ホーム
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
連邦暗号化標準への準拠
暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
SP800-131 への準拠
SP800-131 では、必要な鍵の長さが長くなり、暗号化はより強力なものになっています。この仕様では、ユーザーが SP800-131 の厳格な (strict) 適用に移行できるようにする移行用 (transition) 構成も用意されています。

Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
- データのフロー
  BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。
- セキュリティー設定のシナリオ
  サポートされる各セキュリティー・シナリオを実現するために BigFix サーバーおよび BigFix Inventory サーバーで有効にする必要があるセキュリティー・オプションについて確認します。
- データベース接続暗号化の構成
  BigFix Inventory サーバーと BigFix Inventory データベースの接続を暗号化できます。暗号化は、JDBC ドライバーを使用して、BigFix Inventory サーバーとデータベース・エンジンの間に確立します。サーバーのアップグレード中に接続を暗号化できます。
- セキュア通信の構成
  セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
- 連邦暗号化標準への準拠
  暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
  - 連邦情報処理標準 140-2
    連邦情報処理標準 (FIPS) は、米国連邦情報・技術局 (NIST) によって連邦政府コンピューター・システム用に発行される標準および指針です。
  - FIPS 準拠を実現するためのサーバーの構成
    基礎となるアプリケーション・サーバーの構成プロパティーを編集することにより、FIPS 140-2 標準に確実に準拠することができます。
  - SP800-131 への準拠
    SP800-131 では、必要な鍵の長さが長くなり、暗号化はより強力なものになっています。この仕様では、ユーザーが SP800-131 の厳格な (strict) 適用に移行できるようにする移行用 (transition) 構成も用意されています。
  - SP800-131 準拠の使用可能化
    米国連邦情報・技術局 (NIST) が規定した SP800-131 要件を満たすように BigFix Inventory プロファイルをセットアップすることができます。
- LDAP を使用したユーザーの認証
  BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
- シングル・サインオン (SSO) の構成と有効化
  9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
- パスワードおよび暗号化メカニズムの構成
  アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
- ユーザー・アカウントのロックアウトの構成
  9.2.8 以降で使用可能。デフォルトでは、ユーザーが 5 分以内に 10 回を超えて BigFix Inventory にログインしようとした後に、ユーザー・アカウントは 5 分間ロックされます。デフォルト設定を変更したり、ユーザー・アカウントのロックアウトを無効にしたりすることができます。
- 信頼できる VM マネージャー証明書を受け入れるためのVM Manager toolの構成
  デフォルトで、VM Manager toolは、信頼できるかどうかに関係なく、すべての VM マネージャー証明書を受け入れます。デフォルトの動作を変更して、信頼できる証明書のみをVM Manager toolが受け入れるようにすることができます。
- リレー
  リレーにより、サーバーのアップストリームとダウンストリームの両方の負荷が軽減されます。サーバーと直接通信する代わりに、指定のリレーと通信するようにクライアントに指示できます。これにより、サーバーの負荷が大幅に軽減され、クライアントとサーバーの間のネットワーク・トラフィックが大幅に削減されます。

SP800-131 への準拠

SP800-131 では、必要な鍵の長さが長くなり、暗号化はより強力なものになっています。この仕様では、ユーザーが SP800-131 の厳格な (strict) 適用に移行できるようにする移行用 (transition) 構成も用意されています。

移行用構成では、ユーザーは、FIPS140-2 と SP800-131 の両方の設定を混合して実行することもできます。SP800-131 は、transition (移行) と strict (厳密) という 2 つのモードで実行できます。transition モードは、環境を SP800-131 strict モードに移行するための設定をユーザーに提供するためのものです。transition モードでは、SP800-131 で必須の証明書を使用すること、およびプロトコルを SP800-131 に設定することはオプションです。

SP800-131 を厳密に適用できるようにするには、以下の要件を満たす必要があります。

Secure Sockets Layer (SSL) コンテキストでの TLS バージョン 1.2 プロトコルの使用。
証明書は少なくとも 2048 バイトの長さでなければなりません。楕円曲線 (EC) 証明書では、244 ビット以上の曲線が必要です。
証明書は署名アルゴリズム SHA256、SHA384、または SHA512 で署名されなければなりません。有効な署名アルゴリズムには、以下のものがあります。
- SHA256 with RSA
- SHA384 with RSA
- SHA512 with RSA
- SHA256 with ECDSA
- SHA384 with ECDSA
- SHA512 with ECDSA
SP800-131 で承認された暗号スイート

SP800-131 標準について詳しくは、米国連邦情報・技術局が運営する Web サイトを参照してください。