Red Hat Enterprise Linux 6.x および Ubuntu 10.x 11.x 12.x の Unix テクノロジが追加されました ユーザ定義コントロールの作成 ユーザ定義コントロールを作成または編集する場合 新しく追加するテクノロジのデフォルト値を設定できます PC Policies Controls に移動し New Control を選択します 任意の Unix コントロールタイプで Get Started をクリックします Control Technologies 項に新しいテクノロジが表示されます 新しいポリシーの作成 新しいテクノロジの 1 つに基づいてポリシーを作成します PC Policies Policies に移動し New Policy を選択します 1 つまたは複数のテクノロジを選択して Create をクリックします 次の例では Oracle Enterprise Linux 6.x と Red Hat Enterprise Linux 6.x の両方がポリシー用に選択されています ポリシーで表示されるには テクノロジが選択されたコントロールが少なくとも 1 つはあることが必要です コントロールの検索 追加したテクノロジに適用されるコントロールを検索できます PC Policies Controls に移動し Search をクリックします Technologies リストからテクノロジを選択し Search ボタンをクリックします 検索ウィンドウに表示されるには テクノロジが選択されたコントロールが少なくとも 1 つはあることが必要です QualysGuard リリースノート 17

18 QualysGuard API の機能拡張 今回のリリースでは QualysGuard API に新機能の追加と機能拡張を行いました VM スキャン結果の XML 選択したアセットタグを表示する新しい要素 脆弱性スキャン結果の XML に スキャン対象としてユーザが選択したアセットタグを表示する新しい要素が追加されました 脆弱性スキャン結果の XML では scan-1.dtd が使用されますが この DTD には新しいアセットタグ選択要素が含まれています scan-1.dtd は から入手できます (qualysapi.qualys.com は ご使用のアカウントがある API サーバです ) アセット IP API v1 CIDR 形式のサポートとクラス A の IP アドレスの追加 アセット IP API v1(/msp/asset_ip.php) を使用すると ユーザはサブスクリプション内のホストアセットと関連データの追加と編集が可能になります このリリースでは 次の拡張が追加されました 1) 単一のアセット IP リクエストを使用して クラス A ネットワークの IP アドレスを追加または編集できます 1 回のリクエストで最大 16,777,216 個の IP を追加または編集できます 2) ホストの指定に CIDR 記法を使用できます ( 例えば クラス A ネットワークの場合 /8) 検出 API v2 実行されていないカーネルで見つかった脆弱性を除外 検出 API v2(/api/2.0/fo/asset/host/vm/detection/) を使用すると 自動処理が可能な脆弱性検出データを取得して サードパーティ製のソリューションに簡単にインポートできます QualysGuard 7.8 では 新しい active_kernels_only=1 パラメータを指定することで 実行されていない Linux カーネルで見つかった脆弱性を XML 出力から除外できます この新しいパラメータは サブスクリプションで New Data Security Model が有効になっているユーザが使用できます 詳細については QualysGuard API リリースノート 7.8 を参照してください リリースが利用可能になると このドキュメントはご使用のアカウントから Help Resources API を選択してダウンロードできます QualysGuard リリースノート 18