無断複写・転載を禁じます。2013 年クォリスジャパン株式会社 1

QualysGuard® 7.8 リリースノート 2013 年 2 月 14 日 QualysGuard 7.8 が利用可能になりました。QualysGuard クラウドスイートのセキュリティおよびコンプライアンスアプ

リケーションの今回の新リリースでは、脆弱性管理とポリシーコンプライアンスに対して改善が実施されました。

QualysGuard クラウドプラットフォーム

Amazon EC2 アセットインベントリとスキャン Hitachi ID Privileged Access Manager（PAM）のサポート 信頼できる認証局のインポート 初回ログイン後の強制的なパスワード変更 スケジュールスキャンの改善 通知の送信元 E メールアドレスの変更 データリストの拡張

QualysGuard 脆弱性管理（VM）

脆弱性スコアカードレポートの拡張 パッチレポートにおける実行されていない Linux カーネルのフィルタ QID のレガシーコンプライアンス情報の非推奨化

QualysGuard PC（Policy Compliance）

ユーザ定義コントロールに追加される Unix テクノロジ

QualysGuard API の機能拡張

VM スキャン結果の XML – 選択したアセットタグを表示する新しい要素 アセット IP API v1 – CIDR 形式のサポートとクラス A の IP アドレスの追加 HYPERLINK \l "_“Asset_Group”_APIv1_–" 検出 API v2 – 実行されていないカーネルで見つかった脆弱性を

除外

QualysGuard クラウドプラットフォーム

Amazon EC2 アセットインベントリとスキャン

新しい Amazon EC2 データコネクタ A

ユーザが Amazon EC2 asset データコネクタを作成すると、Amazon EC2 および VPC 仮想マシンインスタンスイン

ベントリの QualysGuard アセットデータベースへのインポートと同期が継続的に行なわれるようになりました。既存

のインスタンス（例えば IP アドレス）に対する変更は、QualysGuard アセットデータベースで自動的に更新されます。

ユーザに必要なのは各自の Amazon アカウントの読み取り専用の資格情報を用意することだけで、その他の処理

は Amazon API との通信を介して QualysGuard が自動的に行います。 QualysGuard のワークフローとレポート全体を駆動できる動的なアセットタグが、インポート処理の一環として自動

的に割り当てられます。使用する Amazon EC2 と VPC インスタンスのインスタンス情報とメタデータ（例えば AMI ID や インスタンス起動時刻）も、より詳細な情報を動的アセットタグに提供するデータポイントとして QualysGuard に取り込まれて、使用可能になります。 アカウントで EC2 スキャン機能が有効になっているという要件があるので注意してください。アカウントでこの機能

を有効にするには、テクニカルアカウントマネージャまたはテクニカルサポートにお問い合わせください。

Virtual Scanner の設定とアクティブ化

Amazon EC2/VPC を使用して Virtual Scanner を設定するには、『QualysGuard Virtual Scanner ユーザガイド』に

記載されている手順に従います。最新バージョンは、QualysGuard アカウントから「Help」→「Resources」→「Scanner Appliance」を選択するとダウンロードできます。

EC2 コネクタの作成

QualysGuard アカウントでモジュールピッカーから「ASSET」を選択し、「Connectors」タブで「Actions」→「Create EC2 Connector」を選択します。「Create EC2 Connector」ウィザードを使用して、スキャンする EC2 ホストを選択する

ためのステップを順に行います。すべてのリージョン、または選択されたリージョンを選択できます。リージョンの選

択後、スキャンするホストをアクティブ化し、アセットタグを割り当てるよう指示されます。

QualysGuard リリースノート 2

設定した EC2 ホストは「Assets」タブに表示されます。

EC2 ホストがアクティブ化されると、VM アプリケーションに青色のアイコンで表示されます。

ヒント: ホストを検出したときにアクティブ化しないように EC2 コネクタを設定している場合は、アセットリストからいつ

でもホストをアクティブ化できます。 1 – 選択した EC2 コネクタでアクティブ化されていないアセットを表示するようにアセットリストにフィルタをかけます。 2 – アクティブ化するアセットを選択し、「Actions」メニューの「Activate Assets」を選択します。

QualysGuard リリースノート 3

事前認証された Amazon EC2 スキャン

QualysGuard 7.8 では、新しい Amazon EC2 スキャンのワークフローが QualysGuard VM に導入されています。こ

れは Amazon EC2 データコネクタと連携して、自分のインスタンスを現在の IP アドレスによって効果的に対象化し、

他の Amazon ユーザが所有するインスタンスを誤って対象にすることを防止する統合化されたスキャン機能を提供

します。この緊密な統合により、QualysGuard を使用する Amazon EC2 スキャンは Amazon によって事前認証され

ており、Amazon の標準的な認証プロセスによる事前承認を得ることなく、Amazon EC2 および VPC のオンデマン

ドスキャンとスケジュールスキャンを実行できます。 今回の初期リリースでは、事前認証された Amazon EC2 スキャンは、Amazon EC2 および VPC の内部プライベー

ト IP スキャンで使用可能になっています。これには、AWS Marketplace に投稿した当社の AMI（Amazon Machine Image）テンプレートから各自の Amazon アカウントに導入する QualysGuard Virtual Scanner Appliance（事前認

証）のインスタンスを使用します。

EC2 ホスト上での脆弱性スキャンの起動

すべてのマネージャは、QualysGuard アカウントにログインして、EC2 ホストの脆弱性スキャンの起動とスケジュー

ル設定を行えます。オンデマンドスキャンの場合、「VM」ー＞「Scans」を選択して、「New」→「EC2 Scan」を選択し

てから、1）Amazon EC2/VPC 用に設定した Virtual Scanner を選択し、2）EC2 データコネクタを選択し、3）EC2 ホストに割り当てられたアセットタグを選択して、4）「Launch」をクリックします。

スキャンプロセスは、他の脆弱性スキャンと同じです。スキャンが完了すると、スキャンした各 EC2 ホストがスキャン

結果の「Detailed Results」にリストで表示されます。スキャンした各ホストの 1）IP アドレスと 2）Amazon ホスト ID（複

数の場合もあり）が表示されます。

QualysGuard リリースノート 4

Hitachi ID Privileged Access Manager（PAM）のサポート

Windows ホストおよび Unix ホストに対する脆弱性スキャンとコンプライアンススキャンの両方について、既存の Hitachi ID Privileged Access Manager（PAM）を使用した QualysGuard 認証スキャンを実行できるようになりました。

Hitachi ID PAM Vault は、Hitachi ID Management Suite バージョン 7.3 以降の Hitachi ID PAM の既存のインス

トールから取得して認証に使用するパスワードに、サービスがアクセスできるようにするためのユーザ定義の設定

です。

Hitachi ID PAM との統合には、次の要件があります。 1）HTTP または HTTPS プロトコルで動作するようにスキャナを統合するには、Hitachi ID PAM のユーザインタ

フェースで「webservices」オプションを有効にする必要があります。「Manage System」→「Maintenance」→「Services」を選択して、「Hitachi ID (idapi) API Service」を有効にし、これが動作することを確認します。 2）Hitachi ID PAM 環境で設定する必要があるこの他の設定については、Hitachi ID Systems Customer Portal（https://hitachi-id.com/portal/?q=node/343、ログインが必要）にある「QualysGuard Integration Notes」を参照してく

ださい。

新しい Hitachi ID PAM Vault レコードの作成方法

「Scans」→「Authentication」→「New」→「Authentication Vaults」を選択します。次に「New」→「Hitachi ID PAM」を

選択します。

1 – この Authentication Vault を識別する一意のタイトルを入力します。このタイトルは、この Authentication Vault を（Windows または Unix の）認証レコードに適用するときに選択します。

2 – Hitachi ID PAM Web サービスの HTTP URL または HTTPS URL を入力します。「SSL Verify」が選択されて

いる場合は（デフォルト）、URL に HTTPS プロトコルを使用する必要があります。

3 – Hitachi ID PAM ユーザアカウントのユーザ名（ID）を入力します。このアカウントを使用して Qualys スキャナが

接続できるためには、このユーザが Hitachi ID Management Suite の「Administrator information」の設定で、1）「OTP IDAPI caller」の権限を持ち、2）「IP address with CIDR bitmask」フィールドに入力した値が Qualys スキャナ

の IP アドレスに含まれていることが必要です。

4 – Hitachi ID PAM ユーザアカウントのパスワードを入力します。

5 – このオプションをオフ（チェックを外す）にしない限り、Qualys スキャナは Hitachi ID PAM Web サーバの SSL 証明書が有効で信頼できることを確認するための検証を行います。

QualysGuard リリースノート 5

Windows/Unix レコードで Vault レコードを指定する方法

Windows または Unix の認証レコードの「Login Credentials」項で、「Authentication Vault」を選択します。Vault のタイプで「Hitachi ID PAM」を選択し、Vault レコードのタイトルを指定して、システムアカウントのユーザ名を入力し

ます。次の Windows レコードの例を参照してください。

動作方法

Hitachi ID PAM からパスワードを取得するには、スキャン対象の IP アドレスと FQDN（ホスト名）が必要です。ドメイ

ン認証を必要としない Unix ホストおよび Windows ホストの場合、認証レコードに IP アドレスを入力すると、ホスト

の FQDN を取得するために DNS の逆引きクエリが実行されます。ドメイン認証が必要な Windows ホストの場合、

ドメインコントローラの IP アドレスを取得するために通常の DNS クエリが実行され、Hitachi PAM にパスワードをク

エリするときに、この IP とドメインの FQDN が使用されます。

信頼できる認証局のインポート

スキャナでは公開された周知のルート認証局と中間認証局を使用して SSL 接続を確立し、SSL 証明書を検証しま

す。このリリースでは、顧客のサブスクリプションにあるスキャナで使用するために、プライベート認証局のリストを作

成する機能が導入されました。スキャナは、SSL 検証が必要な場合に既に QualysGuard でいつも使用されている

周知の認証局に加えて、この信頼できる認証局のカスタムリストを使用します。 例えば、SSL 検証で Thycotic Secret Server のパスワード Vault に接続する必要があるものとします。このパスワー

ド Vault にプライベート認証局で発行された証明書が設定されている場合、接続に成功するためにカスタムの

ルート CA（認証局）をサブスクリプションにインポートできるようになりました。この例は、VMware 認証用に Hitachi ID PAM パスワード Vault に接続するために SSL が使用される場合にも適用されます。また、スキャン中に https を介して利用できる内部 Web サーバのプライベート証明書を検証するために使用するということも考えられます。 重要: この機能を使用する場合、証明書が現行のものであることの確認や強力な暗号化アルゴリズムの使用など、

現在のセキュリティのベストプラクティスを満たすために CA リストのメインテナンスを行うことはユーザの責任です。

QualysGuard リリースノート 6

「Scanner Trusted CA」オプションを有効にする方法

サブスクリプションの一次連絡先のマネージャが、最初にこの機能を有効にする必要があります。「Scans」→「Setup」→「Scanner Trusted CA」を選択して、表示される免責事項を承認します。

信頼できる認証局のチェーンを設定することをサブスクリプションのマ

ネージャに許可することを承認する場合は「I Accept」をクリックします。

これが承認されると、すべてのマネージャが「Scanner Trusted CA」を

選択して、信頼できる認証局をインポートできるようになります。

信頼できる認証局をインポートする方法

PEM でエンコードされた証明書をインポートするには、「Scanner Trusted CA」ウィンドウで、「Browse」ボタンをクリックします。

QualysGuard リリースノート 7

インポートされた認証局は、ページの上部にリストで表示されます。リスト内の認証局をクリックすると、発行者につ

いての情報、証明書が有効だとされる期間、スキャナが SSL 検証で使用する MD5 および SHA1 フィンガープリン

トなどの詳細が表示されます。

詳細が表示される様子を次に示します。

認証局を削除する方法

リストにある認証局を選択して、「Remove」ボタンをクリックするだけです。選択した認証局はデータベースから削除

され、以後 SSL 検証では使用されなくなります。

QualysGuard リリースノート 8

認証局の有効期限が切れた場合

認証局の有効期限が切れると、識別しやすくするために赤色で強調表示されます。有効期限が切れた CA 証明

書が使用されると、SSL 検証は失敗します。脆弱性の評価テスト中に有効期限の切れたカスタム CA 証明書が使

用されると、QID 38167「SSL 証明書 - 失効（SSL Certificate - Expired）」が脆弱性スキャン結果にレポートされます

（この QID は、証明書の有効期限が切れたために失敗した接続をパスワード Vault にはレポートしません）。

初回ログイン後の強制的なパスワード変更

マネージャは、ユーザが初めてログインしたときにパスワードを強制的に変更できるようになりました。これは、すべ

ての新しいユーザアカウントに影響するサブスクリプションレベルのオプションです。

操作手順

「Users」→「Setup」→「Security」を選択し、「Password Security」項まで下にスクロールします。「Force password change at initial login」オプションを選択します。このオプションは、「Allow user defined passwords」が選択されてい

る場合にのみ使用できます。

QualysGuard リリースノート 9

「Force password change at initial login」が有効な場合、次に示すように、初めてログインするとき、およびパスワー

ドがリセットされたときに、ユーザはパスワードを変更するよう必ず指示されるようになります。

スケジュールスキャンの改善

起動時にアセットタグがホストに解決されない場合でも、スケジュールスキャンが無効にならなくなりました。

QualysGuard では、この回のスキャンをスキップし、次回の起動日付を設定します。スキップされたスキャンは、参

考のためにアクティビティログに表示されます。次に例を示します。

通知の送信元 E メールアドレスの変更

スケジュールスキャンの E メール通知が E メールアドレス support@qualys.com から送信されなくなりました。これ

は、通知がスパムとして誤認されないようにするための取り組みの一環です。通知 E メールは、

qualys@qualys.com から送信されるようになりました。

QualysGuard リリースノート 10

データリストの拡張

このリリースでは、データリストの UI が改善されました。

カラムの幅を変更する機能

一部のデータリストで、ユーザがカラムの幅を変更できるようになりました。カーソルをヘッダ行のカラムとカラムの

間において、カーソルを右または左にドラッグするとカラムの幅を変更できます。

選択された行数の表示と選択の解除

「Actions」ボタンにデータリストで選択されている行の数が表示されるようになりました。これは削除など、一括アク

ションの対象となる項目の数を示しています。選択された行の表示は、複数のページにわたって行を選択している

場合には特に便利です。また、「Actions」メニューから「Clear Selections」を選択するだけで、1 回で簡単にすべて

の選択を解除できるようになりました。次の例では、「Users」リストで 3 人のユーザが選択されています。

リストで選択されている行の数が、 「Actions」ボタンに表示されます。

リスト内で選択されているすべての行の選択を解除（ク

リア）するには、「Actions」→「Clear Selections」を選択

します。

QualysGuard リリースノート 11

QualysGuard 脆弱性管理（VM）

脆弱性スコアカードレポートの拡張

このリリースでは、企業のセキュリティポリシーに則って修正する必要のある脆弱性の改善に責任を負う各種チー

ムのパフォーマンスを監視するために、ユーザは新しいスコアカードテンプレートを作成できます。異なるグループ

またはビジネスユニットの全般的なリスク状態をすばやく確認するための目標も作成できます。また追加された脆

弱性管理基準により、マネージャは企業の脆弱性の改善への取り組みを従来よりも追跡しやすくなっています。 スコアカードレポートは、レポートの実行がより容易なワークフロー、検索リストを使用した QID 選択、アセットタグを

使用したホスト選択、目標と管理基準の備わった脆弱性スコアカードレポートの点で改善が行われました。パッチ

レポートのスコアカードには変更はありません。

スコアカードレポートの実行がより容易に

これまでよりも見つけやすいように、「New」メニューでの「Scorecard Report」オプションがより上に位置するようにな

りました。 「VM」→「Reports」を選択します。Report Share が有効な場合は、「Reports」→「New」→「Scorecard Report」を選択

します。Report Share が有効でない場合は、「Templates 」→「New」「Scorecard Report」を選択します。次の例は、

Report Share が有効なアカウントの場合です。

スコアカードレポートを実行する場合、レポートに含めるホストを指定するためにアセットタグを使用できるようになり

ました。「Asset Tags」項は、「Report Source」に表示されます。レポートするタグを指定して、「Run」をクリックします。

QualysGuard リリースノート 12

QID 選択のサポート

このリリースでは、よりきめの細かい脆弱性フィルタで検索リストを指定する機能が導入されました。これにより、レ

ポートに脆弱性のカスタムリストを指定できます。

テンプレートの「Display」項で「Show Included & Excluded Search List summary」オプションを選択すると、レポート

で指定される検索リストのサマリを含めることができます。

目標と管理基準のある脆弱性スコアカードレポート

脆弱性スコアカードレポート（以前のアセットグループ脆弱性レポート）には、レポートに含まれるアセットグループ/タグごとの脆弱性の件数をレポートするための新しいオプションがあります。

「Business Risk Goal」オプションの詳細

「Business Risk Goal」オプションは、スライダバーを使用して設定します。この目標は、受け入れられる最大のリスク

を各アセットグループまたはタグにある脆弱性ホストに対する割合で表したものです。ホストが 1 つまたは複数の選

択された QID による影響を受けていると、ホストには脆弱性があるとみなされます。影響を受けているホストの割合

が、この目標以下である場合、アセットグループまたはタグは合格します。次のページにあるレポートの例を参照し

てください。

この例では、グループ/ タグ内で脆弱性のある ホストが 30% 以下である

場合、アセットグループ/タグは合格します。

QualysGuard リリースノート 13

脆弱性スコアカードレポートの例

レポートの上部には、重大度、タイプ、ステータス、経過時間ごとの脆弱性の件数が表示されます。

脆弱性のあるホストの割

合です。合格（緑色）と不

合格（赤色）のステータス

は、テンプレートの

「Business Risk Goal」スラ

イダバーで決定されます。

レポートで選択されている QID の情報を表示するには、さらに下にスクロールします。

QualysGuard リリースノート 14

KnowledgeBase にある 15642 件の QID のうち、

レポート用に 149 件が選

択されており、15471 件は選択されていません。

22 件の QID は、選択か

ら削除されています（これ

らの QID は検索リストに

含める QID と検索リスト

から除外する QID の両

方に含まれています）。

パッチレポートにおける実行されていない Linux カーネルのフィルタ

このリリースでは、パッチレポートテンプレートに新しい「カーネルのフィルタ」が導入されています。カーネルのフィ

ルタが有効（オンに設定）な場合、アクティブで実行中の Linux カーネルで検出された脆弱性のパッチのみがレ

ポートに含まれます。カーネルのフィルタはデフォルトでは有効になっていません。

QualysGuard リリースノート 15

QID のレガシーコンプライアンス情報の非推奨化（代わりにポリシーコンプライアンスを使用）

CobIT、HIPAA、GLBA および SOX のコンプライアンス情報に基づいて脆弱性（QID）の検索とレポートを行う機

能は、非推奨になりました。この機能は、アプリケーションの将来のリリースからは完全に削除されます。PCI コンプ

ライアンスに関連付けられた QID の検索は、今までどおり実行できます。

QualysGuard リリースノート 16

QualysGuard ポリシーコンプライアンス（PC）

ユーザ定義コントロールに追加される Unix テクノロジ

このリリースでは、CentOS 6.x、Oracle Enterprise Linux 6.x、Red Hat Enterprise Linux 6.x、および Ubuntu 10.x、11.x、12.x の Unix テクノロジが追加されました。

ユーザ定義コントロールの作成

ユーザ定義コントロールを作成または編集する場合、新しく追加するテクノロジのデフォルト値を設定できます。

「PC」→「Policies」→「Controls」に移動し、「New」→「Control」を選択します。任意の Unix コントロールタイプで

「Get Started」をクリックします。「Control Technologies」項に新しいテクノロジが表示されます。

新しいポリシーの作成

新しいテクノロジの 1 つに基づいてポリシーを作成します。「PC」→「Policies」→「Policies」に移動し、「New」→「Policy」を選択します。1 つまたは複数のテクノロジを選択して、「Create」をクリックします。次の例では、Oracle Enterprise Linux 6.x と Red Hat Enterprise Linux 6.x の両方がポリシー用に選択されています。ポリシーで表示さ

れるには、テクノロジが選択されたコントロールが少なくとも 1 つはあることが必要です。

コントロールの検索

追加したテクノロジに適用されるコントロールを検索できます。「PC」→「Policies」→「Controls」に移動し、「Search」をクリックします。「Technologies」リストからテクノロジを選択し、「Search」ボタンをクリックします。検索ウィンドウに表

示されるには、テクノロジが選択されたコントロールが少なくとも 1 つはあることが必要です。

QualysGuard リリースノート 17

QualysGuard リリースノート 18

QualysGuard API の機能拡張

今回のリリースでは、QualysGuard API に新機能の追加と機能拡張を行いました。

VM スキャン結果の XML – 選択したアセットタグを表示する新しい要素

脆弱性スキャン結果の XML に、スキャン対象としてユーザが選択したアセットタグを表示する新しい要素が追加

されました。脆弱性スキャン結果の XML では scan-1.dtd が使用されますが、この DTD には新しいアセットタグ選

択要素が含まれています。 scan-1.dtd は、https://qualysapi.qualys.com/scan-1.dtd から入手できます（qualysapi.qualys.com は、ご使用のアカ

ウントがある API サーバです）。

アセット IP API v1 – CIDR 形式のサポートとクラス A の IP アドレスの追加

アセット IP API v1（/msp/asset_ip.php）を使用すると、ユーザはサブスクリプション内のホストアセットと関連データの

追加と編集が可能になります。このリリースでは、次の拡張が追加されました。1）単一のアセット IP リクエストを使

用して、クラス A ネットワークの IP アドレスを追加または編集できます。1 回のリクエストで最大 16,777,216 個の IP を追加または編集できます。2）ホストの指定に、CIDR 記法を使用できます（例えば、クラス A ネットワークの場合、

10.0.0.0/8）。

検出 API v2 – 実行されていないカーネルで見つかった脆弱性を除外

検出 API v2（/api/2.0/fo/asset/host/vm/detection/）を使用すると、自動処理が可能な脆弱性検出データを取得して、

サードパーティ製のソリューションに簡単にインポートできます。 QualysGuard 7.8 では、新しい active_kernels_only=1 パラメータを指定することで、実行されていない Linux カー

ネルで見つかった脆弱性を XML 出力から除外できます。この新しいパラメータは、 サブスクリプションで「New Data Security Model」が有効になっているユーザが使用できます。

詳細については、『QualysGuard API リリースノート 7.8』を参照してください。リリースが利用可能になると、このド

キュメントはご使用のアカウントから「Help」→「Resources」→「API」を選択してダウンロードできます。