SSL証明書の発券システム統合

PAM360は、エンタープライズ発券システムと統合し、脆弱または有効期限が間近なSSL証明書のサービス要求を自動的に作成します。この統合では、定期チケットが発券システムで作成され、技術担当者にアラートを出し、適切な時期の操作により有効期限が間近または脆弱なSSL証明書がもたらすセキュリティ脅威を削減するように求めます。有効期限が間近または脆弱なチケットにサービス要求を作成する回数は、ユーザーがそれについて設定する通知ポリシーにより規定されます。

1. SSL証明書用の発見システム統合はどのように機能しますか？
   • 1.1 SSL有効期限
   • 1.2 SSL脆弱性
2. 発券システムをPAM360と統合する手順
   • 2.1 ServiceDesk Plus
   • 2.2 ServiceNow

1.SSL証明書用の発見システム統合はどのように機能しますか？

PAM360では、定期通知をメールまたはsyslogメッセージの形式でセットアップし、リポジトリの有効期限が間近または脆弱なSSL証明書をチェックできます。

SSL証明書用の発券システムを有効にするには、発券システムがPAM360で実行されているマシンのサーバーURLを入力し、発券システムホストにPAM360 Serverがアクセスできることを確認します。
SSL証明書の発券システムが有効になったら、PAM360は、スケジュール設定された、または手動の脆弱性チェック中に、有効期限が間近/脆弱なSSL証明書の通知がトリガーされるごとに、発券環境で自動的にチケットを作成します。

前提条件

チケットは、PAM360で有効期限が間近および/または脆弱と思われるSSL証明書に設定された通知ポリシーに基づいて、発券環境で作成されます。これについて通知をセットアップする方法についての詳細は、ここをクリックしてください。

1.1 SSL有効期限

SSL有効期限チケットは、PAM360が送信するデフォルトの有効期限通知、およびスケジュール設定されたSSL有効期限レポートの一部として作成されます。通知は、スケジュール設定された有効期限レポートまたはデフォルトの通知タスクがPAM360で実行されるごとにトリガーされます。

1. 有効期限が間近なSSLチケットについての通知のスケジュールは、［管理者］ >> ［SSH/SSL］ >> ［通知設定］でセットアップできます。SSL証明書の有効期限の通知を有効にするには、[SSL証明書が次の期間において有効期限になる場合に通知する]チェックボックスをオンにします。日の値を選択します。有効期限が入力した期間（日数）内にある証明書についてのみ通知されます。要件にあわせて、通知の回数をカスタマイズします。スケジュールが設定されたら、PAM360が、指定日数の範囲にある有効期限が間近な通知のリストを照合します。
2. 各SSL証明書について、PAM360は、有効期限チケットが発券環境ですでに作成されているかチェックします。作成されていない場合は、新しいチケットが開かれます。新しいチケットには、チケットがローカルで作成されるチケット番号、ステータス、IPアドレス、証明書、シリアル番号等の詳細が含まれます。
3. チケットがすでに存在する場合は、チケットのステータスがチェックされます。チケットのステータスが「開かれている」、「進行中」、または「保留中」の場合、PAM360は新しいチケットを作成しません。ただし、ステータスが「解決済」、「キャンセル済」、または「閉じている」の場合は、PAM360は、対応するSSL証明書がPAM360リポジトリで更新およびアップデート済になるまでは、チケットを再び開きます。
4. PAM360が作成したチケットには、「高優先度」のフラグが付きます。

1.2 SSL脆弱性

SSL脆弱性チケットは、PAM360が実行する脆弱性スキャン、および手動スキャンのデフォルトスケジュールの一部として作成されます。チケットは、各脆弱性について作成され、脆弱性スキャン中に検出されます。

1. 脆弱性スキャンのスケジュールは、［管理者］ >> ［SSH/SSL］ >> ［SSL脆弱性］でセットアップできます。リソースタイプを構成し、スキャンをセットアップして毎日または毎週実行します。
2. 初めに、PAM360は、脆弱性トークンがすでに発券環境に存在するか、証明書シリアル番号、ドメイン名、およびIPアドレスを使ってチェックします。チケットがすでに存在する場合は、そのチケットのステータスが取り込まれます。
3. チケットステータスが開かれている、進行中、または保留中の場合、PAM360は最新スキャン結果をそのチケットに追加するだけです。チケットが解決済、キャンセル済、または閉じている場合でも、脆弱性がまだスキャン欠課に見つかる場合、PAM360は、チケットを再び開き、最新のスキャン結果をそこに追加します。 
4. 特定サーバーの脆弱性に対応しているチケットが発券環境にない場合、PAM360は、新しいチケットを作成します。
5. 発券システムで、個別チケットが各ドメイン向けに作成されます - IP脆弱性の組み合わせ。例えば、コモンネームexample.comと、SANすなわち test.example.comが, 以下のように、異なる2つのIPアドレスに使用されているとします:
   • IP場所192.168.0.23のexample.com
   • IP場所192.168.205.35のtest.example.com

   両方の場所に脆弱性が見つかった場合、2つのチケットがexample.com@192.168.0.23と、test.example.com@192.168.205.35に作成されます。使用した証明書が同じでも、サーバーの場所が異なるため、異なる2つの脆弱性とみなされます。

6. PAM360が作成したチケットには、高優先度のフラグが付きます。.

メモ：脆弱性チケットには、スキャン中に見つかった弱い暗号のみが含まれます。すなわち、チケットは、脆弱であるとみなさない場合にその特定サーバーで利用可能な他の暗号の健全性は表示しません。

2.発券システムをPAM360と統合する手順

下の表示されているのは、PAM360が現在インポートした発券システムです：

1. ServiceDesk Plus(オンプレミス)
2. ServiceNow

2.1 ServiceDesk Plus

1. ［管理者］>> ［SSH/SSL］ >> ［チケット］ の順に移動し、［有効化］を選択します。
2. ヘルプデスクで、［ServiceDesk Plus］をクリックします。
3. ServiceDesk Plus技術担当者キ―(APIトークン）と、ServiceDesk Plusホストが実行されているサーバーURLを入力します。
4. テンプレート名を選択します。
   [または]
   ［テンプレートを取り込む］をクリックして、ServiceDesk Plusから利用可能なテンプレートをすべて取り込みます。次に、デフォルトフィールドを含むテンプレートを選択し、あわせて、失敗したことでチケット作成が失敗する必須のカスタムフィールドがないことを確認します。
5. チケットを作成で、, select ［SSL証明書有効期限にチケットを作成］または［SSL脆弱性にチケットを作成］あるいは要件にあわせて両方を選択します。[保存]をクリックします。

2.1.1 ServiceDesk PlusのSSL有効期限チケットの形式

件名：SSL証明書 <コモンネーム>有効期限

説明：

SSL証明書<コモンネーム>の有効期限が間もなく切れます。注意してください
コモンネーム：<コモンネーム>
有効期限日：2020年2月25日
スキャン実施者：PAM360実行場所 https://<PAM server-url>:<port>

2.1.2 ServiceDesk PlusのSSL脆弱性チケットの形式

件名：<ドメイン名>の脆弱性

詳細：

<コモンネーム> (これはSANにできます)
<コモンネーム> (証明書コモンネーム)
<IPアドレス>
使用中の弱い暗号で、これは削除が必要です 
<弱いことが分かった暗号の名前>

OCSP、CRL、HeartBleed、または Poodle等の脆弱性が見つかる場合、対応するシグナチャアルゴリズム等有効期限日情報もここに追加します。

スキャン時間：

スキャン実施者：PAM360実行場所 https://<PAM server-url>:<port>

2.2 ServiceNow

1. ［管理者］>> ［SSH/SSL］ >> ［チケット］ の順に移動し、［有効化］を選択します。
2. ヘルプデスクで、［ServiceNow］をクリックします。
3. ServiceNowホストが実行されるServiceNowユーザー名、パスワード、サーバーURLを入力します。
4. ［列を取り込む］をServiceNowでクリックします。取り込まれた列は、追加フィールドの下に表示されます。次に、追加フィールドから取り込まれた列を選択し、PAM360の既存の列と関連づけます。これで、ユーザーは追加情報をServiceNowで作成したチケットに追加できます。
5. チケットを作成で、要件にあわせて、［SSL証明書有効期限にチケットを作成］または［SSL脆弱性にチケットを作成］または両方を選択します。[保存]をクリックします。

2.2.1 ServiceNowのSSL脆弱性チケットの形式

短い説明：SSL証明書 <コモンネーム>有効期限

追加コメント：

SSL証明書<コモンネーム>の有効期限が間もなく切れます。注意してください
コモンネーム：<コモンネーム>
有効期限日：2020年2月25日
スキャン実施者：PAM360実行場所 https://<PAM server-url>:<port>

2.2.2 ServiceNowのSSL脆弱性チケットの形式

短い説明：<ドメイン名>の脆弱性

追加コメント：

<コモンネーム> (これはSANにできます)
<コモンネーム> (証明書コモンネーム)
<IPアドレス>
使用中の弱い暗号で、これは削除が必要です 
<弱いことが分かった暗号の名前>

OCSP、CRL、HeartBleed、または Poodle等の脆弱性が見つかる場合、対応するシグナチャアルゴリズム等有効期限日情報もここに追加します。

スキャン時間：

スキャン実施者：PAM360実行場所 https://<PAM server-url>:<port>