Skip to main content

ネットワークスキャンを有効にする

開始する前に

  • DigiCert​​®​​ Trust Lifecycle Managerネットワークディスカバリー機能が DigiCert® Account Manager アカウントで有効になっている必要があります。確認する、または有効にするには、デジサートのアカウント担当者にお問い合わせください。

  • ネットワークスキャンを設定するには、DigiCert​​®​​ Trust Lifecycle Managerマネージャーユーザーロール、または Network scans の「管理」権限を持つカスタムユーザーロールが必要です。詳細については、「ユーザーと権限」を参照してください。

  • ネットワーク上のスキャンターゲットを可視化するアクティブな DigiCert センサーが必要です。「Deploy and manage sensors」を参照してください。

  • 必要な情報を収集する:

    • 使用するセンサーの名前

    • ネットワークスキャンを割り当てる事業部門(この事業部門に割り当てられたユーザーだけが、スキャンを管理できます)

    • スキャンするポート

    • スキャンする FQDN や IP アドレス

    • 単一の IP アドレスから複数のドメインに対応するためにサーバー名表示(SNI)を使用するかどうかの設定

スキャンを設定する

  1. Trust Lifecycle Manager メインメニューで、[Discovery & automation tools > Network scans]を選択します。

  2. [ネットワークスキャン]ページで、[スキャンの追加]を選択します。

    以下のように各設定ページ間を移動して選択を行います。

    次のページに進むには[次へ]、前のページに戻るには[戻る]を選択します。

  3. [一般情報]ページで、新しいスキャンの基本プロパティを設定します。

    • [スキャン名]: 識別しやすくなるように、スキャンに名前を付けます(複数のスキャンがある場合、名前はより重要になります)。

    • [事業部門]: ネットワークスキャンの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、スキャンを管理できます。

    • [スキャンタイプ]:

      • Sensor scan を選択します。このオプションは、ローカルの DigiCert センサーを使用してプライベートネットワークをセキュアにスキャンするために使用します。

      • [Sensor]ドロップダウンで、このスキャンに使用するローカルの DigiCert センサーを選択します。ローカルネットワークでスキャンする IP アドレス/FQDN とポート番号が、センサーで把握される必要があります。

      注記

      [クラウドスキャン]オプションは、インターネット上のパブリックホストをスキャンするために使用します。センサーは不要となります。詳細については、「クラウドスキャン」を参照してください。

  4. [スキャンターゲット]ページで、スキャンするターゲットについての情報を提供します。

    • [ポート番号]: TLS/SSL 証明書について、スキャンするポートを指定します。

      • [All]は、指定した範囲のすべてのポートを含めます。

      • [Default]は、TLS/SSL 証明書について一般的に使用される以下のポートを含めます。110、143、389、443、465、636、3389、8443

      • [Custom]は、ユーザーが選択したポートを含めます。

    • [サーバー名表示(SNI)]: 単一の IP アドレスから複数のドメインに対応するためにサーバー名表示(SNI)を使用する場合は、スキャンに対して SNI を有効にします(サーバー当たり、最大 10 ポートに制限されます)。SNI スキャンの結果に IP 情報は含まれない場合があります。

    • [TDS プロトコルスキャン]: このオプションは、Microsoft SQL Server または SAP/Sybase ASE 上の証明書を検出する場合に有効にします。このオプションを有効にした後、TDS(Tabular Data Stream)のデフォルトポート 1433 を使用するようにスキャンを設定するか、[Custom]を選択してスキャン対象のカスタム TDS ポート番号を入力します。

      注記

      TDS プロトコルスキャンでは、センサーバージョン 3.9.5 以降が必要です。

    • [IP アドレス/FQDN]:

      [Include FQDNs and IP addresses]: スキャン対象にする FQDN と IP アドレスを入力し、[含める]を選択します。単一の IP アドレス(10.0.0.1)、IP アドレスの範囲(10.0.0.1-10.0.0.255)、または CIDR 形式の IP の範囲(10.0.0.0/24)を対象に含めることができます。

      [Exclude FQDNs and IP addresses]: IP アドレスの範囲から除外する IP アドレスを入力して、[除外]を選択します。単一の IP アドレス(10.0.0.1)、IP アドレスの範囲(10.0.0.1-10.0.0.255)、または CIDR 形式の IP の範囲(10.0.0.0/24)を対象から除外できます。

      別の方法として、対象に含める、または除外する IP アドレス/FQDN を CSV ファイルからインポートすることもできます。

      注記

      スキャンリストに追加された IP アドレス/FQDN のエントリが重複しておらず、有効であることを確認してください。ワイルドカードドメインはサポートされていません。

      任意で、対象に含める、または除外するリストでアクションを使用して、必要な調整を行います。各リストで 1 つ以上の IP または FQDN を選択して、使用可能ないずれかのアクションを選択します。

      • [IP/FQDN を除外]: 対象リストから除外リストに選択項目を移動します。

      • [IP/FQDN を含める]: 除外リストから対象リストに選択項目を移動します。

      • [削除]: いずれかのリストから選択項目を削除します。

  5. [スキャンオプション]ページで、スキャン結果に含める情報をカスタマイズします。

    • [ディスカバリー設定]:

      [最高のパフォーマンスを得るための最適化]: 最適化されたスキャンでは、TLS/SSL 証明書とサーバーの基本情報が提供されます。

      [スキャン対象を選択]: スキャン結果にカスタム情報を含めます。

      • [設定済みの暗号スイートと TLS/SSL プロトコル]: セキュアなクライアントサーバー通信を確立するためにサーバーに対して設定された暗号スイートと TLS/SSL プロトコルを検出します。

        注記

        Trust Lifecycle Manager での暗号スキャンは、センサーバージョン 3.8.60 以降で機能します。

      • [ハンドシェイク TLS/SSL プロトコル]: SSLv2、SSLv3、TLSv1.0、TLSv1.1 プロトコルがハンドシェイクで有効になっているかチェックします。

      • [ホスト IP アドレス]: スキャンを実行するたびに、ホストの IP アドレスを更新します。ホストの IP アドレスは頻繁に変更される場合に推奨されます。

        以下についての最新情報を提供するために、[OS]および[Server Application]オプションもここで選択できます。

        • オペレーティングシステム

        • サーバータイプ

        • サーバーアプリケーション

        • アプリケーションバージョン

      注記

      スキャンオプションをさらに追加すると、スキャンによりネットワークリソースにかかる負担が増大し、スキャン時間が長くなります。

      [事業部門]: (任意)検出された証明書に事業部門を割り当てます。

      [タグ]: (任意)ネットワークスキャン中に見つかったすべての証明書にタグを割り当てます。タグは、Trust Lifecycle Manager で証明書を識別および管理するのに役立ちます。

      証明書割り当て規則: (オプション)検出された証明書にメタデータを自動的に割り当てるための割り当て規則を選択します。

    • [高度な設定]:

      [スキャンパフォーマンス]: スキャンオプション([アグレッシブ][バランス][遅い])を使用して、スキャンが完了するスピードを設定したり、スキャンがネットワークリソースに及ぼす影響を制限したりします。詳細については、「Types of scans」を参照してください。

      追加設定:

      • [ホストの可用性を確認するためにスキャンするポートを指定]: ここで指定するポートは、ホストの可用性を確認するためだけに使用されます。スキャンプロセスの最初のステップで、ホストに ping を送信して可用性を確認します。ICMP(Internet Control Message Protocol)ping がホストで無効になっている場合は、この設定を使用して、ホストの可用性を確認する目的でスキャンできるポートを指定します。指定するポートが少ないほど、スキャン時間は短くなります。

  6. [スケジュール]ページで、スキャンを実行するタイミングを設定します。

    • スキャンを今すぐ実行するか、後日のスケジュールを設定します。

    • 未完了のスキャンをユーザーが停止しない場合の実行時間の制限を設定するには、[スキャン時間が次を超過したら停止]を選択して、最大実行時間を選択します。

  7. 保存してスケジュールするか、保存して実行します。

    設定が完了したら、スキャンを保存します。

    • 今すぐ実行するには、[保存して実行]を選択します。

    • 後で実行するには、[保存してスケジュール]を選択します。

    スキャンの実行が始まったら、[ネットワークスキャン]ページでステータスを追跡できます。

スキャンのタイプ

アグレッシブスキャン

このスキャンは、非常に高速なネットワークスキャンを実行する必要がある場合に使用します。このスキャンでは、並列処理を増やして多数のプローブを送信することでネットワークトラフィックが多くなるため、ネットワークリソースへの負担が増大します。このスキャンは、応答待ち中のタイムアウトを減少させるうえでも役立ちます。スキャン速度が高速になって精度が下がり、ターゲットネットワークのレイテンシーの原因となる場合があります。

アグレッシブスキャンは、一般的には「遅いスキャン」よりも 3 ~ 4 倍高速ですが、ネットワークのトラフィック処理能力に応じて、時間が長くかかる場合もあります。この設定を使用すると、侵入検知システム(Intrusion Detection System: IDS)や侵入防御システム(Intrusion Prevention System: IPS)でのフォールスアラームの原因となる場合があります。

バランススキャン(デフォルト)

このスキャンは、スピードとスキャン精度を最適化する場合に使用します。このスキャンは、アグレッシブスキャンほど高速ではなく、ネットワークリソースにかかる負担は少なくなります。

遅いスキャン

このスキャンは、高レイテンシーネットワークで完全な精度を確保する場合、およびリアルタイムの制約がない場合に使用します。このスキャンは低速で実行され、スキャンがネットワークリソースに及ぼす影響が制限されます。このスキャンは、一度にいくつかのプローブを送信し、さらにプローブを送信する前に、より長い持間にわたって確認を待ちます。

次の手順

スキャンを今すぐ実行するか、スケジュールを設定して実行します。スキャン完了時間は、ネットワークの規模と、セットアップ中に選択されたスキャンパフォーマンス設定に応じて異なります。

スキャンの実行が完了したら、[ネットワークスキャン]ページに結果が表示されます。これには、スキャンに関連付けられた事業部門、スケジュールされたスキャンの頻度、現在および最終のスキャンステータス、検出された資産が含まれます。

スキャンを通じて見つかった証明書は、インベントリに追加され、ダッシュボードに表示されます。

このセクションの内容: