Skip to main content

スキャンを編集する

開始する前に

  • 編集するスキャンの名前を把握しておきます。

  • 管理者またはマネージャー権限が必要です。

スキャンを編集する

  1. CertCentralアカウントのサイドバーメニューで、[証明書]>[Discoveryを管理する]の順に選択します。

  2. [スキャンを管理]ページで、編集するスキャンを選択します。

  3. Discoveryの場所設定

    [スキャン名]ページの[Discoveryの場所]タブで、スキャンの場所に関する情報を必要に応じて更新します。

    1. スキャン名

      スキャンに名前を付けて、簡単に識別できるようにします(複数のスキャンがある場合は、名前がより重要になります)。

    2. 管理グループ

      スキャンに使用するセンサーが割り当てられた管理グループを選択します。センサーは、インストール時に管理グループに割り当てます。選択された管理グループに割り当てられているセンサーのみが表示されます。

      注記

      アカウントで管理グループを使用していない場合は、組織名が表示されます。

      注意: アカウントで管理グループを使用していない場合は、代わりに組織名が表示されます。

    3. ポート

      SSL/TLSサーバ証明書のネットワークをスキャンするために使用するポートを指定します。

      [すべて]を使用して、指定された範囲のすべてのポートを含めます。

      [デフォルト]を使用して、SSL/TLSサーバ証明書によく使用されるポート(80、443、389、636、22、143、110、465、8443、3389)を含めます。

    4. SNIの有効化(オプション)

      単一のIPアドレスで複数のドメインに対応するためにServer Name Indication(SNI)を使用している場合は、スキャンのSNIスキャンを有効にします(サーバーあたり最大10ポートに制限されています)。

      注意: SNIスキャンの結果には、その一部としてIP情報が含まれていない場合があります。

    5. センサー

      スキャンに使用するセンサーを選択します。選択した管理グループに割り当てられているセンサーのみが表示されます。

      注記

      アカウントで管理グループを使用していない場合は、組織名が表示されます。

    6. スキャンするFQDN/IP

      FQDNとIPアドレスを含める:

      スキャンに含めるFQDNとIPアドレスを追加して、[入力]を選択します。単一のIPアドレス(10.0.0.1)、IPアドレスの範囲(10.0.0.1-10.0.0.255)、またはCIDR形式でのIP範囲(10.0.0.0/24)を含めることができます。

      FQDNとIPアドレスを除外する:

      IPアドレスの範囲から除外するIPアドレスを入力して、[除外]を選択します。単一のIPアドレス(10.0.0.1)、IPアドレスの範囲(10.0.0.1-10.0.0.255)、またはCIDR形式でのIP範囲(10.0.0.0/24)を除外できます。

    7. スキャンからIPアドレス、IPアドレスの範囲、またはFQDNを削除する

      スキャンに含まれるIP/FQDNのリストで、削除するIPアドレス、IPアドレスの範囲、またはFQDNの削除アイコン(ゴミ箱)を選択します。

    8. 作業終了後

      スキャンの編集を終えたら、[保存する]を選択します。変更内容は、スキャンの次回実行時の結果に反映されます。

      スキャンの編集を続行するには、[次へ]を選択します。

  4. スキャン設定

    [スキャン名]ページの[スキャン設定]タブで、スキャン設定を必要に応じて更新します。

    1. スキャンの実行時間

      今すぐ実行するようにスキャンを設定、またはスキャンをスケジュールします。

      未完了のスキャンの実行を停止するまでの時間に制限を設定するには、[スキャン時間が次を超過した場合に停止する]を選択してから、最大実行時間を選択します。

    2. 設定

      最適化されたスキャンは、基本的なSSL/TLSサーバ証明書とサーバーの情報と共に、検出された重大なSSL/TLSサーバー問題も提供します。(ハートブリード、Poodle[SSLv3]、FREAK、Logjam、DROWN、RC4、POODLE[TLS]、クロスサイトスクリプティング、SQLインジェクション、クロスドメインポリシー、およびCSRF)。

      スキャンの対象を選択する

      スキャン結果に含まれる情報をカスタマイズするには、[スキャンの対象を選択する]を選択します。ニーズに合わせてスキャンをカスタマイズしてください。

      例えば、スキャンするTLS/SSLサーバー問題(POODLE(TLS)またはBEASTなど)を指定するには、[スキャンするTLS/SSLサーバー問題を選択する]を選択します。

      スキャンオプションを追加することで、ネットワークリソースに対するスキャンの影響と、完了するまでにかかる時間が増加します。

    3. 詳細設定:スキャンパフォーマンス

      スキャンパフォーマンスオプションを使用して、スキャンを完了する速度を設定、またはネットワークリソースに対するスキャンの影響を制限します。

      アグレッシブスキャン

      ネットワークリソースに対する影響が高くなります。多数のスキャンパケットをネットワークに送信します。意図しない数のパケットが送信されないようにするため、Discoveryは送信されるパケット数の上限を設定します。

      注記

      アグレッシブ設定を使用すると、侵入検出システム(IDS)または侵入防止システム(IPS)で誤認アラームが発行される場合があります。

      スロースキャン

      ネットワークリソースに対する影響を抑え、IDSまたはIPSでの誤認アラームの数を削減します。一度に数個のスキャンパケットを送信し、応答を待ってから追加のパケットを送信します。

    4. 詳細設定:その他の設定

      TLS/SSLサーバーチェックを制限してファイアウォールアラームを削減する

      このオプションはスキャンの有効性を制限するため、SSL/TLSサーバー問題を見逃す結果につながる可能性があることを理解したうえで使用してください。

      スキャンは、SSL/TLSサーバー問題(ハートビートなど)を識別するために、SSL/TLSサーバー問題をエミュレートしてサーバーがセキュアであることを確認する場合があります。このようなエミュレーションは、ネットワーク上での誤ったファイアウォールアラームをトリガーする可能性があります。このようなアラームを回避するには、SSL/TLSサーバーチェックを制限することができます。

      スキャンするポートを指定してホストの可用性を確認する

      ここで指定するポートは、ホストの可用性を確認するために使用されます。

      スキャンプロセスの最初のステップでは、ホストの可用性を確認するためのpingが送信されます。

      ホストでInternet Contrl Message Protocol(ICMP)pingが無効化されている場合は、この設定を使用して、ホストの可用性確認のためにスキャンできるポートを指定します。指定するポート数が少ないほど、スキャン速度が早くなります。

  5. 保存する/保存して実行

    完了したら、編集を保存する必要があります。

    • 変更内容を保存するには、[保存する]を選択します。

    • 設定を保存してスキャンを実行するには、[保存して実行]を選択します。

次のステップ

スキャンを実行せずに変更内容を保存した場合: 変更内容は、スキャンの次回実行時のスキャン結果に反映されます。

保存してスキャンを実行した場合: スキャンの詳細を表示するには、スキャンの詳細ページに移動します([スキャン]ページでスキャン名を選択します)。

このセクションの内容: