アセット上の設定の定期的な監査の実行が、組織により義務付けられている場合があります。米国政府機関、連邦政府と取引関係にある企業、またはセキュリティルールが厳しい企業に勤務しているケースでは、アセットが特定の設定規格セットを満たしているかを検証しなければならない場合があります。例えばお客様の会社では、ユーザーが不正なログオン試行を一定回数行ったら、すべてのワークステーションからそのユーザーをロックアウトすることを義務付けているかもしれません。
脆弱性スキャンのように、ポリシースキャンはセキュリティ状況を計るために有用です。IT部門がセキュアな設定慣行に従っているかの確認に役立ちます。本アプリケーションを使用して、設定アセスメント監査の一環としてアセットをスキャンすることが可能です。ポリシー・マネージャーと呼ばれるライセンス方式の機能により、複数の設定規格のコンプライアンスチェックが行われます:
米国政府共通設定基準(USGCB)は、米国政府機関に配備されている情報テクノロジー製品向けの、セキュリティ設定ベースライン作成のためのイニシアチブです。USGCB 2.0はFDCC(後述)が進化したものであり、米国政府内で義務付けられている設定セキュリティとして置き換えられています。連邦政府と取引関係にある、または米国政府のネットワークに接続するコンピュータを有する企業は、USGCB 2.0規格に準拠しなければなりません。詳細については、usgcb.nist.govをご参照ください。
USGCB 2.0は、1.0の「アップデート」ではありません。2つのバージョンは別個のエンティティと見なされています。このため、本アプリケーションには後のバージョンのものに加えて、USGCB 1.0チェックがふくまれています。 詳細については、usgcb.nist.govをご参照ください。
米国政府デスクトップ基準(あるいは連邦政府デスクトップ基準(FDCC))は、米国政府が義務付ける一連の設定規格としてUSGCBの上位に位置するものです。詳細については、fdcc.nist.govをご参照ください。
これらのベンチマークは、非営利団体であるインターネット・セキュリティ・センター(CIS)により開発され、米国政府/民間セクター事業/セキュリティ業界/学界から情報・承認を得た、コンセンサスベースのベストプラクティスであるセキュリティ設定ガイドラインです。当該ベンチマークには、ネットワークデバイス、オペレーティング・システム、ミドルウェアおよびソフトウェア・アプリケーションの堅牢化のための、技術制御ルールおよび価値が含まれています。これらは、商業ビジネスのための設定セキュリティ規格として広く支持されています。詳細については、www.cisecurity.orgをご参照ください。
ポリシー・マネージャーのチェックを含むスキャンテンプレートを有するサイトを設定します。ライセンスにより異なりますが、本アプリケーションにはUSGCB、FDCC、CISの内蔵テンプレートが用意されています。これらのテンプレートには、脆弱性のチェックは含まれていません。組み合わされた脆弱性/ポリシースキャンの実行を希望する場合、脆弱性のチェックおよびポリシー・マネージャーのポリシー/ベンチマークを含む、カスタムスキャンテンプレートを設定可能です。詳細については以下のセクションをご参照ください:
ライセンスでポリシー・マネージャーを有効化し、実行を希望する特定のチェックを含めることができるかを確認するには、セキュリティ・コンソール設定パネルのライセンスページに移動します。管理者ガイドのライセンスを表示、有効化、更新、または変更するをご参照ください。
ポリシー・マネージャーのチェックのサポート対象であるプラットフォームのリストについては
ポリシーページで、ポリシーを構成する個別ルールを含む、ポリシースキャンの結果を表示できます。また、ルールの結果をオーバーライドできます。ポリシー・マネージャー結果に取り組むをご参照ください。
ポリシー・マネージャーのチェックを基ににして、ポリシーチェックをカスタマイズできます。カスタムポリシーを作成する をご参照ください。