SSHおよびSSLの監査とレポート

1. 監査
   • 1.1 監査レコードの表示
   • 1.2 分類された監査レコード
   • 1.3 SNMPトラップとSyslog設定の構成
   • 1.4キー監査通知
   • 1.5 監査トレイルのパージ
2. SSHおよびSSLレポート
   • 2.1 レポートの表示
   • 2.2 レポートのエクスポート
   • 2.3レポート期間の選択
   • 2.4 スケジュール設定されたタスクの作成

1.監査

PAM360には効率的な監査メカニズムが付いており、これで、本製品で実行されたすべてのアクティビティが記録されます。監査トレイルでは、「誰」が「どの」操作を「いつ」実行したかの情報をキャプチャされます。PAM360のパスワードユーザーは、各自の操作の監査レコードのみ表示できますが、管理者は、すべてのユーザーに関係する監査レコードを表示できます。

1.1 監査レコードの表示

監査中の最期の5エントリは、キーダッシュボードページの操作監査からすぐに表示できます。［監査］ >>［キー/証明書監査］の順に移動して、全監査レコードを表示できます。フィルタを適用して、必要なレコードを選択的に表示できます。監査テーブルの右上隅にある検索アイコンをクリックすると、テキストボックスを呼び出して、必要なレコードを検索して選択的に表示できます。すべてのユーザーの証明書関連の監査は、［監査］ >> ［証明書監査］で利用できます。証明書の監査はユーザー固有ではありません。つまり、証明書に関連する監査を管理者が表示できます。［監査］ >> ［キー監査］で利用可能なキー監査には、証明書とSSHキー関連監査の両方が含まれますが、ユーザー別で、それらの監査にアクセスできる特定ユーザーのみを示します。

監査証跡は、次のカテゴリに分類されています:

• キー関連づけ監査
• キーローテーション監査
• スケジュール監査

1.2 各ページの分類された監査記録

1. ［SSHキー］ >> ［キーローテーション監査］の順に移動し、PAM360から実行したすべてのSSHキーローテーション操作の記録を表示します。
2. ［SSHキー］ >> ［キー関連監査］の順に移動し、PAM360で実行するすべてのSSHキー関連操作のレコードを表示します。.
3. スケジュールタブには、キーローテ―祖hンと検出、およびレポート生成操作を含む、PAM360で作成した各種スケジュール設定済タスクに関連した監査トレイルが含まれます。表示するには、[管理] >> [SSH / SSL構成] >> [スケジュール]に移動し、タブの右上隅にある[監査のスケジュール]アイコンをクリックします。タスクの実行結果をドリルダウンすることもできます。
   

1.3 SNMPトラップとSyslog設定の構成

PAM360を構成して、PAM360内で実行される各種操作について、SNMPトラップおよび/またはSyslogメッセージを他の管理システムに送信できます。構成するには、[管理] >> [統合] >> [SNMPトラップ/ Syslog設定]に移動します。ここでは、SNMPトラップまたはSyslogメッセージを設定するために、ホスト名、ポートなどの基本情報を提供する必要があります。

1.4 キー監査通知

［監査］ >> ［キー監査］ >> ［監査操作］ >> ［キー監査を構成］の順に移動し、PAM360で実行したキー監査操作に通知を送信できます。ここでは、通知をメール、SNMPトラップ、またはSyslog設定で送信するオプションがあります。アラートを作成するキー関連の操作を選択し、すべての管理者、すべての監査人、または特定のユーザーとユーザーグループに通知を送信できます。

1.5 監査証跡のパージ

［キー監査/証明書監査］で、［監査操作］ >> ［監査トレイルをパージ］の順に移動し、操作、検出、関連、ローテーション、およびスケジュール等、後で各種のキー関連操作について監査レコードをパージする必要がある日数を指定できます。

2.SSHおよびSSLレポート

PAM360には、エンタープライズでのSSHキー全体とSSL証明書管理プロセスについての説明がが包括的レポートの形で表示されます。公開鍵展開、秘密鍵のローテーション、サーバーへのアクセス、すべてのSSHユーザーのリストとそのキー関連、SSL証明書のリスト、SSL有効期間等の各種アクティビティのステータスとサマリは、テーブルとグラフの形で提供され、これで、IT管理者は、SSHキーとSSL証明書管理についての情報をもって決定判断を行うサポートとなります。

2.1 レポートの表示

GUIの[レポート]タブからレポートを表示できます。PAM360には以下のレポートがあります：

SSHレポート

1. 秘密鍵レポート – PAM360で生成およびインポートされたSSHキーの詳細レポートを表示します。
2. 秘密鍵ローテーションレポート – PAM360を使って実行されるSSHキーローテーションの詳細レポートを表示します。
3. 公開鍵展開レポート – ターゲットシステムで展開されるSSHキーの詳細レポートを表示します。
4. PGPキーレポート – PAM360で保存および管理するすべてのPGPキーの詳細レポートを表示します。

SSLレポート

1. SSL証明書レポート – PAM360を使ってインポート、検出、および作成されるすべてのSSL証明書の詳細リストを表示します。
2. SSL要求レポート – PAM360から出されるすべての証明書要求の詳細レポートを表示します。
3. SSL有効期限レポート – このレポートを選択するときに、有効期限フィルターを直接適用できます。選択に関連する有効期限情報を含む証明書の詳細レポートが表示されます。
4. ワイルドカードSSL証明書レポート - このレポートは、使用中のワイルドカードSSL証明書と、証明書が展開されているサーバーの詳細ビューを提供します。
5. 展開されたサーバーレポート – このレポートは、複数のサーバーに展開された証明書の詳細ビューを提供します。
6. ADユーザー証明書レポート – Active Directoryのユーザーアカウントにマップされているすべての証明書の詳細なリストを表示します。
7. SHA1証明書レポート – このレポートは、組織に展開されているすべてのSHA-1証明書の詳細ビューを提供します。
8. 展開レポート – このレポートでは、PAM360から展開される証明書についての詳細が記載されます。
9. Let's Encryptレポート – Let's Encrypt CAに送信された証明書要求のステータスの詳細。
10. Let's Encrypt証明書レポート – このレポートはSSL証明書レポートのサブセットであり、Let's Encrypt CAから取得した証明書の詳細ビューを提供します。
11. SSL脆弱性レポート – このレポートには、PAM360リポジトリに保存されるSSL証明書で実行した脆弱性スキャンについて詳細が記載されます。
12. Microsoft証明機関の自動更新レポート：このレポートには、ローカル認証局が発行し、PAM360から呼び出された証明書の自動更新の試行/成功について詳細が記載されます。
13. 証明書署名レポート - このレポートには、Microsoft認証局を使って、またはKey Manager Plusのルート証明書に基づいて、署名される証明書の詳細リストが記載されます。
14. GlobalSign注文レポート – このレポートはSSL証明書レポートのサブセットです。 GlobalSignCAから要求された証明書注文の詳細ビューを提供します。日付フィルターを使用して、特定の期間内の注文を表示します。このレポートの内容は、 PDF、 CSV形式でエクスポートするか、指定した受信者に電子メールとして送信できます。
15. 証明書更新レポート – このレポートには、ローカルCAが発行した証明書の自動更新の試行/成功、サードパーティCAが発行/更新した証明書、MSCAがエージェントおよび事故祖h名証明書更新を使って発行し、PAM360から呼び出した証明書についての詳細が記載されます。
16. Buypass Go SSL証明書レポート – このレポートは、Buypass Go SSL CAに送信された証明書要求のステータスの詳細を提供します。コモンネーム、DNS名、発行者、有効期間、および作成時間等、重要な詳細事項が表示されます。日付フィルターを使用して、特定の期間内に送信された注文を表示します。このレポートは、PDFおよびCSV形式でエクスポートするか、メールで指定した受信者に送信できます。
17. ZeroSSL証明書レポート – このレポートは、ZeroSSL CAに送信された証明書要求のステータスの詳細を提供します。レポートに表示される属性は次のとおりです: コモンネーム、DNS名、発行者、有効期間、および作成時間。日付フィルターを使用して、特定の期間内に送信された注文を表示します。このレポートをPDFおよびCSV形式でエクスポートするか、指定した受信者に電子メールで送信できます。
18. MDM証明書レポート– このレポートには、PAM360から管理されるＭＤＭ証明書について詳細が記載されます。このレポートには、以下の詳細が含まれます：コモンネーム、デバイス名、発行者、有効期限、署名アルゴリズム、およびシリアル番号。[表示]ドロップダウンを使用して、OSタイプに基づいてレポートビューをフィルタリングします。日付フィルターを使用して、特定の期間内にインポートされた証明書を表示します。このレポートは、PDFとCSV形式でエクスポートするか、メールで指定した受信者に送信できます。
19. 証明書同期ステータスレポート – このレポートには、PAM360から複数のサーバーに展開されるＳＳＬ証明書の同期ステータスの詳細が記載されます。
    
20. Azure証明書レポート - このレポートには、PAM360から管理するAzureポータルの証明書について詳細が記載されます。このレポートには、証明書名、ドメイン名、キーVault、発行者、有効期限日、作成時間、有効開始日、ライフタイム操作等の詳細が含まれます。日付フィルターを使って、特定の時間期間内にインポートされた証明書を表示します。このレポートをPDFと CSV形式でエクスポートするか、 メールで指定受信者に送信できます。
    
21. ロードバランサ証明書レポート – このレポートには、コモンネーム、サーバー名、認証情報名、ロードバランサタイプ、サービス、仮想サーバー、および最終同期等の関連情報とあわせて、ロードバランサに展開された証明書のリストが提供されます。このレポートは、上部のエクスポートドロップダウンにある各種形式でエクスポートできます。
22. Azure証明書要求レポート - このレポートには、Azure キーVaultに提出された証明書要求のステータスについて詳細が記載されます。ここには、証明書名、ドメイン名、キーVault、発行者、勇往期限日、作成時間、最終更新、およびライフタイム操作等、重要な情報が表示されます。
    
23. AWS証明書要求レポート – このレポートには、 AWS-ACMに提出された証明書要求のステータスについて詳細が記載されます。このレポートは、ドメイン名、SAN、ARN、オーダー時間、ACM、リージョン、および更新日等、重要な情報とあわせて、利用可能なタイプでエクスポートできます。
    
24. AWS証明書レポート – このレポートには、AWS-ACMから取得し、PAM360で管理する証明書について詳細が記載されます。レポートを必要な形式でエクスポートする前に、列選択者から必要なレポート基準を選択します。
    
25. MSCA証明書レポート – このレポートには、Microsoft認証局が提供し、PAM360が管理するＳＳＬ証明書の全リストが記載されます。ここには、コモンネーム、DNS名、発行者、有効期限、キーサイズ、説明等、重要な情報が記載されます。列選択者を使って、必要な情報を表示し、レポートを利用可能な形式でエクスポートします。
    
26. MSCA取り消しおよび削除レポート – このレポートには、MSCAが取り消し、および削除した証明書が一覧表示されます。ここには、コモンネーム、認証局、証明書テンプレート、pki.msca.revokedBy、pki.msca.revokeReason、pki.msca.deletedOn、 pki.msca.deleteStatus等の情報が表示されます。レポートを必要なタイプでエクスポートする前に、列選択者から、必要な基準を選択できます。
    
27. Sectigo証明書レポート– このレポートには、SCMからインポートした、またはSCMが作成、およびPAM360から管理するSSL証明書リストが記載されます。このレポートをPDFと CSV形式でエクスポートするか、 メールで指定受信者に送信できます。

2.2 レポートのエクスポート

PAM360でCSVまたはPDFで生成されたレポートをエクスポートでき、また、レポートをメール送信することもできます。

レポートをエクスポートするには：

1. GUIの[レポート]タブに列挙されているレポートから任意のレポートを選択します。
2. ウィンドウの右上隅にある[エクスポート]ボタンをクリックします。
3. ドロップダウンリストからオプションのいずれかを選択します。
   • PDF – レポートをPDFファイルとしてシステムにエクスポートします。
   • CSV – レポートをCSVファイルとしてシステムにエクスポートします。
   • 電子メール – レポートをメールでエクスポートします。レポートを提供するユーザーの電子メールアドレスを指定します。

2.3 レポート期間の選択

日付フィルターを適用して、指定した期間のみのレポートを生成できます。レポートを日付でフィルタリングするには：

1. GUIの[レポート]タブに列挙されているレポートから任意のレポート（SSHユーザーレポートを除く）を選択します。
2. ウィンドウの右上隅にある日付フィルターをクリックします。
3. レポートを表示する期間の開始日と終了日を指定します。
4. [保存]をクリックします。

注意: 指定した期間内にのみ報告されたデータをエクスポートするには、日付フィルターを適用したエクスポート機能を使用します。

2.4 自動レポート生成用のスケジュールされたタスクの作成

レポートを自動的に生成するためのスケジュールされたタスクを作成できます。レポートは、必要に応じて、あなたまたは任意の数の受信者に電子メールで送信されます。

レポートの生成をスケジュールするには：

1. [管理] >> [SSH / SSL構成] >> [スケジュール]に移動します。
2. ［スケジュールを追加］ボタンをクリックします。
3. スケジュール追加ウインドウで、スケジュールの名前を入力しスケジュールのタイプをレポートとして選択します。
4. レポートタイプを選択します。ここで選択したすべてのレポートは電子メールで送信されます。
5. レポート生成の期間- 毎時間、毎日、毎週、毎月または一回限りを指定します。レポート生成操作をいつ開始するかを指定します。選択したオプションに対応する開始時刻、日付、または曜日を設定します。
6. レポートを提供するユーザーのメールアドレスを入力します。
7. [保存]をクリックします。

新しいスケジュールの追加を確認するメッセージが表示されます。