この章では、コンプライアンスの監査の実行および調整と、コンプライアンスの継続を確認するための追跡の設定の方法について説明します。
PCIコンプライアンスをチェックするには、指定されたリソース仕様に基づいて作成されたアセットで監査を実行します。監査の目的は、Security Standards Councilで策定された標準に対する、コンピューティング・システムのコンプライアンスの度合いを判断することです。監査の実行方法は2種類あります。
単一のアセットの場合はナビゲータ・ビューを使用
アセットの集合の場合はWebレポートを使用
1番目の方法は便宜的な手段です。特定のアセットの状態を知る、つまりその構成がどれくらいコンプライアンスに近いかを確認する場合に役立ちます。
Webレポートは、各種の理由から、より推奨される手段です。複数のアセットについてレポートすることができます。レポートでは情報が視覚的に見やすく表示されます。監査は定期的な間隔で自動的に実行されるようにスケジューリングできます。その出力結果は様々な形式で配布できます。
ナビゲータ・ビューでPCIアセットの監査を実行する手順は次のとおりです。
監査対象のアセットを右クリックして、「PCI監査」→「アセットの監査」を選択します。PCIアイコンが監査可能なアセットを示します。
確認用のダイアログ・ボックスが開かれるため、「OK」をクリックしてジョブを実行します。コメントを入力する、またはジョブを後で実行するようにスケジューリングする場合は、「拡張設定」をクリックします。
監査ジョブがジョブ・ビュー(クライアント・ウィンドウの右下部分)に表示されます。ビューを表示するため「ジョブ」タブのクリックが必要になる場合もあります。
完了ステータスによって監査の完了が示されたら、行内をどこかを右クリックして「詳細の表示」を選択します。
出力ログには監査の成功または失敗が示され、欠落したプロパティや不一致のプロパティ値に関する結果が説明されています。この監査レコードは、定期的な処理の一環としてパージされるか、所有者によって削除されるまでは、スクリプト・ジョブ・ビューで使用できます。
Webレポートは、Application Configuration Consoleのブラウザベースのレポーティング・ツールです。(WebレポートにアクセスするためのURLは、クライアントのインストール時にWindowsホスト上にインストールされています。)クライアントの起動メニューのショートカットからWebレポートにアクセスできます。
WebレポートでPCIアセットの監査を実行する手順は次のとおりです。
Webレポートを起動します。クライアントの起動メニューのショートカットを使用するか、ブラウザで次のURLにアクセスします。
https://mVserverHost:9943/mvwebreports/index.jsp
「監査」メニューで「PCIコンプライアンス」を選択します。
左側のレポート基準列で「ソース」を選択します。ソースはプロジェクトまたは他のコンテナ、あるいは選択したアセットの組合せである場合があります。PCIアイコンで示されたアセットのみが監査可能です。
「レポートの生成」をクリックします。
少し経つと、監査の結果がレポーティング・ページに表示されます。
レポートの最後のページの下側に凡例が表れます。凡例の意味は次のとおりです。
問題なし: アセットおよびその構成は、監査ディクショナリのプロパティおよび値に準拠しています。
失敗: アセットの構成の一部またはすべてが準拠していません。ディクショナリのプロパティが構成から欠落しているか、構成とディクショナリのプロパティ値に不一致があることが原因です。
スキップ: 参照される監査ディクショナリがないため、アセットの構成が監査されませんでした。問題のない構成とスキップされた構成が混ざっているアセットは、準拠しているとみなされます。
レポートにはアセット内の構成がアルファベット順に一覧表示されます。最終更新日は、外部データがApplication Configuration Consoleに最後に書き込まれた日時を示します。これは初期アセット・ロード、Application Configuration Console内で実行された手動更新、または自動更新による追跡イベントの結果を反映する場合があります。実際値はアセット構成のプロパティ値です。予測値は監査ディクショナリから導出されます。パスは外部リソース内のプロパティの起源を識別します。これは、似たような名前のプロパティを解決する場合に便利です。
PCIアセットを最初に監査する際に、使用する環境が準拠しているという合理的な予測はないはずです。セキュリティ担当者が直面する課題は、結果の評価と、是正計画の立案です。Councilの推奨に従うのが賢明なときはいつで、その推奨から逸脱するリスクが許容可能なときはいつでしょうか。これは徐々に展開するプロセスであることは明らかですが、明確に定義されている目的は、オペレーティング・システムのセキュリティ設定が目標レベルのコンプライアンスを反映するベースラインを、最終的に確立することです。
セキュリティ・チームが推奨に完璧に従うことを決定した場合、プロセスは単純明快で、ソースにある構成をディクショナリのプロパティおよび値に一致するように変更します。
しかし、セキュリティ・チームは各種の構成で任意の数のプロパティ値をオーバーライドまたは無視することを選択する可能性の方が高いのです。この場合のベスト・プラクティスは、製品ディクショナリのコピーに変更を加えることで、インストール環境を維持することです。つまり、次の手順を実行します。
Application Configuration Consoleで、カスタマイズ対象の設定を持つ監査ディクショナリをエクスポートします。
ディクショナリ名と各プロパティの定義URIを変更することで、XMLファイルを編集します。ファイルを保存する際に名前を変更します。
名前を変更した監査ディクショナリをApplication Configuration Consoleにインポートします。
インポートされたディクショナリをApplication Configuration Consoleのエディタ領域で開きます。無視するプロパティを削除するか、検証する対象の設定にプロパティ値を変更します。
関連付けられたリソース仕様で、インポートされた監査ディクショナリを参照するようにコマンド・リソース定義メタデータを編集します。
修正されたリソース仕様およびディクショナリに基づいて、新規アセットを追加します。
修正された標準におけるコンプライアンスを確認するため、そのアセットで監査を実行します。
手順1: 監査ディクショナリのエクスポート
ナビゲータ・ビューのプロパティ・ディクショナリのフォルダで、カスタマイズする対象のディクショナリを右クリックして「エクスポート」を選択します。
XMLファイルを書込みできる「ホスト/エンドポイント」および「認証パック」を選択します。
「参照」をクリックして、ファイルを書込みできるディレクトリの場所を指定します。
「OK」をクリックしてエクスポート操作を完了します。
手順2: ディクショナリ名の変更
エクスポートされたXMLファイルを編集して、ディクショナリ名とURIディクショナリ・リファレンスを変更します。
XMLエディタまたはテキスト・エディタで、エクスポートされたディクショナリXMLファイルを開きます。
mvDictionary
name
タグとそのすぐ後に続くURI値で、ディクショナリ名をカスタム名に変更します。
ディクショナリ名を、ファイルに示されているそれぞれのdefinition
タグのURI値で指定されたとおりに変更します。実際上は、各プロパティの名前と値のペアのためのタグがあります。
ファイルを、カスタム・ディクショナリと同じ名前でXML形式で保存します。
下の図は、編集対象の値(緑色の○で囲まれている)を示しています。
手順3: 編集された監査ディクショナリのインポート
ナビゲータ・ビューのプロパティ・ディクショナリのフォルダを右クリックして「インポート」を選択します。
監査ディクショナリをエクスポートした場所と同じ「ホスト/エンドポイント」および「認証パック」を選択します。
「参照」をクリックして、XMLファイルを書き込んだディレクトリの場所を指定します。
「OK」をクリックしてインポート操作を完了します。
手順4: カスタム・ディクショナリのプロパティの編集
ディクショナリの内容をカスタマイズします。
ナビゲータ・ビューのプロパティ・ディクショナリのフォルダで、インポートしたカスタム・ディクショナリを右クリックして「開く」を選択します。
エディタ領域で、「編集」ボタンをクリックします。
「名前」列で、削除する対象のプロパティを選択します。複数のプロパティを選択する場合は、[Ctrl]キーを押しながらクリック、または[Shift]キーを押しながらクリックします。
「削除」をクリックして、選択したプロパティを削除します。
「名前」列でプロパティを選択し、右側でプロパティの「デフォルト値」を変更することで、個々のプロパティ値を編集します。
「保存」をクリックしてディクショナリのカスタマイズを完了します。
プロパティの削除または変更とは対照的に、新規のプロパティをカスタム・ディクショナリに追加する場合は、エディタ領域でも同様に操作できます。
手順5: リソース仕様のコマンド定義メタデータの編集
正しいディクショナリを参照するように、コマンド・リソース仕様を変更します。
ナビゲータ・ビューで、リソース仕様のフォルダ内の「PCI_AUDIT_AUTOMATION_MODULE」フォルダを開きます。
対象のリソース仕様を右クリックして、「開く」を選択します。
エディタ領域で、「編集」ボタンをクリックします。
コマンド定義セクションの行を選択して、「メタデータ」列の値をダブルクリックします。
メタデータの編集のダイアログ・ボックスで、ディクショナリ名の行をクリックします。これは名前と値の編集ボックスに移入されます。
値をカスタム・ディクショナリ名に変更します。
「適用」をクリックして変更を確認します。「OK」をクリックしてダイアログ・ボックスを閉じます。
「保存」をクリックして操作を完了します。
手順6: 新規アセットの追加
修正されたリソース仕様およびディクショナリに基づいて、新規アセットを追加します。アセットのロードの詳細は、第3章を参照してください。
手順7: 新規アセットの監査
ロードした新規アセットを監査します。この章の始めにある4.1項「監査プロセス」を参照してください。
監査ディクショナリ内のプロパティの名前と値のペアによって監査プロセスが推進されます。構成上のメタデータは、監査の実行に使用するディクショナリを制御します。構成ディクショナリ・メタデータは、リソース仕様のコマンド定義に設定されたAUDIT_PROPERTY_DICTIONARY_NAME
メタデータの値から導出されます。表4-1は、ディクショナリの操作に関連する各種のオプションを示しています。
表4-1 製品ディクショナリのオプション
オプション | 処置 |
---|---|
カスタム・ディクショナリを使用してPCIアセットを作成 |
リソース仕様のコマンド定義内のディクショナリ・メタデータを、カスタム・ディクショナリの名前に変更します。 |
カスタム・ディクショナリを使用してアセットの監査を実行 |
アセット構成内のディクショナリ・メタデータを、カスタム・ディクショナリの名前に変更します。 |
特定の構成を無視するPCIアセットを作成 |
リソース仕様のコマンド定義内のディクショナリ・メタデータを、削除または名前を変更します。 |
特定の構成を無視するアセットの監査を実行 |
アセット構成内のディクショナリ・メタデータを、削除または名前を変更します。 |
「監査の調整」の手順5では、リソース仕様のコマンド定義内のディクショナリ・メタデータを編集する場所と方法が説明されています。表4-1で参照されているその他のオプションは、アセット構成内のディクショナリ・メタデータの編集です。その手順を次に示します。
ナビゲータ・ビューで、対象のアセット・ビュー(デフォルトはリソース・ビュー)を公開するPCIコンテナを拡張します。
編集する対象の監査ディクショナリを持つアセット構成を開きます。
エディタ領域で、「メタデータ」タブをクリックしてから「編集」ボタンをクリックします。
「ユーザー定義」の下でAUDIT_PROPERTY_DICTIONARY_NAME
を探します。値を適宜、編集します。
「保存」をクリックして操作を完了します。
注意: ディクショナリの名前を変更する場合、監査レポートでスキップとしてフラグ付けされた構成を調べて、ディクショナリ名が正しいか確認した方が賢明です。たとえば、メタデータ名の入力ミスによって構成がスキップされる場合があります。 |
選別的なプロセスによって最終的に、セキュリティ・チームがコンプライアンスとして承認できる一連のアセットが生成されます。これは、セキュリティのリスクまたは侵害となる可能性がある変更を追跡する上でのベースラインとなります。
一般的なシナリオでは次のようなアプローチが取られます。
すべてのPCIアセットが1つのプロジェクトの構成要素として編成されます。
PCIアセットの追跡は毎日行われ、アラートはセキュリティ・チームに電子メールで送られます。
PCI監査レポートは毎週実行され、生成されたレポートはセキュリティ・チームに電子メールで送られます。
セキュリティ・チームは必要に応じて会合を開き、検知された差異を調整します。
アセット・ビューにおける追跡をスケジューリングします。デフォルトはリソース・ビューです。
ナビゲータ・ビューで、PCIアセット・ビューを公開する対象のPCIプロジェクトを拡張します。
アセット・ビューを右クリックして、「開く」を選択します。
エディタ領域で、下部の追跡スケジュールのタブをクリックします。
「編集」ボタンをクリックして、アセットの追跡を有効にします。
アセット・ビューのすべての構成を選択します。
アセット・ビューのすべての構成を選択します。
セキュリティ・チームの電子メール・アドレスを入力します。
「更新」オプションで「置換」を選択します。
「保存」をクリックしてスケジューリング操作を完了します。
注意: 「置換」更新オプションでは、追跡によって差異が検知された場合は常に、Application Configuration Consoleのデータが外部構成データによって上書きされます。つまり、オペレーティング・システムのファイルは常に正しいと想定されていますが、セキュリティ・チームがこの仮定を覆す場合は例外です。 |
セキュリティ・チームはPCI監査の頻度を決定できます。PCI監査レポートを週1回実行すれば、開始点としては適切です。ピーク時でない時間は自動的に実行されるようにスケジューリングできることに注意してください。
PCI監査レポートをスケジューリングする手順は次のとおりです。
ブラウザでWebレポートを起動します。
「監査」メニューで「PCIコンプライアンス」を選択します。
レポート基準列で、「ソース」として監査するPCIアセットが含まれるプロジェクトを選択します。
「スケジュール・レポート」ボタンをクリックします。
ダイアログ・ボックスに適切なスケジューリング情報を入力します。
たとえば、毎週日曜日の午前0時に選択したプロジェクト内のすべてのPCIアセットで監査を実行し、生成されたレポートは確認のためセキュリティ・チームの全メンバーにPDF形式で電子メールを送るようにスケジューリングできます。
「OK」をクリックしてレポートをスケジューリングします。