サイト作成のシナリオ

本セクションでは、よくあるニーズに適したサイトの「レシピ」について説明します。適切なテンプレート、アセット、設定オプションを選択して、特定の目標に合うようサイトをカスタマイズ可能です。

• デフォルト設定
• 1ページの 何があるか見つける：発見スキャン
• 環境の外からの眺望を得る
• ゼロデー脆弱性
• 複数ロケーション内のアセット
• 多数のアセット
• Amazon Web Services
• VMWare
• 内部 PCI コンプライアンススキャン
• ポリシーベンチマーク

デフォルト設定

デフォルトのスキャンテンプレートは、ウェブスパイダーなしのフル監査です。

このスキャンテンプレートでは、大部分の非ウェブアセット上での脆弱性のチェックを徹底できます。ウェブスパイダーありのスキャンテンプレートより高速で実行されます。

脆弱性を徹底してチェックするには、認証資格情報を指定してください。スキャン認証資格情報（credentials）を設定をご覧ください。

脆弱性スキャン慣行を確立する際に、さまざまなスキャンテンプレートのある追加サイトを作成し、ネットワーク設定のニーズに応じてスキャン・エンジンをデフォルトから変更可能です。

何があるか見つける：発見スキャン

要旨： 脆弱性チェックの最初のステップは、組織内のすべてのアセットをチェックしているか確認することです。発見スキャン実行して、組織内のアセットに関する基本情報を見つけることが可能です。本アプリケーションには、発見スキャン用の内蔵スキャンテンプレートが含まれています。

エクスプロイトされ得るアセットを見過ごしていると、攻撃者がそれを利用して、仮想プライベート・ネットワーク（VPN）およびコーポレート・ファイアウォールをバイパスし、ローカルネットワーク内から攻撃を仕掛けてくる可能性があります。ロールを任されて間もない場合は、安全を保護すべきであるすべてのアセットを、まだ認知していないかもしれません。いずれにしても、新規アセットは頻繁に追加されます。現行のスキャンプログラム開発の準備中に、発見スキャンを実行して、これらのアセットを見つけ詳細を知ることが可能です。

発見スキャンは、組織のネットワーク設定により異なる場合があります。通常の範囲外のアイテムが組織にある場合は、発見スキャンを実行するIPアドレスの範囲をできるだけ広くすることを推奨します。したがって、初期発見スキャンについては、プライベートIPv4アドレススペース全体（10.0.0.0/8, 172.16.0.0/12 and 192.168.0.0）および組織が所有/制御しているパブリックIPアドレスを最初にチェックすることを推奨します。上記実行は、可能な限り多数のホストを見つけるのに役立ちます。すべてのプライベートアドレススペースを実際に利用する組織はもちろんのこと、小規模ネットワークを利用する組織にも、可能なものをすべて確実に見つけるため上記を行うよう推奨します。

注意: 非常に多数のアセットをスキャンするため、かなり時間がかかる場合があります。どれくらい長くかかるか推定するには、管理者ガイドの 必要容量を計画する 管理者ガイドをご覧ください。また発見スキャンでは、システム管理またはアンチウイルスプログラムによりアラートを発することが可能ですので、スキャン前にユーザーに勧告しても良いでしょう。

初期発見スキャンを実行するには Nexpose：

1. 新規静的サイトを作成し（基本の静的サイトを設定するを参照）、以下の設定を含めてください：
   • 含めたアセットを指定する場合は、範囲をクラスレスインタードメインルーティング（CIDR）表記法で指定します。http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routingをご覧ください。この表記法では、マシンの大グループを簡潔なシンタックスで指定できます。先に述ベた通り、この時点での最良の慣行は組織が制御するすべてのIPアドレス、およびプライベートIPアドレス範囲をそれぞれスキャンすることです。
   • 発見スキャン スキャンテンプレートを選択します。
   • 認証資格情報は指定しないでください。ネットワーク上のマシンの有無の判定には必要ありません。
2. 本サイトでスキャンを実行します。

• スキャンの結果を、ネットワークについて知っている内容と比較して精査してください。異常がないか調べ対処します。例：
  • ポートが誤ってアクティブと表示されている： 発見スキャンですべてのポートがアクティブと示される場合には、この結果が実際のネットワーク設定を表示しておらず、セキュリティ設備（侵入検知ソフトウェア、侵入保護ソフトウェア、ロードバランサーなど）といった別のものの影響を受けている可能性が高いです。正確なスキャン情報を得られるよう、何が予期せぬ結果を引き起こしたか判定し、変更を行います。例えば、ファイアウォールが不正確な結果を引き起こしている場合は、ファイアウォール上の Nexpose をホワイトリストに載せます。
  • ポートが誤って非アクティブと表示されている：スキャンが不可能であったネットワークエリアがあるケースが考えられます。例えば、発見スキャンでは見つからなかった既知のアドレスがあるかもしれません。ファイアウォールにより省かれたか、論理的なルーティング問題によるものかをチェックします。原因が分かったら、バリアの反対側に追加のスキャン・エンジンを設定し、これらのアセットをスキャンします。

  環境の外からの眺望を得る

  要旨： ネットワークのスキャンを徹底して行うことに加え、ネットワーク外のスキャン・エンジンを利用して何を発見できるかチェックすることを推奨します。スキャン・エンジンの準備ができたら、サイト設定 で追加可能です。

  外部IPアドレスがある場合、外側からアクセスできるものをチェック可能です。スキャン・エンジンをネットワーク周辺の外側に設定し、何を発見できるかを確認可能です。ファイアウォール「外部」の眺望を得るには、組織の外側にありその他の外部マシンと同様に扱われているエンジンから、スキャンを実行します。Rapid7がホストするエンジンの使用を検討しても良いでしょう。

  以下の設定を推奨いたします：

  • これらの外部スキャンには認証資格情報を使用しないでください。
  • ソースIPアドレスをホワイトリストに載せないでください。
  • 当該エンジンを、特定のアクティブ/適応型侵入防止技術（ウェブアプリケーション・ファイアウォール、不明ユニキャスト・マルチキャスト・フラッディング制御、侵入防止システム、動的ファイアウォールブラックリスト化、など）から除外する必要があるかもしれません。
  • ウェブスパイダーありのフル監査スキャンテンプレート、または類似のカスタム・テンプレートを使用します。
  • ライブまたはアクセス可能と思われているシステムだけでなく、組織に割り当てられたパブリックアドレススペース全体をスキャンします。
  • 少なくとも毎月、またはスキャンの制御や期間を変更する場合に実行可能な限り頻繁にスキャンします。
  • 常に、上述通りに外部スキャンを内部認証スキャンと組み合わせます。なぜなら、ファイアウォールが特定の脆弱性、サービス、ホストへの画面アクセスを規制するからです。

  改善のため以下の優先事項を推奨します：

  • 最も危険なタイプの脆弱性の 1 つは、露出 Telnet ポートといった、未認可の外部ユーザーログオンを可能にし得るものです。そのような脆弱性には緊急に改善する優先度を与えます。
  • または攻撃の的を削減することで、結果に対処し始めます：
    • パブリックにする必要のないホストを取り払うか、アクセスをブロックします。
    • ファイアウォールのルールを使用して、サービスおよびホストへのアクセスをできる限り制限します。
    • CVSSv2 スコアおよびまん延度に基づき、残りの外部に面している脆弱性に対処します。

  ゼロデー脆弱性

  高リスクの脆弱性が新しく告知された場合、アセットが影響を受けていないかできる限り早く見つけるため、その特定の脆弱性だけをスキャンするのが良いでしょう。

  特定の脆弱性だけをチェックするカスタム・スキャンテンプレートを作成し、この特別なテンプレートでサイトスキャンすることが可能です。共通脆弱性および露出識別子（CVE-ID）を使用して、その脆弱性のチェックのみに焦点を当てることが可能です。

  注意: 最近告知された主な脆弱性に関する詳細ガイダンスについては、Rapid7コミュニティをチェックしてください。

  特定の脆弱性についてスキャンする：

  1. 最良の慣行は通常、既存のテンプレートをコピーして新規スキャンテンプレートを作成することです。どれが最適かは脆弱性の性質により異なりますが、ウェブスパイダーありのフル監査またはウェブスパイダーなしのフル監査から始めることが多いです。スキャンテンプレートの詳細については、  スキャンテンプレートをご覧ください。
  2. 脆弱性オプションが選択されていること、および該当する場合はウェブスパイダーが選択されていることを確認します。ポリシーオプションをクリアして、テンプレートの焦点をがこの脆弱性のチェックに当たるようにします。
  3. 本テンプレートがこの目的のためにカスタマイズされていることを後で認識できるよう、スキャンテンプレートの名前と説明を編集します。
  4. 脆弱性のチェック ページに移動します。まず、この問題に関連する項目のみのスキャンに的を絞ることができるよう、すべてのチェック、チェックカテゴリー、およびチェックタイプを無効にします。
  5. カテゴリー別 セクションを拡張して、カテゴリーを削除 をクリックします。
  6. 最上行のチェックボックス（脆弱性のカテゴリー）を選択して、すべてのカテゴリーのチェックボックスを自動選択します。その後、保存をクリックします。現在有効化カテゴリ―は 0 であることに留意してください。
  7. 個別チェック別 セクションを拡張して、チェックを追加 をクリックします。
  8. 検索基準ボックスに適した CVE-ID を入力またはペーストして、検索をクリックします。最上行のチェックボックス（脆弱性のチェック）を選択して、すべてのタイプのチェックボックスを自動選択します。その後、保存をクリックします。
  9. 問題に関連する追加の CVE-ID がある場合には、ステップ 7 を繰り返します。
  10. スキャンテンプレートを保存します。
  11. 含めるサイトを作成または編集します：
      • 新規カスタム・スキャンテンプレート
      • 認証脆弱性のチェックの認証資格情報
  12. スキャンを開始します。

  複数ロケーション内のアセット

  アセットが複数のロケーション内にある場合、考慮に入れるべき要因がいくつかあります：

  • タグを適用して、アセットのロケーションを示すことが可能です。タグでRealContextを適用するをご参照ください。その後、これらのタグを基にレポートを作成して、アセットのリスクをロケーション別に評価できます。タグでRealContextを適用するをご参照ください。
  • ネットワーク設定を最大限に利用できる方法でサイトを作成しスキャン・エンジンと関連付けることは、優良な慣行です。例えば、ヒューストンとシンガポールにアセットがある場合、両方のロケーションにスキャン・エンジンを配置して各々サイトを作成する方が、すべてのアセットを 1 ロケーションにあるスキャン・エンジンのみでスキャンするより良いと思われます

  多数のアセット

  多数のアセットをスキャンする場合は、スキャン・エンジン・プールを利用してみてください。スキャン・エンジン・プールはロード・バランシングに役立ち、スキャン・エンジンに障害が発生したらバックアップとして機能します。スキャン・エンジン・プール設定の詳細については、スキャン・エンジン・プールに取り組むをご覧ください。

  Amazon Web Services

  Amazon Web Services（AWS）仮想アセットをスキャンするには、AWS環境内で準備を行ない、この種のアセット専用の発見接続を作成する必要があります。詳細については、AWS環境での動的検出を準備するをご覧ください。

  VMWare

  VMWare 仮想アセットをスキャンするには、ターゲットVMWare 内で準備ステップを行い、この種のアセット専用の発見接続を作成する必要があります。詳細については、動的発見のためのターゲットVMware環境を準備するをご覧ください。

  内部 PCI コンプライアンススキャン

  システムでクレジットカードホルダーのデータを処理、保管、送信している場合、Nexpose を使用して、ペイメントカード業界（PCI）セキュリティ規格評議会データセキュリティ基準（DSS）に準拠することが可能です。PCI 内部監査 スキャンテンプレートは、DSS で義務付けられている内部評価の実施に役立つよう設計されています。

  PCI DSS 3.0 の詳細については、当社のリソースページ をご覧ください。

  以下は、内部 PCI スキャンに役立つよう Nexpose を利用して行う推奨プロセスを概説したものです。（本アプリケーションの機能の使用方法詳細については、ヘルプまたはユーザーガイドをご覧ください。）

  1. PCI DSS 3.0 セクション 6.1 で説明されている通り、セキュリティ脆弱性を識別するプロセスを作成する必要があります。そのためには、以下の設定を利用して Nexpose 内に 1 つ以上のサイトを作成します：
     1. PCI 特定のレポートに必要な組織の情報を、サイト設定 の 情報＆セキュリティ タブの 組織 セクションに入力します。
     2. PCI コンプライアンスのためスキャンに必要なアセットを含めます。（通常これらのホストは、カードホルダーデータ環境または「CDE」からなります）。
     3. PCI 内部監査 スキャンテンプレートを使用します。
     4. スキャンの認証資格情報を指定します。（これらの認証資格情報は、ターゲットシステムのレジストリ、ファイル、パッケージ管理の各面を読み込む権限を有しているものとします。）
  2. PCI データセキュリティ基準要件 11.2.1 および 11.2.3 に示されている通り、レポートを作成・精査して、脆弱性をスキャンし改善したことを検証する必要があります。また PCI DSS への準拠を証明するため、これらのレポートのコピーを保管してください。
     1. 基本レポートを作成するで示されている通りに、新規レポートを作成します。ほとんどの場合、 PCI エクゼクティブサマリー と PCI 脆弱性詳細 レポートの使用を希望されると思います。それぞれのテンプレートについて、本プロセスに従ってください。以下の設定を指定します：
        1. レポートの 範囲 で、PCI についてスキャンを行うアセットを指定します。
        2. 詳細設定内の 配布で、電子メール送信者アドレスとレポートの受信者を指定します。
  3. 脆弱性を軽減します。脆弱性の説明には改善ステップが含まれています。
  4. 再スキャンして、軽減措置により所見の解決に成功していることを確認します。
     1. 補完コントロールを使用する場合、関連所見を排除するために例外処理の利用が必要となる場合があります。（関連リスクの軽減に有効ではあっても、自動化ツールで補完コントロールを検出することは不可能である場合があります。）
  5. スキャンを続行して軽減します。PCI DSS のセクション 6.1 および 11.2.1 で定義される通り、すべての高リスク脆弱性が改善されるまで、内部スキャンを四半期ごとに行う必要があります。セクション 11.2.3 で定義される通り、大幅な変更後にスキャンを行う必要があります。改善適用の許容可能な時間枠は、セクション 6.2 で概説されています。

  ポリシーベンチマーク

  本アプリケーションには、ポリシーベンチマークに使用可能な内蔵スキャンテンプレートが含まれています。これらには、CIS、DISA、USGCB があります。これらの各テンプレートには、異なるプラットフォームに使用するポリシーのバンドルが含まれており、適用対象のみが評価されます。3 つのうち、CIS が最も幅広い種類のプラットフォームをサポートしています。これらのテンプレートの詳細については、  スキャンテンプレートをご覧ください。

  すべてのポリシースキャンテンプレートには、デスクトップやサーバーマシンといったアセットにアクセスするために利用する、ユーザー名とパスワードのペアが必要です。通常このアカウントには、管理者またはルートユーザーの権限が与えられます。認証資格情報の詳細については、スキャン認証資格情報（credentials）を設定をご覧ください。

  CIS スキャンテンプレートには、データベースに特定のポリシーチェックが含まれており、データベースにアクセスするためのユーザー名とパスワードが必要です。