アセット・グループに取り組む

アセット・グループでは、組織のメンバーによりそれぞれ異なるアセット情報のアクセス権付与、表示、スキャン、レポートの方法を設定できます。 アセット・グループにより、特定の基準を満たす新規アセットを動的に組み込むよう設定可能な、論理グループを作成できます。これらのグループに基づきスキャンを行うため、サイト内でアセット・グループを定義することが可能です。

アセット・グループを有利に利用する

ある利用例において、アセット・グループがサイトから組織的にどのように「スピンオフ」するかを説明してみましょう。ある銀行が、固定数のIPアドレスライセンスを持つNexposeを購入しました。ネットワークトポロジーには1つの本社と15の支店が含まれ、すべてが同様の「型抜きされた」IPアドレス・スキームを有しています。最初の支店のIPアドレスはすべて10.1.1.x.、2番目の支店のアドレスは10.1.2.x.であり、以下同様です。各支店について、.xに相当する整数はどれも特定タイプのアセットを指します。例えば、.5は常にサーバーを指します。

セキュリティチームは各サイトをスキャンし、その後特定のアセット・グループのレポートを作成して、さまざまな方法で情報を「ひとまとめ」にします。ロケーションに基づくアセット・グループのセットが作成されますので、支店マネージャーは脆弱性トレンドおよび高レベルデータを閲覧できます。またチームは、IPアドレス内の最後の整数に基づく別のアセット・グループのセットも作成します。サーバー脆弱性の改善を担当するユーザーは、「.5」アセットのみを見ることができます。「x」整数がより細分化された部署の影響を受ける場合、セキュリティチームはより特殊化されたアセット・グループを作成可能です。例えば、.51はファイルサーバーに対応し、.52はデータベースサーバーに対応するといった具合です。

もう一つのアプローチは、メンバーシップによるアセットグループ作成の分類です。例えば、企業内のすべてのアセットについての高レベルでビジネス的に重要なレポートを閲覧する、上級幹部役員用のための「エグゼクティブ」アセット・グループを作ることができます。データベースワークステーションやウェブサーバーといった、特定タイプのアセット上の脆弱性の改善を担当するセキュリティチームの異なるメンバー向けに、より多くの技術的アセット・グループを作ることができます。

アセット・グループのページにチャートが表示されますので、そのグループ内のアセットの数に関して、リスクまたは脆弱性を追跡できます。

経時的アセットリスクおよび脆弱性

経時的アセットリスクおよび脆弱性 線グラフの右側の リスク別・脆弱性別アセット チャートは、当該アセット・グループ内のアセットが 7,000 以上である場合を除き、散布図として表示されます。7,000 以上の場合はバブルチャートとして表示され、バブルをクリックすると、アセットの特定グループの散布図を見ることができます。

リスクおよび脆弱性別のアセット

散布図上の点はそれぞれ、アセットを表します。点の上をホバリングすると、そのアセットに関する情報が見られます。クリックすると、そのアセットのページに移動します。

動的・静的アセット・グループを比較する

アセット・グループを捉えるための1つの方法は、環境のスナップショットであるという考え方です。

このスナップショットにより、アセットおよびそれらに影響を与えるセキュリティ問題についての重要情報が提供されます：

• ネットワークロケーション
• 実行中のオペレーティング・システム
• 発見された脆弱性の数
• 脆弱性のエクスプロイトの存在の有無
• リスク・スコア

Nexposeを利用して、異なる2通りの「スナップショット」を作成可能です。 動的アセット・グループはスキャンごとに変化する可能性があるスナップショットであり、静的アセット・グループは変化しないスナップショットです。各タイプのアセット・グループはニーズに応じて有用となります。

動的アセット・グループを使用する

動的アセット・グループには、特定の抽出条件（criteria）を満たすスキャンされたアセットが含まれます。IPアドレス範囲またはホスト型オペレーティング・システムといった、アセット検索フィルターにより、これらの基準を定義できます。動的グループ内のアセットのリストは、スキャンごとに変わる場合があります。この点において、動的アセット・グループは静的アセット・グループとは異なります。サイトとアセット・グループとの違いは？をご覧ください。スキャン後にグループのフィルター基準を満たさなくなったアセットは、リストから削除されます。基準を満たす新規に発見されたアセットは、リストに追加されます。

リストは即座には変更されませんが、本アプリケーションがスキャンを完了して新規アセット情報をデータベースへと統合すると変更される、ということに留意してください。

常に進化する環境のスナップショットである動的アセット・グループにより、LIVEアセット目録およびセキュリティ状況に対する変化を一目で追跡できるようになり、一番最近のデータに基づきレポートを作成できるようになります。例えば、パッチチューズデーを含む脆弱性をもつアセットに対して、ダイナミックグループを作成することが出来ます。その後脆弱性にパッチを適用したら、動的アセット・グループをスキャンして、この脆弱性を持つアセットがまだあるかどうかを判定できます。パッチ適用が成功した場合、当該グループは理論的にはアセットを含まないはずです。

フィルターされたアセット検索を利用して、動的アセット・グループを作成可能です。フィルターされたアセット検索を実行するをご参照ください。

ユーザー設定パネルを通して、ユーザーに動的アセット・グループへのアクセス権を付与します。

動的アセット・グループへのアクセス権を持つユーザーは、グループ基準を満たす新規に発見されたアセットへのアクセス権を持つようになり、そのアセットが当該ユーザーがアクセス権を持つサイトに属するかどうかは問われません。例えば、Windows XPワークステーションの動的アセット・グループを作成したとします。2人のユーザー、ジョーとべスにこの動的アセット・グループへのアクセス権を与えました。べスがアクセス権を持ち、ジョーは持っていないサイトをスキャンしました。当該スキャンで、50の新規Windows XPワークステーションが発見されました。ジョーはこれらと同じアセットを含むサイトへのアクセス権を持っていませんが、ジョーとべスはどちらも50の新規Windows XPワークステーションを動的アセット・グループリスト内で見ることができ、それらをレポートに含めることができます。動的アセット・グループへのユーザーアクセスを管理する場合、これらのグループがどのようにサイト許可に影響を与えるかを検討する必要があります。動的アセット・グループが任意サイトからのアセットを含まないよう徹底させるには、サイトフィルターを使用します。サイト別にアセットを見つけるをご参照ください。

静的アセット・グループを使用する

静的アセット・グループには、組織のニーズに従って定義された基準セットを満たすアセットが含まれます。動的アセット・グループとは異なり、静的グループ内のアセットのリストは手動で変更を行わない限り変わりません。

静的グループは、参考あるいは比較に利用できる閉じた時間の資産環境を提供します。例えば、Windowsサーバーの静的アセット・グループの作成およびそれらの脆弱性すべてを捕捉するレポートの作成に役立つ場合があります。その後、パッチを適用しパッチ検証のスキャンを実行したら、ベースラインレポートを作成して、それら同一アセット上の脆弱性をスキャン前後で比較可能です。

以下の 3 つのオプションにより静的アセット・グループを作成できます：

• グループ設定パネルを利用、アセットを手動で選択して静的アセット・グループを設定するをご参照ください。
• フィルターされたアセット検索を利用、フィルターされたアセット検索を実行するをご参照ください。
• 既存のアセット・グループをコピーおよび修正、動的/静的アセット・グループを既存のものをコピーして作成するをご覧ください。

アセットを手動で選択して静的アセット・グループを設定する

注意: アセット・グループを作成できるのは、グローバル管理者のみです。

アセットを手動で選択することは、静的アセット・グループを作成する 3 通りの方法のうちの 1 つです。この手動方法は、アセットの数が少ない環境に適しています。アセットの数が多い場合に適したアプローチについては、アセット検索から動的/静的アセット・グループを作成するをご参照ください。

静的アセット・グループ設定を開始するには：

1. 以下のルートのいずれかを利用してアセット：アセット・グループページに移動します：

アセットアイコンをクリックしてアセットページに移動し、グループの横の表示をクリックします。
または
ページ上部の作成タブをクリックして、ドロップダウンリストからアセット・グループを選択します。
または
管理アイコンをクリックして管理ページに移動し、その後グループの横の管理をクリックします。

2. 新規静的アセット・グループをクリックして、新規静的アセット・グループを作成します。
3. 編集をクリックして、静的アセット・グループ・アイコンがリストされているグループを変更します。

アセット・グループ設定パネルが現れます。

注意: グループに含めるアセットの初期スキャンを実行した後にのみ、アセット・グループを作成できます。

4. 新規静的アセット・グループをクリックします。

新規静的アセット・グループを作成

または

管理 ページの アセット・グループ の下にある 作成 をクリックします。

コンソールに、アセット・グループ設定パネルの一般ページが表示されます。

5. 適切なフィールドにグループ名および説明を入力します。
6. 希望する場合、グループにビジネスコンテキストタグを追加します。グループに追加したタグは、すべてのメンバーアセットに適用されます。詳細情報および指示については、タグでRealContextを適用するをご参照ください。

静的アセット・グループにアセットを追加するには：

1. アセット・グループ設定パネルのアセットページに移動します。

コンソールに、検索フィルター付きのページが表示されます。

2. これらのフィルターのいずれかを使用して特定基準を満たすアセットを見つけ、その後一致するアセットを表示をクリックして検索実行します。

例えば、特定のオペレーティング・システム上で実行するIPアドレス範囲内のすべてのアセットを選択可能です。

静的アセット・グループのアセットを選択します

または

3. すべてのアセットを表示をクリックします。これは、データベースに含まれるアセットの数が少ない場合に便利です。

注意: 検索が非常に多くのアセットを返す場合、遅延がおこる可能性があります。

4. アセット・グループに追加するアセットを選択します。すべてのアセットを含めるには、ヘッダ行内のチェックボックスを選択します。
5. 保存をクリックします。

当該アセットが、アセットページに現れます。

このアセット選択機能を利用して新規アセット・グループを作成すると、アセットは表示されません。このアセット選択機能を利用して既存のレポートを編集すると、レポートを作成/一番最近編集したときに選択したアセットのリストを見ることができます。

6. 保存をクリックして、新規アセット・グループ情報を保存します。

アセット検索を繰り返して、複数セットの検索結果をアセット・グループに含めることが可能です。次の結果へと進む前に、結果のセットを保存する必要があります。選択した検索結果のセットを保存しない場合、次の検索ではセットがクリアされます。

動的/静的アセット・グループを既存のものをコピーして作成する

動的/静的アセット・グループを既存のものをコピーして作成可能です。この方法は、既存のアセット・グループに似ているが一部異なるものを作成する場合に有用です。

アセット・グループをコピーするには：

1.ホーム ページの アセット・グループ リストから、コピーするアセット・グループの コピー アイコンを選択します。

または

アセット・グループ詳細から、アセット・グループをコピー を選択します。

アセット・グループ詳細ページからアセット・グループをコピーする

2. アセット・グループ設定ページが現れます。設定に変更を行い、アセット・グループを適切な名前に変えます。

注意: デフォルトでは、元の名前に Copy が追加されます。元のグループをさらにコピーしていくと、名前に番号が追加されます（例えば Copy 2 となり以下同様）。

3. 保存をクリックします。新規アセット・グループは保存するまで作成されません。