はじめに脆弱性診断管理サービスをすぐにご利用いただけるように QualysGuard にログインして脆弱性スキャンを実行する方法をご説明します基本的なステップは以下の 2 段階の手順に分けられます手順 1 スキャンの準備をする 1.1 QualysGuard へのログイン 1.2 IP アド

ネットワーク全体の脆弱性を網羅的に検査する FUJITSU Security Solution 脆弱性診断管理サービス簡易操作マニュアル 2013 年 8 月富士通株式会社クラウドセキュリティ事業部

はじめに脆弱性診断管理サービスをすぐにご利用いただけるように QualysGuard にログインして脆弱性スキャンを実行する方法をご説明します基本的なステップは以下の 2 段階の手順に分けられます手順 1 スキャンの準備をする 1.1 QualysGuard へのログイン 1.2 IP アドレスの登録 1.3 アセットグループの作成手順 2 スキャンを実行する 2.1 脆弱性スキャンの実施ご参考 1. スケジュールスキャンを設定する 2. スキャン結果通知の制限 3. オプションプロファイルについてヘルプ各種確認事項オンラインヘルプについて脆弱性スキャン実施元 IP アドレスの確認方法ご利用アカウントの有効期限の確認方法 Assigned Asset Groupに登録されているアセットグループの確認方法 Target Hostsに登録したアセットグループの確認方法 1

手順 1 スキャンの準備をする 1.1 QualysGuard へのログイン (1) アカウント取得 (2) ログイン (3) 完了 2

アカウント取得 (1) QualysGuard へログインするためのアカウント情報をメールでお送りします受領したアカウント票からログイン ID およびパスワードを確認しますアカウント票ログイン ID:Xxxxx _xx パスワード :xxxxxxxxxx 3

ログイン (2) QualysGuard ログイン画面 (https://qualysguard.qualys.com ) にアクセスしアカウント票に記載されているログイン ID とパスワードを入力し Login ボタンをクリックします Xxxxx _xx xxxxxxxxx x 4

完了 (3) QualysGuard ログイン後以下の HOME 画面が表示されますメニューバータブ New から新しいスキャンの開始や新しいレポートの作成などを行う選択した行の上から Quick Actions メニューを使用して参照 / 編集やダウンロードなどができる 5

手順 1 スキャンの準備をする 1.2 IP アドレスの登録 (1) Assets から IP Tracked Hosts を選択 (2) Host IPs の登録 6

Assets から IP Tracked Hosts を選択 (1) メニューバーで Assets を選択後 Host Assets タブの New - IP Tracked Hosts を選択します 1 メニューバーから Assets を選択 2 Host Assets タブを選択 3 New から IP Tracked Hosts を選択登録可能な IP アドレス数に達した場合 New を押下後 IP Tracked Hosts DNS Tracked Hosts NetBIOS Tracked Hosts は表示されません 7

Host IPs の登録 (2) [New Hosts] 画面から Host IPs タブにスキャンを実施する機器の IP アドレスを入力し Add をクリックしますスキャンを実施する機器の IP アドレスを入力 8

手順 1 スキャンの準備をする 1.3 アセットグループの作成 (1) Asset Group の選択 (2) Asset Group Title の設定 (3) Assigned IPs の登録 9

Asset Group の選択 (1) メニューバーで Assets を選択後 Asset Groups タブの New - Asset Group を選択します 1 メニューバーから Assets を選択 2 Asset Groups タブを選択 3 New から Asset Group を選択アセットグループとは IP アドレス (= 資産 ) のグループです IP アドレスまたはドメイン (FQDN) をグルーピングしその属性を示す名前を割り当てて管理します予め IP アドレスをグルーピングしておくことで効率的にスキャンをすることが可能です 10

Asset Group Title の設定 (2) [New Asset Group] 画面の Asset Group Title タブで Title に任意のタイトルを入力します含まれる IP アドレスの属性やドメインがわかるようなグループ名等を入力 11

Assigned IPs の登録 (3) [New Asset Group] 画面の IPs タブで作成するアセットグループの属性に基づく IP アドレスを Available IPs 欄から選択し Add>> をクリックします Assigned IPs 欄に選択した IP アドレスが移動したのを確認 Save で設定を保存します Available IPs 欄からアセットグループに追加する IP アドレスを選択 Assigned IPs 欄へ移動 12

手順 2 スキャンを実行する 2.1 脆弱性スキャンの実施 (1) スキャン対象の選択 1 (2) スキャン対象の選択 2 (3) スキャン実行 (4) スキャンのステータス確認 (5) 結果表示ダウンロード 13

スキャン対象の選択 1 (1) メニューバーで Scans を選択後 Scans タブ - New - Scan を選択します [Launch Vulnerability Scan] 画面でスキャンのタイトルを入力オプションプロファイルの設定 Asset Groups の Select から登録したアセットグループを選択します 1 メニューバーから Scans を選択 2 Scans タブを選択任意のタイトルを入力オプションプロファイル InitialOptions(default) を選択イントラネット診断はスキャナアプライアンスを選択 3 New から Scan を選択 AssetGroups の Select をクリック 14

スキャン対象の選択 2 (2) [Select Asset Groups] 画面でスキャン対象であるアセットグループのチェックボックスをチェックし Add をクリックします対象のアセットグループを選択 15

スキャン実行 (3) [Launch Vulnerability Scan] 画面の Asset Groups 欄に選択したアセットグループ名が表示されます Launch をクリックしスキャンを実行しますスキャン実行 16

スキャンのステータス確認 (4) メニューバーで Scans を選択後 Scans タブにスキャンのリストが表示されます Status 欄の Finished (Processed) を確認後結果表示やレポート作成などを行います 1 メニューバーから Scans を選択 2 Scans タブを選択スキャン結果の処理済アプリケーション全体でスキャン結果が反映されていることを示すスキャン結果の処理中 17

結果表示ダウンロード (5) メニューバーで Scans を選択後 Scans タブでタイトル ( 行 ) を選択し Quick Action メニューの View を選択すると新しいウインドウにスキャン結果が表示されますスキャン結果の表示スキャン結果のダウンロード診断中はアクティブになります一覧から任意のフォーマットを選択し Download をクリック 18

( ご参考 1) スケジュールスキャンを設定するスケジュールスキャンとは Map や Scan は予め特定の日時または定期的に実行するようにスケジュール設定をしておくと設定したスケジュールにスキャンが自動で実行されます [ 手順 2 スキャンを実行する ] のスキャン方法はオンデマンドによるスキャン方法です 19

スケジュールによるスキャンの設定 (1) メニューバーで Scans を選択後 Scans タブの New - Schedule Scan を選択しますもしくは Schedules タブの New - Schedule Scan からも可能です 1 メニューバーから Scans を選択 2 Scans タブを選択 3 New から Schedule Scan を選択 20

Task Title タブの設定 (2) [New Scheduled Vulnerability Scan] 画面の Task Title タブで任意のタイトルを入力しオプションプロファイルを設定します任意のタイトル ( 設定するスケジュールの内容がわかるような名称 ) を入力オプションプロファイルを Initial Options(default) に設定イントラネット診断の場合スキャナアプライアンスを選択 21

Target Host タブの設定 (3) [New Scheduled Vulnerability Scan] 画面の Target Hosts タブで定期的にスキャンを実施するアセットグループまたは IP アドレスを選択します Asset Groups か IPs/Ranges の Select からスキャン対象の IP アドレスまたはアセットグループを選択 22

Scheduling タブの設定 (4) [New Scheduled Vulnerability Scan] 画面の Scheduling タブでスケジュールを設定しますスケジュールスキャンを実施する日時を設定開始日時に適用される地域のタイムゾーンを選択 X 回実施した後に設定を無効にする場合に入力 X Daily Weekly Monthly から選択 Daily( 日間隔 ) : days : 日ごとに実施 Weekly( 週間隔 ) : Every weeks : 週ごとに実施希望の曜日のチェックボックスにチェック Monthly( 月間隔 ): Day (A)of every (B)month :(B) 月ごとの (A) 日に実施 The [A][B]of every (C)month :(C) 月ごとの第 [A] 週の [B] 曜日に実施 23

Notifications タブの設定 (5) ( 必要により )[New Scheduled Vulnerability Scan] 画面の Notifications タブでスケジュール開始時の電子メール通知の設定をしますスケジュールタスクの所有者に電子メール通知を送信する場合予定された開始時間の 1~ 31 日前 1~ 24 時間前または 5~ 120 分前に通知を設定通知の宛先を追加する場合電子メールアドレスを入力電子メール通知に含めるカスタムメッセージを入力 24

Schedule Status タブの設定 (6) ( 必要により )[New Scheduled Vulnerability Scan] 画面の Schedule Status タブでタスクのアクティブ / 非アクティブ設定を行い Save をクリックしますスケジュールされている時間にスキャンを実行しない場合このチェックボックスをオンにしますタスクは一時的に非アクティブになりますスキャンを再度アクティブにするにはこのチェックボックスをオフにします 25

( ご参考 2) スキャン結果通知の制限スキャン結果通知の制限とは QualysGuard7.1 よりスキャン結果を必要とする認証されたビジネスユニットのメンバーのみに確実に送信されるよう Map 通知や Scan 通知の制御機能が追加されました 26

ユーザロールの権限と概要マネージャー監査者ユーザロールこのユーザーロールは Policy Compliance モジュールが有効な場合に使用することができますユニットマネージャスキャナリーダ連絡先権限の概要想定されるユーザ : 最高セキュリティ責任者 (CSO) セキュリティマネージャ - 全てのアセットへのアクセス権を持つ最も権限の高いユーザロール - 検出 ( マップ ) セキュリティ監査 ( スキャン ) レポート改善 -アセットとユーザの管理 -サブスクリプションポリシーの設定とグローバルな設定の調整想定されるユーザ : セキュリティ監査者サードパーティのコンサルタント -ポリシー例外リクエストおよびコンプライアンスレポートの管理 -サブスクリプション内のすべてのコンプライアンスホストへのアクセス想定されるユーザ : 部署の管理者地域の管理者 - 検出 ( マップ ) セキュリティ監査( スキャン ) レポート改善 - 割り当てられたビジネスユニット内のアセットグループへのアクセス - 割り当てられたビジネスユニット内のアセットとユーザーの管理想定されるユーザ : セキュリティエンジニア IT 管理者内部コンサルタント - 検出 ( マップ ) セキュリティ監査( スキャン ) レポート改善 - ユーザのアカウント内のアセットグループへのアクセス想定されるユーザ : エグゼクティブ外部コンサルタント監査者 ITアシスタント - レポートと改善のみ - ユーザのアカウント内のアセットグループへのアクセス想定されるユーザ : 監視または追跡デバイス監査者警告システム - QualysGuardユーザインタフェースにはアクセスしない - スキャンとマップの概要 Eメールの通知を受け取る - ユーザのアカウント内のアセットグループへのアクセス 27

ユーザロールの選択 (1) 各ユーザごとの業務範囲に応じてユーザロールを選択することによりユーザ管理やアセットへのアクセス権等の権限が付与できますまた複数のユーザに同一のユーザロールを割り当てることも可能です 1 メニューバーから Users を選択 2 Users タブを選択 3 New から User を選択 4 ドロップダウンリストからユーザロールを選択 5 Save をクリックし設定を保存 28

スキャンの完了通知の設定 (2) 完了通知が必要なユーザが以下の条件を満たす設定であるか確認しますユーザーロールが Manager の場合ユーザー設定の Options で Scan Complete Notification が On になっているユーザーロールが Manager 以外の場合アセットグループが設定されているアセットグループの詳細は次の ( ご参考 2) をご確認下さい各ユーザでの設定で 1 登録したアセットグループが Assigned Asset Groups に登録されている 2 Options で Scan Compleate Notification が On になっている Schedule Scan の Target Hosts に登録したアセットグループが設定されている On が選択されているか確認 29

補足各ユーザでのアセットグループ設定ユーザーロールが Scanner Reader Contact の場合以下の手順でアセットグループを設定して頂く必要がありますその他のユーザーロールではアセットグループの設定は必要ありません 1 メニューバーから Users を選択 2 Users タブを選択 4[Edit User] 画面の Asset Groups タブを選択 3 Edit を選択 5 Available Asset Groups から任意のアセットグループを選択します Add>> をクリックし Assigned Asset Group に追加された事を確認 Save をクリックして保存します 30

( ご参考 3) オプションプロファイルについてオプションプロファイルとは Map や Scan を実行するときオプションプロファイルを選択しますオプションプロファイルは診断対象の情報をどのように収集するのかどのようにセキュリティ評価をするのかについて設定するファイルです設定内容によって Map や Scan の結果に影響があります使用例 1: 診断対象サーバへの負荷を考慮してパフォーマンスレベルを下げて設定したオプションプロファイルを作成しスキャンを実施する使用例 2: 必要に応じて特定のポートのみや特定の脆弱性のみをスキャンするように設定したオプションプロファイルを作成しスキャンを実施する 31

オプションプロファイルの確認デフォルトで数種類のオプションプロファイルがご用意されています用意されているオプションプロファイルをカスタマイズしたり新規に作成することも可能です Initial Options(default) はデフォルトでご用意している一般的に利用可能なオプションプロファイルです新規ユーザの場合は Initial Options(default) の利用を推奨します 1 メニューバーから Scans を選択 2 Option Profiles タブを選択一般的なデフォルトのオプションプロファイル用意されているオプションプロファイルを編集する場合はオプションプロファイル行を選択し Quick Actions メニューで Edit を選択し設定内容を編集しますオプションプロファイルを新規作成する場合は New - Option Profiles を選択します 32

オプションプロファイルで設定できることオプションプロファイル Scan 設定一覧 Scan 設定項目説明初期設定 TCP Ports スキャンする TCP ポートを選択します Standard Scan (about 1900 ports) UDP Ports スキャンする TCP ポートを選択します Standard Scan (about 180ports) Perform 3-way Handshake スキャン対象のホストとスリーウェイハンドシェークを実行するかどうかを指定します無効 Authoritative Option 信頼オプションが有効かどうかを指定します無効 Scan Dead Host 反応のないホストも最後までスキャンする場合チェックします無効 Load Balancer Detection ロードバランサ検出を有効にするかどうかを指定します無効 Performance スキャンの全体的なパフォーマンスレベルを指定します Normal( 推奨 ) Password Brute Forcing Vulnerability Detection Authentication スキャンで実行するパスワードの総当たり攻撃のレベルを指定しますスキャンする脆弱性を選択します Windows MS SQL Unix/Cisco IOS Oracle Oracle リスナおよび SNMP システムで認証済みの信頼できるスキャン ( 認証情報を設定して行うスキャン ) を有効にするかどうかを指定します別途上部メニュー Scans から Authentication タブにてログイン情報を登録する必要があります No Brute Forcing Complete ( すべての脆弱性をスキャン ) 無効 Share Enumeration Windows 共有の列挙を有効にするかどうかを指定します無効 33

ヘルプ各種確認事項オンラインヘルプについて脆弱性スキャン実施元 IPアドレスの確認方法ご利用アカウントの有効期限の確認方法 Assigned Asset Groupに登録されているアセットグループの確認方法 Target Hostsに登録したアセットグループの確認方法 34

オンラインヘルプについて QualysGuard にログインしオンラインヘルプで各種操作を確認することができます 1. メニューバーの Help - OnlineHelp を選択します 2. アプリケーションを選択してヘルプを参照または単語を入力して検索することも可能です選択する 35

脆弱性スキャンの実施元 IP アドレスの確認方法 QualysGuard にログインしスキャン実施元の IP アドレスを確認することができます 1. メニューバーの Help - About を選択します 2. Security Operations Center(SOC) 欄に記載されているアドレス群のうち自動的に 1IP が選択されスキャンされます 36

ご利用アカウントの有効期限の確認方法 QualysGuard にログインしご利用のアカウントの有効期限を確認することができます 1. メニューバーの Help - Account Info を選択します 2. Valid Until 欄に記載されている日付がご利用のアカウントの有効期限になります 37

Assigned Asset Group に登録されているアセットグループの確認方法 Assigned Asset Groups に登録されているアセットグループを [Asset Group Information ] 画面から確認することができます 1 メニューバーから Assets を選択 2 Asset Groups タブを選択 3 任意のチェックボックスにチェック 4 info を選択 5 Users タブを選択ユーザーロールが Scanner Reader Contact 以外の場合はアセットグループの登録がないため The following users have been assigned to this group: 欄に表示されません Assigned Asset group に登録されているユーザーが表示されます 38

Target Hosts に登録したアセットグループの確認方法スケジュールスキャンの Target Hosts に登録したアセットグループが設定されているかを下記画面にて確認することができます 1 メニューバーから Scans を選択 2 Schedules タブを選択 Inactive schedule Active schedule Target Hosts に登録したアセットグループが表示されます 39