SIDfm VM を開始する(導入ガイド)
SIDfm VM を導入するための手順を説明します。
01. 動作環境の確認
インストール前に必要な事項(必要ディスク容量や OS、ブラウザ等)は以下のページに記載しています。導入前に必ずご確認ください。
動作環境02. VM サーバをインストールする
以下の手順にて SIDfm VM ソフトウェア(以下「VM サーバ」という)のインストールを行います。VM サーバは Docker イメージで提供されますので簡単に実装できます。なお、VM サーバは Docker コンテナとして実行されます。システムに Docker を実装する必要があります。
- Docker のインストール
- PostgreSQL データベースのセットアップ
- Docker の DNS 設定の変更
- VM サーバの Docker イメージの生成
- VM サーバの起動
VM サーバ等を HTTPS 対応する場合の手順は以下に説明しています。この作業は、当該インストール作業のフェーズ以外でも可能です。
03. ログインページにアクセスし、ライセンスキーを登録する
Web ブラウザーを起動し SIDfm VM のログインページにアクセスします。
- Web プラウザを起動
- http://(VMサーバーのホスト名)/redmine/ にアクセス
- ログイン ID とパスワードに「sidfmadm」を入力し、「ログイン」をクリック
次に、ログイン直後のページであるライセンス管理画面で、ライセンスIDとライセンスパスワードを入力してライセンスキーの登録を行います。
ライセンスキーの登録04. 管理者パスワードの変更を行う
SIDfm VM をインストールすると、予め、システムには Redmine 管理者と SIDfm VM 管理者の「二つの管理者」アカウントが設定されています。この理由は、SIDfm VM は、チケット管理システム Redmine のプラグイン機能として機能するため、Redmine 用のアカウントも必要となるからです。二つの管理者アカウントのパスワードの変更を必ず行って下さい。
二つの管理者パスワードの変更05. システム設定の変更を行う
「メール通知設定用のURL」と「メール通知設定用のメールアドレス」の変更を行います。 VMサーバからメールを送信する場合は、設定してください。
システム設定06. カスタムカテゴリ、ユーザの作成を行う
SIDfm VM 管理者が「カスタムカテゴリの作成」と「ユーザの作成」を行います。初めに「カスタムカテゴリの作成」を行うことを推奨します。なお、これらの二つの作成は「カスタムカテゴリによるアクセス制御」に関係していますので、以下のページもご覧ください。
カスタムカテゴリによるアクセス制御下図は、カスタムカテゴリを予め作成した後に、ユーザとホストに該当するカテゴリを関連付けることにより、個々のユーザは関連付けられたホスト情報にしかアクセスできないことを示したものです。
カスタムカテゴリの作成
カスタムカテゴリは、ホストをグループ化したり、ユーザが所属するカスタムカテゴリに対してのアクセス範囲制限(ゾーニング)を行うために利用します。いわゆる、「グループ」あるいは「タグ」という概念と同じものとして利用できます。任意に作成できます。作成したカテゴリは、後続のユーザ作成、ホスト作成の段階で、当該カテゴリに属する「ユーザ」と「ホスト」をそれぞれ紐付け(関連付け)することができます。なお、カスタムカテゴリの作成タイミングはインストール時だけではなく、任意の時点で追加・変更ができます。
カスタムカテゴリの作成ユーザの作成
ユーザの作成では、ユーザのアカウントを作成すること、ユーザの権限の設定、ユーザが所属する「カスタムカテゴリ」の設定を行います。SIDfm VM 内で使用する「ユーザ権限」としては、SIDfm VM 管理者、SIDfm VM 報告者、SIDfm VM 閲覧者の権限を用意しています。また、「カテゴリ変更」ボタンにてユーザが該当するカスタムカテゴリを設定して下さい。これによってユーザは、所属するカスタムカテゴリに該当するホストの情報のみを閲覧・管理できるようになります。なお、カスタムカテゴリの設定は任意ですが、何らかのグループに所属するのが一般的ですので、カスタムカテゴリを指定することを推奨します。
ユーザの作成07. 脆弱性対応のしきい値を設定する
検出された脆弱性に対して対策を実施するかどうかを決めるための「しきい値」を SRI と CVSS 評価指標を用いて設定します。設定された「しきい値」を上回る脆弱性は、各画面のサマリー表で「対応すべきホスト、脆弱性」としてマークされます。
脆弱性対応のしきい値を設定08. ホストを登録する
SIDfm VM では、脆弱性管理の単位となる「ホスト」の登録方法として次の四つの方法を用意しています。対象となるホストにエージェントを実装して自動でホスト情報を登録する方法、あるいは、手動でホスト情報を登録する方法が主な利用形態となります。また、大量なホスト情報をexcelファイルに記して一括、インポートすることもできます。四番目の方法として、オンラインで脆弱性管理ができないシステムのソフトウェア構成情報と状態情報をオフラインデータとしてファイル化したものを取り込む機能も備えます。
1. エージェントによる自動登録(エージェントをインストールすることにより自動登録される)
- Amazon Linux 2 にエージェントをインストールする
- Red Hat Enterprise Linux/CentOS にエージェントをインストールする
- Ubuntu, Debian GNU/Linux にエージェントをインストールする
- Windows にエージェントをインストールする
- 【インストールの自動化】Ansible を使用してエージェントをインストールする
2. 手動登録
3. インポートファイルによる一括登録
4. オフライン・データファイルによる登録
各ホストの「システムカテゴリ」と「カスタムカテゴリ」は必要に応じて、変更あるいは設定を行います。
ホストの「システムカテゴリ」の変更(必要な場合)
システムカテゴリとは、本システムに標準で用意されているカテゴリであり、ホストの環境評価のためプリセットです。SRI (SIDfm Risk Impact) の評価のために使用されます。ホストの登録時に明示的に指定しなかった場合は、デフォルトで「公開サーバ」が適用されています。異なるカテゴリ設定をしたい場合は変更します。
システムカテゴリの変更方法ホストの「カスタムカテゴリ」の設定(任意)
カスタムカテゴリは、「グループ」あるいは「タグ」という概念と同じものとして代替利用できるものです。ホストに対して任意で指定できます。ホストが属するカスタムカテゴリを設定することにより、ホストをグループ化できます。また、当該カスタムカテゴリに属するユーザのみのアクセス範囲制限(ゾーニング)を行うために利用できます。
カスタムカテゴリの設定方法ホストの登録後、VM サーバ上での同期が終了した場合、「ホスト設定」画面上で、各ホストに対するソフトウェア「プロダクト」の登録状況が、以下の図のような形で表示されます。
ご不明な点がある場合はヘルプデスクへお問い合わせください
お電話で問い合わせる
受付時間 : 9:30〜17:30(平日)