NCMルールを用いたネットワークコンフィグコンプライアンス

Network Configuration Manager（NCM）のネットワークコンフィグコンプライアンス機能により、業界標準のポリシーにマッチしていないことによるセキュリティの脅威からネットワークを保護します。
ネットワークをCisco IOS、SOX、HIPAA、PCI DSS、その他カスタムポリシーにマッチしているか確認します。

ネットワークコンフィグコンプライアンスとは

ネットワークコンフィグコンプライアンスには次の機能があります。

• ルールとポリシーを追加し、潜在的な脅威からネットワークを保護します。
• Cisco IOS、SOX、HIPAA、PCI DSS、カスタムポリシーといった業界標準でコンプライアンスを確認します。

ネットワーク管理者がネットワークのコンプライアンスと脅威の増加により重要なワークロードを行う必要があります。さらに、業界標準にマッチしていないと、組織にリスクのある影響が発生します。
そこでこの機能を使用して各ベンダーからネットワーク装置を管理し、これらタスクを容易にします。

ネットワークコンフィグコンプライアンス機能で、バックアップ装置コンフィグのコンプライアンスチェックを行うことでコンプライアンスを維持します。
ルールやポリシーの違反に関するイベントが発生すると、ネットワーク管理者にアラートを行います。

仕組み

ルール、ルールグループ、コンプライアンスポリシーの設定を行います。ルールグループにルールを割り当て、コンプライアンスポリシーにルールグループを割り当てていきます。

コンフィグ変更が発生すると、装置コンフィグのバックアップを自動で行います。
ネットワークコンフィグのコンプライアンスを維持するために、コンプライアンスチェックを実行し、ルールグループとルールが割り当てられているポリシーベースでコンプライアンス状況を特定します。
しきい値設定に基づいて、アラート通知を行えます。

コンプライアンスルールの追加

1. Site24x7にログインします。
2. ［ネットワーク］→［NCM］→［コンプライアンス］→［ルール］に移動します。ここにデフォルトのコンプライアンスルールが表示されます。
3. 画面右上の［ルールの追加］をクリックします。
4. 開いた画面で次の情報を入力します。
   • 表示名：ルールの名前です。
   • 説明：ルールの簡単な説明を入力します。
   • 条件：［簡易］、［高度］、［カスタム］から選択します。
     • 簡易条件：単一パターンのチェックを行います。
     • 高度な条件：複数パターンのチェックを行います。
     • カスタム条件：単一のコンフィグブロック内で、ユーザー定義の条件に基づいて開始および終了する複数のパターンチェックを行います。
   • コンフィグファイル：ドロップダウンから下記のいずれかオプションを選択します。
     ［すべての行を含む］、［いずれの行も含まない］、［特定のセットを含む］、［特定の行を含まない］
     その後、回数項目で、次のパターン項目で指定したパターンについて、コンフィグファイルをチェックする回数を指定します。
   • パターン：チェックする値を入力します。
     
     図1. 簡易条件のコンプライアンスルールの追加
     上記の例では、「check」というパターンをコンフィグファイルでスキャンします。条件として、1回だけ検出された場合は違反とはならず、それ以外は違反となります。
   • ［高度な条件］を選択した場合、次の情報を指定します。
     • 条件のドロップダウンで［含む］、［含まない］のいずれかを選択します。
     • パターン項目で、コンフィグファイルでチェックする値を入力します。
     • 回数項目でチェックするパターンの出現回数を入力します。
     • ［＋］をクリックすることで、複数列を指定することも可能です。
       
       図2. 高度な条件のコンプライアンスルールの追加
       上記の例では、両方の条件にマッチしない場合にのみ違反となります。
   • ［カスタム条件］を選択した場合、次の情報を指定します。
     • コンフィグブロック開始とコンフィグブロック終了項目に値を入力し、コンフィグファイルのブロック内の値をチェックします。
     • コンフィグブロック項目でチェックする追加の条件を指定します。ドロップダウンから［含む］、［含まない］のいずれかを選択します。その後、右側の空白に値を入力します。
     • ブロック内のチェックする必要があるパターンを入力します。この手順は［高度な条件］と同様です。
       
       図3. カスタム条件のコンプライアンスルールの追加
       上記の例では、コンフィグファイルに「check」で開始し「end」で終了するブロックがあり、そのブロックに「date」が含まれている際に、パターン「utc」の存在しているかつ「GMT-4」一度だけ存在している場合にクリティカルアラートを発生します。
   • 重要度：［重大］、［やや重大］、［警告］から選択します。
5. ［保存］をクリックします。

コンプライアンスルールの修正

1. ［ネットワーク］→［NCM］→［コンプライアンス］→［ルール］に移動します。
2. アクション列にある［］アイコンをクリックします（図4の1）。
   
   図4. コンプライアンスルールの編集
3. コンプライアンスルールをクリックし、ポップアップ画面左下の［ルールの編集］からも編集を行えます。
   
   図5. コンプライアンスルール詳細の表示
4. これにより編集画面が開かれます（図6）。
   
   図6. コンプライアンスルールポップアップでの編集
5. 修正を行い［保存］をクリックします。
6. ルールの削除を行うには、［］アイコンをクリックします（図4の2）。
   
   

   どのルールグループにも関連付いていないルールのみ削除できます。

コンプライアンスルールグループの追加

1. ［ネットワーク］→［NCM］→［コンプライアンス］→［ルールグループ］に移動します。
2. 画面右上の［ルールグループの追加］をクリックします。
   
   図7. コンプライアンスルールグループ画面
3. 次の情報を入力します。
   • 表示名：ルールグループ名を入力します。
   • 説明：ルールグループの簡単な説明を入力します。
   • ルールの選択：ルールグループに追加するルールを選択します
   • ［保存］をクリックします。
     
     図8. コンプライアンスルールグループの追加

コンプライアンスルールグループの修正と削除

1. ［ネットワーク］→［NCM］→［コンプライアンス］→［ルールグループ］に移動します。
2. アクション列の［］アイコンをクリックし、修正を行います（図9の1）。
   
   図9. コンプライアンスルールグループの編集
3. コンプライアンスルールグループをリストから選択し、ポップアップ左下の［ルールグループの編集］でも同じ操作を行えます。
   
   図10. コンプライアンスルールグループの編集
4. 設定を編集します。
   
   図11. コンプライアンスルールグループのポップアップでの編集
5. ［保存］をクリックします。
6. ルールグループを削除するにはアクション列の［］アイコンをクリックします（図9の2）。
   
   

   ポリシー関連付いていないルールグループのみ削除できます。

コンプライアンスポリシーの追加

1. ［ネットワーク］→［NCM］→［コンプライアンス］→［ポリシー］に移動します。
2. 画面右上の［ポリシーの追加］をクリックします（図12の1）。
   
   図12. コンプライアンスポリシーの追加
3. 次の情報を指定します。
   • 表示名：コンプライアンスポリシー名を入力します。
   • 説明：コンプライアンスポリシーの簡単な説明を入力します。
   • コンフィグタイプ：［Startup］または［Running］を選択します。
   • ポリシー違反条件：［いずれのルールに違反したとき］または［重大またはやや重大のルールに違反したとき］を選択します。
   • ［ルール］タブからルールを追加します。
     • ［ルールの追加］をクリックしてルールを新規追加できます（図13の1）。
       これによりコンプライアンスルールの追加画面に移動します。ルールを保存すると、コンプライアンスポリシーに追加されます。
       
       図13. コンプライアンスポリシーの追加
     • ［ルールの関連付け］をクリックすると、既存のルールを関連付けられます（図13の2）。関連付けを行うと、デフォルトルールグループに追加したルールを選択できるようになります。その後、［保存］をクリックします（図14）。
       
       図14. コンプライアンスポリシーにルールを追加
   • ルールグループを追加したい場合、［ルールグループ］タブをクリックします。
     
     図15. コンプライアンスポリシーにルールグループを追加
     • ［ルールグループの追加］をクリックし、ルールグループを新規追加します（図15の1）。コンプライアンスルールの追加ポップアップで設定を行い、［保存］をクリックします。
     • ポリシーに複数の既存ルールグループを関連付けたい場合、［ルールグループの関連付け］をクリックし（図15の2）、希望のルールグループを選択します（図16）。
       
       図16. コンプライアンスポリシーにルールグループを関連付け
   • 情報を指定したら、［ポリシーの保存］をクリックします。
     
     図17. 新規ポリシーの保存と関連付け
   • ［保存と関連付け］をクリックすると、NCM装置にポリシーを関連付けられます（図17の2）。ポリシーを関連付けたい装置を選択し、［保存］をクリックします。
     
     図18. 新規ポリシーに装置を関連付け

ポリシーに装置を関連付け

1. ［ネットワーク］→［NCM］→［コンプライアンス］→［ポリシー］に移動します。
2. 画面右上の［一括関連付け］をクリックします（図12の2）。
3. リストからポリシーを選択し、画面右上の［装置の関連付け］からも同様の設定を行えます（図19の1）。
   
   図19. ポリシーへの装置関連付け
4. ポリシーに関連付けたい装置を選択し、［保存］をクリックします。

コンプライアンスポリシーの修正と削除

1. ［ネットワーク］→［NCM］→［コンプライアンス］→［ポリシー］に移動します。
2. アクション列の［］アイコンをクリックします（図12の4）。
3. ポリシーを選択後の［ポリシーの編集］からも同様の操作を行えます（図19の2）。
4. 修正後、画面右上の［ポリシーの保存］をクリックして変更を保存するか、［保存と関連付け］をクリックしてポリシーを複数装置に関連付けられます（図21）。
5. ポリシーの削除を行うには［］アイコンをクリックします（図12の5）。
   
   

   装置に関連付いていないポリシーのみ削除できます。削除中のデフォルトルーるグループがある場合、そのグループのみ削除されます。ルールグループに存在するルールには影響はありません。
6. ［削除］クリック後、ダイアログボックスの［削除］をクリックします。
   
   図21. コンプライアンスポリシーの編集

NCM装置テンプレート

NCM装置がポリシーやルールにマッチしているかを確認します。
NCM装置画面からコンプライアンスポリシーを既存のNCM装置に関連付けることも可能です。

コンプライアンスステータス

1. ［ネットワーク］→［NCM］→［NCM装置］に移動し、装置名を選択します。
2. ［コンプライアンス］タブをクリックします。
3. 名前、ポリシーステータス、ルールステータス、最終チェック情報が表示されます。これにより装置がポリシーに違反しているか、およびいくつのルールにマッチしているかを把握できます。
   
   図22. NCCM装置のコンプライアンス詳細

コンプライアンスポリシーをNCM装置に関連付け

1. ［ネットワーク］→［NCM］→［NCM装置］で、装置名をクリックします。
2. ［］アイコンから［編集］をクリックします。
3. コンプライアンス欄にスクロールダウンします。
4. コンプライアンスドロップダウンから関連付けたいポリシーを選択し、［完了］をクリックします。
5. ［保存］をクリックします。
   
   図23. NCM装置へのポリシーの関連付け

関連ガイド

• Network Configuration Manager
• NCMを使用したファームウェア脆弱性管理