Skip to main content

スキャンをセットアップして実行する

開始する前に

  • 使用するセンサーのインストール、アクティブ化、および起動が実行済みであることを確認してください。

  • ネットワークがすべての要件を満たしていることを確認してください。

  • すべてデプロイメント要件を満たしていることを確認してください。

  • 管理者またはマネージャー権限が必要です。

Discoveryのワークフローと権限」および「センサーのインストール要件」を参照してください。

必要な情報を収集する

  • 使用するセンサーの名前。

  • センサーが割り当てられている管理グループ(アカウントで管理グループを使用している場合)。

  • ネットワークのスキャンに使用するポート。

  • スキャンに含めるFQDNとIPアドレス。

  • 単一のIPアドレスで複数のドメインに対応するためにServer Name Indication(SNI)を使用しているかどうか。

スキャンをセットアップして実行する

  1. CertCentralアカウントのサイドバーメニューで、[証明書]>[Discoveryを管理する]の順に選択します。

  2. [スキャンを管理]ページで、[スキャンを追加]を選択します。

  3. スキャンをセットアップする

    [スキャンを追加]ページの[スキャンを作成する]セクションで、必要なスキャン情報を入力します。

    1. スキャン名

      スキャンに名前を付けて、簡単に識別できるようにします(複数のスキャンがある場合は、名前がより重要になります)。

    2. 管理グループ

      スキャンに使用するセンサーが割り当てられた管理グループを選択します。

      センサーは、インストール時に管理グループに割り当てます。選択された管理グループに割り当てられているセンサーのみが表示されます。

      注記

      アカウントで管理グループを使用していない場合は、組織名が表示されます。

    3. ポート

      SSL/TLSサーバ証明書のネットワークをスキャンするために使用するポートを指定します。

      [すべて]を使用して、指定された範囲のすべてのポートを含めます。

      [デフォルト]を使用して、SSL/TLSサーバ証明書によく使用されるポート(443、389、636、22、143、110、465、8443、3389)を含めます。

    4. SNIの有効化(オプション)

      単一のIPアドレスで複数のドメインに対応するためにServer Name Indication(SNI)を使用している場合は、スキャンのSNIスキャンを有効にします(サーバーあたり最大10ポートに制限されています)。

      注記

      SNIスキャンの結果には、その一部としてIP情報が含まれていない場合があります。

    5. センサー

      スキャンに使用するセンサーを選択します。選択した管理グループに割り当てられているセンサーのみが表示されます。

      注記

      アカウントで管理グループを使用していない場合は、組織名が表示されます。

    6. スキャンするIP/FQDN

      FQDNとIPアドレスを含める:

      スキャンに含めるFQDNとIPアドレスを入力して、[入力]を選択します。単一のIPアドレス(10.0.0.1)、IPアドレスの範囲(10.0.0.1-10.0.0.255)、またはCIDR形式でのIP範囲(10.0.0.0/24)を含めることができます。

      FQDNとIPアドレスを除外する:

      IPアドレスの範囲から除外するIPアドレスを入力して、[除外]を選択します。単一のIPアドレス(10.0.0.1)、IPアドレスの範囲(10.0.0.1-10.0.0.255)、またはCIDR形式でのIP範囲(10.0.0.0/24)を除外できます。

    7. スキャンリストで、スキャンに含める、またはスキャンから除外するドメインとサブドメインを見つけます。その後、[アクション]列の適切なリンクを選択します。

      すべてのサブドメインを含める — ドメインのすべてのサブドメインをスキャンに含めます。

      すべてのサブドメインを除外する — ドメインのすべてのサブドメインをスキャンから除外します。

      サブドメインを追加するまたはサブドメインを編集する — 利用可能なサブドメインから、スキャンに含める、またはスキャンから除外するものを選択します。

      削除する — スキャンリストからIP/FQDNを削除します。

    8. 終了したら、[次へ]を選択します。

      注記

      サブドメインの使用について:

      • スキャンには、任意のレベルのサブドメインを常に追加することができます。

      • システムには、ドメインより1つ下のレベルのサブドメインが1つだけ表示されます。

      • 選択できるのは、一般公開されているサブドメインのみです。例えば、スキャンに追加できるのは、パブリックDNSサーバーで利用できる、またはCTログに登録されているサブドメインのみです。

  4. スキャンの実行時間

    今すぐ実行するようにスキャンを設定、またはスキャンをスケジュールします。

    未完了のスキャンの実行を停止するまでの時間に制限を設定するには、[スキャン時間が次を超過した場合に停止する]を選択してから、最大実行時間を選択します。

  5. 設定:スキャンオプション

    最適化されたスキャンは、基本的なSSL/TLSサーバ証明書とサーバーの情報と共に、検出された重大なSSL/TLSサーバー問題も提供します。(ハートブリード、Poodle [SSLv3]、FREAK、Logjam、DROWN、RC4、POODLE [TLS]、クロスサイトスクリプティング、SQLインジェクション、クロスドメインポリシー、およびCSRF)。

    スキャンの対象を選択する

    スキャンの結果に含まれる情報をカスタマイズします。

    • 設定された暗号スイートをスキャンする:SSL/TLSハンドシェイク中にクライアントとサーバー間のセキュアな通信を確立するためにサーバーで設定されている暗号スイートとSSL/TLSプロトコルを検出します。

    • SSLv2、SSLv3、TLSv1.0おyびTLSv1.1を有効にする:ハンドシェイクに使用できるこれらのSSL/TLSプロトコルを有効にします。

    • スキャンごとにホストIPアドレスを更新する:ホストのIPアドレスが頻繁に変更される場合は、スキャンするたびにホストのIPアドレスを更新します。

      以下に関する最新情報のために、[OS]および[サーバーアプリケーション]オプションを選択することもできます。

      • オペレーティングシステム

      • サーバータイプ

      • サーバーアプリケーション

      • アプリケーションバージョン

    • SSH鍵の検出を有効にする:サーバーに設定されているSSH鍵を検出します。スキャンは、SSHが有効化されたポート(デフォルトポート22)でサーバーに対して設定されているSSH鍵の指紋、アルゴリズム、およびSSH鍵の認証方法を識別します。

      SSH鍵の詳細については、「SSH鍵」を参照してください。

    • 重大なTLS/SSLサーバー問題のみをスキャンする(他よりも高速):ハートブリード、Poodle(SSLv3)、FREAK、Logjam、DROWN、RC4、POODLE(TLS)、クロスサイトスクリプティング、SQLインジェクション、クロスドメインポリシー、およびCSRFなどの重大なSSL/TLSサーバー問題のみを検出します。

    • スキャンするTLS/SSLサーバー問題を選択する:POODLE、BEAST、SWEET32など、スキャンしたいTLS/SSLサーバー問題(重大および/または非重大)を指定して、スキャンをカスタマイズします。

      注記

      より多くのスキャンオプションを追加することにより、スキャンによるネットワークリソースに対する負荷が増加し、スキャン時間が長くなります。

  6. 詳細設定:スキャンパフォーマンス

    以下のスキャンパフォーマンスオプションを使用して、スキャンを完了する速度を設定、またはネットワークリソースに対するスキャンの影響を制限します。

    • アグレッシブスキャンでは、ネットワークリソースにかかる負荷が高くなり、ネットワークに多数のスキャンパケットが送信されます。意図しない数のパケットが送信されないようにするため、Discoveryは送信されるパケット数の上限を設定します。

      注記

      アグレッシブ設定を使用すると、侵入検出システム(IDS)または侵入防止システム(IPS)で誤認アラームが発行される場合があります。

    • スロースキャンは、ネットワークリソースに対する影響を抑え、IDSまたはIPSでの誤認アラームの数を削減します。一度に数個のスキャンパケットを送信し、応答を待ってから追加のパケットを送信します。

  7. 詳細設定:スキャンにタグを追加する

    このオプションを使用して、スキャンにタグを追加します。タグは、ネットワークスキャン中に検出されたすべての証明書に適用されます。これを使用して、お使いのネットワーク、または管理対象の他のネットワークで設定されている証明書を識別し、管理します。

  8. 詳細設定:その他の設定

    TLS/SSLサーバーチェックを制限してファイアウォールアラームを削減する

    このオプションはスキャンの有効性を制限するため、SSL/TLSサーバー問題を見逃す結果につながる可能性があることを理解したうえで使用してください。

    スキャンは、SSL/TLSサーバー問題(ハートビートなど)を識別するために、SSL/TLSサーバー問題をエミュレートしてサーバーがセキュアであることを確認する場合があります。このようなエミュレーションは、ネットワーク上での誤ったファイアウォールアラームをトリガーする可能性があります。このようなアラームを回避するには、SSL/TLSサーバーチェックを制限することができます。

    ホストの可用性確認のためにスキャンするポートを指定する

    ここで指定するポートは、ホストの可用性確認のみに使用されます。

    スキャンプロセスの最初のステップでは、ホストの可用性を確認するためのpingが送信されます。

    ホストでInternet Contrl Message Protocol(ICMP)pingが無効化されている場合は、この設定を使用して、ホストの可用性確認のためにスキャンできるポートを指定します。指定するポート数が少ないほど、スキャン速度は早くなります。

    ポートのデバッグを有効にする

    このオプションを使用して、ファイアウォールが設定され、閉じられているポートに関するデータをログに記録し、収集します。

  9. 保存してスケジュール/保存して実行

    完了したら、スキャンを保存する必要があります。

    • 今すぐ実行する場合は、[保存して実行]を選択します。

    • 後ほど実行する場合は、[保存してスケジュール]を選択します。

次のステップ

スキャンが今すぐ、またはスケジュールに従って実行されます。スキャン完了までの時間は、ネットワークのサイズ、およびセットアップ中に選択されたスキャンパフォーマンスの設定に応じて異なります。

重要

スキャンが侵入検知システム(IDS)または侵入防御システム(IPS)での誤認アラームをトリガーする場合は、IDS/IPSユーティリティでスキャンを許可リストに追加するようにしてください。

スロースキャンでは、誤認アラームがトリガーされる可能性が低くなります。また、digicert.comへの通信を許可するために、ファイアウォールの許可リストにセンサーを追加する必要がある場合もあります。

スキャンを管理するには、[スキャンを管理]ページに移動します(サイドバーメニューで、[Discovery]>[Discoveryの管理]の順に選択します)。

スキャンの詳細を表示する、またはスキャン設定を変更するには、スキャンの詳細ページに移動します([スキャンを管理]ページでスキャン名を選択します)。

  • [Discoveryの場所]および[スキャン設定]タブで、スキャン設定を表示または変更します。

  • [スキャンアクティビティ]タブで、開始時間、スキャン時間、スキャンステータス、およびアクションなどの、現在および過去のスキャンの詳細を表示します。

    • スキャンされた証明書の詳細を表示するには、[証明書を表示する]を選択します。

    • ファイアウォールが設定され、閉じられているポートに関する情報を取得するには、[デバッグレポートをダウンロードする]を選択します。

    • 検出された鍵の詳細を表示するには、[鍵を表示する]を選択します。