はじめに 脆弱性診断 管理サービスをすぐにご利用いただけるように QualysGuard にログインして脆弱性スキャンを実行する方法をご説明します 基本的なステップは以下の 2 段階の手順に分けられます 手順 1 スキャンの準備をする 1.1 QualysGuard へのログイン 1.2 IP アド

ネットワーク全体の脆弱性を網羅的に検査する

FUJITSU Security Solution

脆弱性診断・管理サービス 簡易操作マニュアル

2013年8月

富士通株式会社

脆弱性診断・管理サービスをすぐにご利用いただけるように、QualysGuardにログインして脆弱性

スキャンを実行する方法をご説明します。基本的なステップは以下の2段階の手順に分けられます。

2.1 脆弱性スキャンの実施

手順２ スキャンを実行する

1.1 QualysGuardへのログイン

1.2 IPアドレスの登録

1.3 アセットグループの作成

手順１ スキャンの準備をする

はじめに

1. スケジュールスキャンを設定する

2. スキャン結果通知の制限

3. オプションプロファイルについて

ご参考

【ヘルプ・各種確認事項】

◆

オンラインヘルプについて

◆

脆弱性スキャン実施元IPアドレスの確認方法

ご利用アカウントの有効期限の確認方法

1.1 QualysGuardへのログイン

手順１ スキャンの準備をする

（１） アカウント取得

（２） ログイン

アカウント取得

（１）

ＱｕａｌｙｓＧｕａｒｄへログインするためのアカウント情報をメールでお送りします。

_{受領したアカウント票からログインIDおよびパスワードを確認します。}

アカウント票

・・・・・・・・・・・

・・・・・・

ログインID：Xxxxx_xx

パスワード：xxxxxxxxxx

・・・・・・・・・・・・・・・・・

・・・・・・・・

ログイン

Xxxxx_xx

xxxxxxxxxx

完了

メニューバー タブ 「New」から新しいスキャンの開始や新しいレポートの作成などを行う 選択した行の上から 「Quick Actions」メニューを 使用して、参照／編集や

（３）

QualysGuardログイン後、以下のHOME画面が表示されます。

1.2 IPアドレスの登録

手順１ スキャンの準備をする

（１） AssetsからIP Tracked Hostsを選択

（２） Host IPsの登録

AssetsからIP Tracked Hostsを選択

① メニューバーから「Assets」を選択

② 「Host Assets」タブを選択

③「New」から「IP Tracked Hosts」を選択

（１）

メニューバーで「Assets」を選択後、 「Host Assets」タブの「New」-「IP Tracked

Host IPsの登録

←スキャンを実施する機器のIPアドレスを入力

1.3 アセットグループの作成

手順１ スキャンの準備をする

（１） Asset Groupの選択

（２） Asset Group Titleの設定

（３） Assigned IPsの登録

Asset Groupの選択

① メニューバーから「Assets」を選択 ② 「Asset Groups」タブを選択 ③ 「New」から「Asset Group」を選択 ※アセットグループとは IPアドレス（＝資産）のグループです。 IPアドレスまたはドメイン（FQDN）をグルーピングし、その属性を示す名前を割り当てて、管理します。 予めIPアドレスをグルーピングしておくことで、効率的にスキャンをすることが可能です。

（１）

メニューバーで「Assets」を選択後、 「Asset Groups」タブの「New」-「Asset

Asset Group Titleの設定

↓含まれるIPアドレスの属性やドメインがわかるようなグループ名等を入力

Assigned IPｓの登録

↑「Available IPs」欄から、アセットグ ループに追加するIPアドレスを選択

↑「Assigned IPs」欄へ移動

（３）

[New Asset Group]画面の「IPs」タブで、作成するアセットグループの属性に基づくIPアド

レスを 「Available IPs」欄から選択し、「Add>>」をクリックします。

2.1 脆弱性スキャンの実施

手順２ スキャンを実行する

（１） スキャン対象の選択①

（２） スキャン対象の選択②

（３） スキャン実行

（４） スキャンのステータス確認

（５） 結果表示・ダウンロード

① メニューバーから「Scans」を選択 ② 「Scans」タブを選択 ③ Newから「Scan」を選択

スキャン対象の選択①

↓任意のタイトルを入力 ↓オプションプロファイル「Initial Options(default)」を選択 ↓イントラネット診断はスキャナアプライアンスを選択 ↓「Asset Groups」の「Select」をクリック

（１）

メニューバーで「Scans」を選択後、 「Scans」タブ-「New」-「Scan」を選択します。

[Launch Vulnerability Scan]画面でスキャンのタイトルを入力、オプションプロファイルの

設定、「Asset Groups」の「Select」から登録したアセットグループを選択します。

スキャン対象の選択②

↑対象のアセットグループを選択

スキャン実行

↓スキャン実行

（４）

メニューバーで「Scans」を選択後、「Scans」タブにスキャンのリストが表示されます。

「Status」欄の「Finished

（Processed）」を確認後、結果表示やレポート作成などを行

います。

スキャンのステータス確認

スキャン結果の処理中 スキャン結果の処理済 アプリケーション全体 でスキャン結果が反映 されていることを示す ②「Scans」タブを選択 ①メニューバーから「Scans」を選択

結果表示・ダウンロード

スキャン結果の表示 スキャン結果のダウンロード

診断中はアクティブになります

一覧から任意のフォーマットを選択し、「Download」をクリック

（ご参考1）スケジュールスキャンを設定する

スケジュールスキャンとは

スケジュールによるスキャンの設定

① メニューバーから「Scans」を選択 ② 「Scans」タブを選択 ③ 「New」から「Schedule Scan」を選択

（１）

メニューバーで「Scans」を選択後、「Scans」タブの「New」-「Schedule Scan」を

選択します。もしくは、「Schedules」タブの「New」-「Schedule Scan」からも可能

です。

Task Titleタブの設定

↓任意のタイトル（設定するスケジュールの内容がわかるような名称）を入力

↓オプションプロファイルを「Initial Options(default)」に設定 ↓イントラネット診断の場合、スキャナアプライアンスを選択

Target Hostタブの設定

「Asset Groups」か「IPs/Ranges」の「Select」 からスキャン対象のIPアドレス、またはアセット グループを選択

Schedulingタブの設定

Daily（日間隔） ： □ days ： □ 日ごとに実施

↓スケジュールスキャンを実施する日時を設定

↑開始日時に適用される地域のタイムゾーンを選択

「Daily」 「Weekly」 「Monthly」 から選択

↓ X 回実施した後に設定を無効にする場合に入力

X

Notificationsタブの設定

↓スケジュールタスクの所有者に電子メール通知を送信する場合

↓予定された開始時間の 1 ∼ 31 日前、1 ∼ 24 時間前、または 5 ∼ 120 分前に通知を設定

←通知の宛先を追加する場合、電子メールアドレスを入力

←電子メール通知に含めるカスタムメッセージを入力

Schedule Statusタブの設定

←スケジュールされている時間にスキャンを実行しない場合、 このチェックボックスをオンにします。 タスクは一時的に非アクティブになります。 スキャンを再度アクティブにするには、このチェックボックス をオフにします。

（６）

（必要により）[New Scheduled Vulnerability Scan]画面の「Schedule

Status」タブで、タスクのアクティブ/非アクティブ設定を行い、「Save」をクリックし

（ご参考2）スキャン結果通知の制限

スキャン結果通知の制限とは

QualysGuard7.1より、スキャン結果を必要とする認証されたビジネスユニットのメンバー

ユーザロールの権限と概要

ユーザロール 権限の概要 マネージャー ◆想定されるユーザ：最高セキュリティ責任者（CSO）、セキュリティマネージャ - 全てのアセットへのアクセス権を持つ、最も権限の高いユーザロール - 検出（マップ）、セキュリティ監査（スキャン）、レポート、改善 - アセットとユーザの管理 - サブスクリプションポリシーの設定とグローバルな設定の調整 監査者 ※このユーザーロールは Policy Complianceモ ジュールが有効な場合に使 用することができます ◆想定されるユーザ：セキュリティ監査者、サードパーティのコンサルタント - ポリシー、例外リクエスト、およびコンプライアンスレポートの管理 - サブスクリプション内のすべてのコンプライアンスホストへのアクセス ユニットマネージャ ◆想定されるユーザ：部署の管理者、地域の管理者 - 検出（マップ）、セキュリティ監査（スキャン）、レポート、改善 - 割り当てられたビジネスユニット内のアセットグループへのアクセス - 割り当てられたビジネスユニット内のアセットとユーザーの管理 スキャナ ◆想定されるユーザ：セキュリティエンジニア、IT管理者、内部コンサルタント - 検出（マップ）、セキュリティ監査（スキャン）、レポート、改善 - ユーザのアカウント内のアセットグループへのアクセス リーダ ◆想定されるユーザ：エグゼクティブ、外部コンサルタント、監査者、ITアシスタント - レポートと改善のみ - ユーザのアカウント内のアセットグループへのアクセス 連絡先 ◆想定されるユーザ：監視または追跡デバイス、監査者、警告システム

ユーザロールの選択

① メニューバーから「Users」を選択 ② 「Users」タブを選択 ③ 「New」から「User」を選択

（１）

各ユーザごとの業務範囲に応じて、ユーザロールを選択することにより、ユーザ管理やア

セットへのアクセス権等の権限が付与できます。また、複数のユーザに同一のユーザロー

ルを割り当てることも可能です。

④ ドロップダウンリストから ユーザロールを選択 ⑤「Save」をクリックし、設定を保存

スキャンの完了通知の設定

（２）

完了通知が必要なユーザが、以下の条件を満たす設定であるか確認します。

【ユーザーロールがManagerの場合】

ユーザー設定の「Options」で「Scan Complete Notification」がOnになっている。

【ユーザーロールがManager以外の場合】

・アセットグループが設定されている。

※アセットグループの詳細は次の（ご参考2）をご確認下さい。

・各ユーザでの設定で①登録したアセットグループが「Assigned Asset Groups」に登録されてい

る、②「Options」で「Scan Compleate Notification」がOnになっている。

・「Schedule Scan」の「Target Hosts」に、登録したアセットグループが設定されている。

【補足】各ユーザでのアセットグループ設定

ユーザーロールが『Scanner』 『Reader』 『Contact』の場合、以下の手順でアセットグ

ループを設定して頂く必要があります。

※その他のユーザーロールでは、アセットグループの設定は必要ありません。

① メニューバーから「Users」を選択

② 「Users」タブを選択

③ 「Edit」を選択

④[Edit User]画面の 「Asset Groups」タブを選択

⑤「Available Asset Groups」から任意のアセットグループ を選択します。

「Add>>」をクリックし、「Assigned Asset Group」に追加 された事を確認、「Save」をクリックして保存します。

オプションプロファイルとは

「Map」や「Scan」を実行するとき、オプションプロファイルを選択します。

オプションプロファイルは、診断対象の情報をどのように収集するのか、どのようにセキュリティ評価を

するのかについて設定するファイルです。設定内容によって「Map」や「Scan」の結果に影響がありま

す。

使用例1： 診断対象サーバへの負荷を考慮してパフォーマンスレベルを下げて設定した

オプションプロファイルを作成し、スキャンを実施する。

（ご参考3）オプションプロファイルについて

オプションプロファイルの確認

デフォルトで数種類のオプションプロファイルがご用意されています。

用意されているオプションプロファイルをカスタマイズしたり、新規に作成することも可能です。

「Initial Options（default）」は、デフォルトでご用意している一般的に利用可能なオプションプロファイルです。

新規ユーザの場合は 「Initial Options（default）」の利用を推奨します。

用意されているオプションプロファイルを編集する場合は、オプションプロファイル行を選択し、

Quick Actionsメニューで「Edit」を選択し設定内容を編集します。

オプションプロファイルを新規作成する場合は、「New」-「Option Profiles」を選択します。

①メニューバーから「Scans」を選択 ②「Option Profiles」タブを選択 ← 一般的なデフォルトのオプションプロファイル

オプションプロファイルで設定できること

Scan設定項目 説明 初期設定

TCP Ports スキャンするTCPポートを選択します。 Standard Scan (about 1900 ports) UDP Ports スキャンするTCPポートを選択します。 Standard Scan (about 180 ports) Perform 3-way

Handshake

スキャン対象のホストとスリーウェイハンドシェークを実行する

かどうかを指定します。 無効

Authoritative Option 信頼オプションが有効かどうかを指定します。 無効 Scan Dead Host 反応のないホストも最後までスキャンする場合、チェックします。 無効 Load Balancer Detection ロードバランサ検出を有効にするかどうかを指定します。 無効 Performance スキャンの全体的なパフォーマンスレベルを指定します。 Normal（推奨） Password Brute Forcing スキャンで実行するパスワードの総当たり攻撃のレベルを指定 します。 No Brute Forcing

Vulnerability Detection スキャンする脆弱性を選択します。 Complete

（すべての脆弱性をスキャン）

Authentication

Windows、MS SQL、Unix/Cisco IOS、Oracle、Oracle リ スナ、および SNMP システムで認証済みの信頼できるスキャ ン（認証情報を設定して行うスキャン）を有効にするかどうかを 指定します。 別途、上部メニューScansからAuthenticationタブにてログイ ン情報を登録する必要があります。 無効

オプションプロファイル「Scan」設定一覧

ヘルプ・各種確認事項



オンラインヘルプについて



脆弱性スキャン実施元IPアドレスの確認方法



ご利用アカウントの有効期限の確認方法



Assigned Asset Groupに登録されているアセットグループの確認方法

オンラインヘルプについて

QualysGuardにログインし、オンラインヘルプで各種操作を確認することができます。

１．メニューバーの「Help」-「OnlineHelp」を選択します。

脆弱性スキャンの実施元IPアドレスの確認方法

１．メニューバーの「Help」-「About」を選択します。

２．「Security Operations Center(SOC)」

欄に記載されているアドレス群のうち、

自動的に1IPが選択され、スキャンされ

ます。

ご利用アカウントの有効期限の確認方法

QualysGuardにログインし、ご利用のアカウントの有効期限を確認することができます。

１．メニューバーの「Help」-「Account Info」を選択します。

２．「Valid Until」欄に記載されている日付が

ご利用のアカウントの有効期限になります。

Assigned Asset Groupに登録されているアセットグループの確認方法

「Assigned Asset Groups」に登録されているアセットグループを[Asset Group

Information ]画面から確認することができます。

①メニューバーから「Assets」を選択

②「Asset Groups」タブを選択

④「info」を選択 ③任意のチェックボックスにチェック

⑤「Users」タブを選択 「Assigned Asset group」_{に登録されているユーザー} が表示されます。

※ユーザーロールが『Scanner』『Reader』『Contact』以外の場 合はアセットグループの登録がないため、「The following

users have been assigned to this group: 」欄に表示されま

Target Hostsに登録したアセットグループの確認方法

スケジュールスキャンの「Target Hosts」に、登録したアセットグループが設定されてい

るかを下記画面にて確認することができます。

↑Inactive schedule ↑Active schedule ①メニューバーから「Scans」を選択 ②「Schedules」タブを選択