ホーム
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
パスワードおよび暗号化メカニズムの構成
アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
データベース・パスワードの暗号化の構成
ローカルに保管されたデータベース・パスワードの構成を変更して、アプリケーション・セキュリティーを強化します。AES 暗号化アルゴリズムを使用してパスワードを暗号化します。このソリューションは、データベースにアクセスするために Windows 認証を使用する場合は適用されません。

Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
- データのフロー
  BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。
- セキュリティー設定のシナリオ
  サポートされる各セキュリティー・シナリオを実現するために BigFix サーバーおよび BigFix Inventory サーバーで有効にする必要があるセキュリティー・オプションについて確認します。
- データベース接続暗号化の構成
  BigFix Inventory サーバーと BigFix Inventory データベースの接続を暗号化できます。暗号化は、JDBC ドライバーを使用して、BigFix Inventory サーバーとデータベース・エンジンの間に確立します。サーバーのアップグレード中に接続を暗号化できます。
- セキュア通信の構成
  セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
- 連邦暗号化標準への準拠
  暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
- LDAP を使用したユーザーの認証
  BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
- シングル・サインオン (SSO) の構成と有効化
  9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
- パスワードおよび暗号化メカニズムの構成
  アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
  - ユーザー・パスワードのセキュリティー・ポリシーの構成
    9.2.7 以降で使用可能。自社にユーザー・パスワードのセキュリティー・ポリシーがある場合、またはアプリケーション・セキュリティーを向上させる場合は、ユーザー・パスワードがポリシー要件を満たすことを要求するように、BigFix Inventory を構成できます。
  - 暗号鍵ストアのパスワードおよび暗号化の構成
    暗号鍵ストアに固有のパスワードを構成し、AES 暗号化アルゴリズムを使用してそのパスワードを暗号化します。
  - データベース・パスワードの暗号化の構成
    ローカルに保管されたデータベース・パスワードの構成を変更して、アプリケーション・セキュリティーを強化します。AES 暗号化アルゴリズムを使用してパスワードを暗号化します。このソリューションは、データベースにアクセスするために Windows 認証を使用する場合は適用されません。
  - VM マネージャー・パスワード保管のセキュリティーの向上
    9.2.9 以降で使用可能。 VM マネージャーのパスワード保管のセキュリティーを向上させるために、パスワードの暗号化に使用されるデフォルト鍵を上書きしたり、VM Manager tool の鍵ストアのデフォルト・パスワードを変更したりすることができます。これらの 2 つの手順は独立したものです。ニーズに応じて、暗号鍵または鍵ストアのパスワード、あるいはその両方を変更できます。
  - SAP Metric Data Collector の鍵ストアのデフォルト秘密鍵およびパスワードの変更
    9.2.9 以降で使用可能。SAP Metric Data Collector のパスワード暗号化のセキュリティーを向上させるために、SAP Metric Data Collector の鍵ストアのデフォルト秘密鍵やデフォルト・パスワードを変更できます。これらの 2 つの手順は独立したものです。ニーズに応じて、秘密鍵または鍵ストアのパスワード、あるいはその両方を変更できます。
- ユーザー・アカウントのロックアウトの構成
  9.2.8 以降で使用可能。デフォルトでは、ユーザーが 5 分以内に 10 回を超えて BigFix Inventory にログインしようとした後に、ユーザー・アカウントは 5 分間ロックされます。デフォルト設定を変更したり、ユーザー・アカウントのロックアウトを無効にしたりすることができます。
- 信頼できる VM マネージャー証明書を受け入れるためのVM Manager toolの構成
  デフォルトで、VM Manager toolは、信頼できるかどうかに関係なく、すべての VM マネージャー証明書を受け入れます。デフォルトの動作を変更して、信頼できる証明書のみをVM Manager toolが受け入れるようにすることができます。
- リレー
  リレーにより、サーバーのアップストリームとダウンストリームの両方の負荷が軽減されます。サーバーと直接通信する代わりに、指定のリレーと通信するようにクライアントに指示できます。これにより、サーバーの負荷が大幅に軽減され、クライアントとサーバーの間のネットワーク・トラフィックが大幅に削減されます。

データベース・パスワードの暗号化の構成

ローカルに保管されたデータベース・パスワードの構成を変更して、アプリケーション・セキュリティーを強化します。AES 暗号化アルゴリズムを使用してパスワードを暗号化します。このソリューションは、データベースにアクセスするために Windows 認証を使用する場合は適用されません。

手順

BigFix Inventory サーバーを停止します。
AES を使用してデータベース・パスワードを暗号化するには、以下のコマンドを実行します。
1. JAVA_HOME 変数を設定します。
  
  export JAVA_HOME=Installation_directory/jre/jre
  
  set JAVA_HOME=Installation_directory\jre\jre
2. 以下のコマンドを実行します。
  
  Installation_directory/wlp/bin/securityUtility encode --encoding=aes
  
  Installation_directory\wlp\bin\securityUtility.bat encode --encoding=aes
現在のデータベース・パスワードを指定します。
```
Enter text:
Re-enter text:
{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX
```
server.xml ファイル内のデータベース・パスワードを更新します。前のステップで生成された値を、以下のコード行に入力します。
- DB2 データベース:
```
<properties.db2.jcc databaseName='temadb' driverType='4' enableExtendedIndicators='2' 
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX' portNumber='50000' serverName='localhost' user='db2inst1'/>
```
- MS SQL データベース:
```
 <properties.microsoft.sqlserver databaseName='temadb' 
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX'' serverName='localhost' user='sa'/>
```
server.xml ファイルは、以下のフォルダーにあります。
- Installation_directory/wlp/usr/servers/server1
- Installation_directory\wlp\usr\servers\server1
以下のフォルダーにある database.yml ファイル内のデータベース・パスワードを更新します。
- Installation_directory/wlp/usr/servers/server1/config
- Installation_directory\wlp\usr\servers\server1\config
ステップ 2 で生成された値を、以下のコード行に入力します。
```
encrypted_password: "{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX"
```
BigFix Inventory サーバーを開始します。