BigFix には複数のEditionが存在しますが、今回は BigFix Compliance についての記事です。HCL Software Blog の記事: "Harden Your Servers with BigFix Compliance" の翻訳です。BigFix をご存じないかたでも、容易に理解できる、サーバーおよび端末管理の課題と解決策についてのお話です。
BigFix Complianceでサーバーを強化する
2019年10月2日
著者: Cyril Englert / Solution Architect
サーバー強化の課題
あらゆる種類のシステムを安全に保つことを考えるとき、まず頭に浮かぶのはパッチ適用です。ただし、サーバーの強化は、さまざまな方法でサーバーのセキュリティーを強化するプロセスであり、その結果、サーバーの運用環境がより安全になります。
サーバーの場合、多くの要素、おそらく数百の要素があることでしょう。潜在的に機密性の高いデータや、それらデータへのアクセスが公開または侵害されていないことを確認するために監視を行う必要があります。典型的な要素は次のとおりです。
各サーバーで監視する必要がある対象は数十から数百ある可能性があります。平均的なシステム管理者は最大100台(またはそれ以上)のサーバーを担当する可能性があるため、各サーバーを手動で監査/監視できると考えるのは非現実的であるとすぐにわかります。BigFix Complianceは、システム管理者のこれらのチェックを自動化し、サーバーのセキュリティーを強化します。
全体的なコンプライアンスの状態を理解する
BigFix Complianceの機能の1つは、要素単位での強化を強制できることとその監査に加えて、全体的なコンプライアンスの一覧を提供することです。エンドポイントからのすべての監査結果を専用のレポートエンジンを提供し、傾向を示すグラフとレポートのセットにして定期的に作成します。ダッシュボード画面とレポートを使用して、管理者、アプリケーションチーム、監査員は、企業全体のエンドポイントコンプライアンスの状態をすばやく理解できるようになります。
Compliance Analytics and Reportingエンジンは、多様なレポート・ビューを提供します。図1に示されているコンプライアンス概要レポートでは、権限のあるレポート利用者は、関心のあるコンプライアンス部分をすばやくドリルダウンできます。役割ベースのアクセス制御(RBAC)により、ユーザーが自分の職務に適合するコンプライアンス・データのみを表示されます。
図1: コンプライアンス概要レポートの例
コンプライアンス統計はどのように計算されるか
コンプライアンス適合率の割合などのコンプライアンス統計は、カスタム・チェックリストを使用してエンドポイントに適用される(いままさに)実行中のコンプライアンス監査の結果から計算されます。カスタム・チェックリストは、広範なチェック・ライブラリーから抽出されたチェック項目のセットです。図2は、BigFix Complianceで利用可能なチェックリストのサンプルです。ライブラリーには、さまざまなオペレーティング・システムとアプリケーションのチェックが含まれており、インターネット・セキュリティー・センター(CIS)、防衛情報システム局(DISA)、およびペイメントカード業界(PCI)などの組織から提供されます。各チェックにはデフォルトの推奨監査値が含まれていますが、ほとんどはニーズに合わせて変更可能です。
図2:利用可能なコンプライアンス・チェックのサンプル
チェックリスト内には、個別に特定のチェックがあります。図3は、Windows 10(左)とRed Hat Enterprise Linux 7(右)のCISチェックのサンプルを示しています。
図3:CIS Windows 10およびRHEL 7 チェックのサンプル
BigFixは、カスタム・チェックリストを簡単に作成、維持できるようにするウィザードを提供しています。図4では、ウィザードを使用して、Windows 10 Password Checksというカスタム・チェックリストを作成しているところです。
図4:ウィザードを使用してカスタム・チェックリストを作成する例
チェックリストの作成後、エンドポイント群に適用する前に、各チェックのデフォルトの推奨値を必要に応じて変更できます。エンドポイント群にカスタム・チェックリストが適用されると、各エンドポイントのエージェントは監査チェックについて継続的に評価を実施します。最初に、エージェントは各チェックのコンプライアンス・ステータスを報告します。その後、エージェントはコンプライアンス・ステータスの変化のみを報告するため、使用帯域幅とトラフィックは最小限に抑えられます。 BigFix Compliance Analyticsサーバーは、これらのチェックの結果を使用してコンプライアンス・レポートを生成します。
チェックの仕組みは、BigFix用語でいうところのFixletとして実装されます。Fixletは、適用または関連するエンドポイントを識別するためのターゲティング・ルールのセットと、エージェントが実行するアクションを定義するBigFixアクションのセットで構成されています。
ターゲティング・ルールは、Fixletの条件がエンドポイントに適用可能または関連することを判定する真偽テストの定義です。 Fixletが関連すると判断するには、指定されたすべてのターゲティング・ルールまたは条件が「true」である必要があります。BigFix Actionアクションは、エンドポイントですべての操作を実行するために使用されます。たとえば、BigFixアクションは、エンドポイントの再起動を開始したり、Windowsエンドポイントのレジストリ値を変更したりできます。
Compliance違反はどのように修正されるか
BigFixエージェントは前述の通りコンプライアンス違反状態(チェック)を報告します。デフォルトでは、BigFixエージェントは非準拠状態のみを報告します。ただし、ほとんどの場合において、エージェントがコンプライアンス違反状態を1回または連続的に修正し、エンドポイントを準拠した状態にすることが望ましいでしょう。 BigFix管理者は、BigFixのアクション実行ウィザードを使用して、Fixletの修復アクションを有効にできます。修復アクションを使用すると、ユーザーによる手動の介入なしで常にコンプライアンス状態を維持できます。
複数のチェックリストを結合できるか
エンドポイント群に、複数のチェックリストを適用できます。複数のチェックリストをまとめてベースラインにまとめ、単一のアクションとして展開して、システム管理者の労力を最小限に抑えられます。ベースラインの各チェックは評価され、展開されたベースラインの他のチェックと関わりなく独立したかたちで修正される場合があります。ベースラインを展開することにより、管理者による1回のアクションで数百の監査チェックを継続的に監査および修正し、すべてのエンドポイントのコンプライアンスを確保できます。
まとめ
サーバー強化とは、サーバーのセキュリティーを強化して、セキュリティー攻撃やデータ侵害を受けにくい安全なサーバー運用環境を作成するプロセスです。サーバーを強化してコンプライアンス準拠の状態を維持することは、多くの場合において監視が必要な要素が何百もあるため、システム管理者にとっては困難な作業です。サーバーが悪意のあるまたは意図しない操作によって構成の逸脱が発生すると、コンプライアンス準拠状態から外れる可能性があります。コンプライアンスのチェックと非コンプライアンスの修正は、非常に時間がかかり、無限のタスクといえるでしょう。 BigFix Complianceを使用すれば、コンプライアンス準拠の継続的な監視と自動修復が容易になります。さらに、BigFix Complianceは、ダッシュボードとレポートを通じてエンドポイントのComplianceの状態を提供し、エンタープライズ・セキュリティーを担当するすべての関係者に重要な情報を提供できます。
著者: David Tamillow編集者: Cy Englert