SIDfm RA を管理者として使用を開始する

STEP 1: 始める前にご準備いただく情報
STEP 2: ログインページにアクセスする
STEP 3: ユーザを追加する
STEP 4: 資産グループの作成
STEP 5: ホストを登録する
STEP 6: 通知メール送信の設定
STEP 7: 仮パスワードの変更
STEP 8: CVSS バージョンの選択

STEP 1始める前にご準備いただく情報

SIDfm RA の各ライセンス登録が済んだ後、弊社よりご案内のメールを差し上げます。そのメールに含まれる ID（初期状態で SID 管理者に設定されています）で初期設定を行ってください。以下の表は、設定手順を説明する際に想定しているユーザの情報です。実際に設定を行う際も以下の情報を事前にご準備いただくと、スムーズに設定を進めていただくことができます。

項目	内容	SIDfm RA での設定項目
会社名	株式会社エスアイディーエフエム	該当項目はありません
所属	情報システム部	資産グループ
担当者名	亜留英	該当項目はありません。
担当者メールアドレス	hanabusa@example.com	メールアドレスおよびログイン ID
担当業務	ホスト管理者	権限
サーバ名	www.example.com	ホスト名
サーバの用途	コーポレート Web サーバ	ホストカテゴリ
サーバの OS	Red Hat Enterprise Linux Server 7	登録製品
アプリケーションのインストール方法	rpm パッケージ	OS パッケージ
サーバの稼働開始年月	2016年4月	基準年月

STEP 2 ログインページにアクセスする

SIDfm 共通ログインページにアクセスし、ログイン ID とパスワードを入力してログインします。

STEP 3 ユーザを追加する

まずはじめにユーザを設定します。ユーザは、資産グループに紐付けられたホストを管理したり、ホストの情報を閲覧したりします。SIDfm RA は、始めに「SID 管理者」が1つ設定されています。この「SID 管理者」により他のユーザを設定することができます。

画面右上の「設定」からプルダウンメニューの「ユーザ」を選択します。
「ユーザ追加」を選択します。
ユーザ情報を入力します。

① ログイン ID	ログイン ID には個人を識別する任意の文字列を設定します。ここではメールアドレスをそのまま利用します。
② メールアドレス	個人のメールアドレスを設定します。これはメール通知機能で使用されるため、必ず受信可能なものをご利用ください。
③ パスワード	パスワードを入力します。パスワードは、6 文字以上 40 文字以下で入力してください。パスワードには英数字と空白文字および一部記号が使用できます。
④ 権限	ユーザに権限を割り当てます。 SID 管理者 SID 管理者は、主に組織でのシステム管理作業の統括者です。SID 管理者は、資産グループを作成し、ホストとのタイアップを行い、担当者のアサインを行います。脆弱性管理の実務は、SID 管理者、または担当者が実施し、SID 管理者は実施状況を日々チェックします。SID 管理者は、ライセンスに対するすべての操作権限が与えられます。担当者担当者は、ホストのシステム管理の主務者です。担当者は、自身が担当する資産グループ内のホストの脆弱性に対して、修正の必要性を判断し、修正作業を実施します。また、その結果を SIDfm RA に登録します。閲覧者閲覧者は、CIO や CISO など組織の脆弱性管理の統括者です。閲覧者は、現状の組織の脆弱性状態を把握するとともに、世間一般で発生しているセキュリティインシデントに対して組織としての対応方針を決定します。
⑤ 資産グループ	ユーザを登録する資産グループを選択します。初期状態では「資産」のみ選択可能です。複数の資産グループが存在している場合は、ユーザを所属させる資産グループのすべてにチェックを付けます。

「上記の内容で作成する」をクリックします。

STEP 4 資産グループの作成

資産グループ名を設定します。資産グループとは、複数のホストをグループとして論理的一つにまとめたものです。ホストの管理部署などの「組織」、「フロア」などホストの物理的な配置、「本番環境」「開発環境」など論理ネットワーク構成、とユーザが自由に設定できます。

資画面右上の「設定」からプルダウンメニューの「資産グループ」を選択します。
「資産グループ追加」を選択します。
資産グループの項目を入力・選択します。

① 資産グループ名	所属を設定します。資産グループは、リスク管理を行う単位で設定します。資産グループ名は、利用者が資産グループを識別可能な任意の名前を設定します。実名で無くても構いません。
② ユーザ	ユーザは、資産グループに所属するホストを管理するログイン ID を設定します。
③ 登録可能ホスト数	登録可能ホスト数を設定します。初期値はライセンスの上限数です。

「上記の内容に変更する」をクリックします。

STEP 5 ホストを登録する

次にホストを登録します。ホストは、管理するサーバ毎にサーバの OS やアプリケーションなどの情報を登録します。ホストの情報を詳細に設定することにより、より無駄の無い脆弱性管理が可能となります。

設定には 2 通りの方法があります。

WebUI から手動登録する
インポートファイルを使用して一括登録する

WebUI から手動登録する

画面右上の「設定」からプルダウンメニューの「ホスト」を選択します。
「ホスト追加」を選択し、「ホスト追加」ダイアログを表示します。
ホストを作成します。

① ホスト名	ホスト名には、利用者がサーバを識別可能な任意の名前を設定します。実際のサーバ名ではなくても問題ありません。
② ホストカテゴリ	サーバの用途を設定します。SRI の算出に利用されます。公開サーバ : ファイアウォールの外側や DMZ、クラウドにあるサーバシステム内部サーバ : ファイアウォールで保護された内側にあるサーバシステム共用サーバ : レンタルサーバ、無料のアカウントを発行するサービスを提供するサーバ、共用端末などクライアント : LAN内に配置された、外部への持ち出しを行わないノートパソコンやタブレットなどモバイル : 公衆無線 LAN やキャリアネットワークなどに接続するノートパソコンやタブレットなど仮想化ホスト : 仮想サーバのハイパーバイザシステムが動作するシステム公開ネットワーク機器 : 境界およびその外に設置された、ルータ・スイッチ・ファイアウォールなどのネットワーク機器など内部ネットワーク機器 : 境界内に設置された、ルータ・スイッチなどのネットワーク機器など
③ 資産グループ	ホストの所属を設定します。資産グループ名は初期設定では「資産」となっています。
④ 基準年月	サーバの稼働開始年月を設定します。この年月以前のセキュリティホール情報を脆弱性管理の対象外とします。
⑤ メモ	ホストに追加情報が必要な場合のメモです。このメモは自由に設定することができます。
⑥ 製品検索	ホストに含まれる OS やミドルウェアを設定します。「サポート対象外となった製品も追加できるようにする」にチェックを入れて検索をすると、取扱終了となった製品が追加できるようになります。
⑦ 登録製品	「製品検索」で追加した製品を表示します。登録製品は OS を含め合計 50 製品まで追加することができます。OS は 1 つのホストあたり 1 つしか登録できません。
⑧ 機能	登録製品が RedHat Enterprise Linux、CentOS または Amazon Linux AMI の場合、「スクリプトによるセキュリティホールの抽出を行います」のチェックを入れると RPM によるパッケージ管理がこのホストの脆弱性管理の基本となります。この場合、OS パッケージリストを RA へ送信することによって、セキュリティホール情報とのマッチングが行われホストに関連するセキュリティホール情報がリストアップされます。なお、このチェックの有無はホストの登録後変更できないためご注意ください。

「上記の内容で作成する」をクリックします。
パッケージ入力

⑧ の機能で「スクリプトによるセキュリティホール抽出を行います。」にチェックを入れた場合、以下のダイアログが表示されます。パッケージリストの入力方法を選択します。

パッケージリスト登録手順については以下を参照してください。
- 手入力で OS パッケージを登録する場合
- スクリプト実行で OS パッケージを登録する場合