HP SIM 5.1および5.2のセキュリティの概要 - Hewlett Packard

HP SIM 5.1および5.2のセキュリティの概要
概要................................................................................................................................................... 3
アーキテクチャの概要......................................................................................................................... 3
通信プロトコル .................................................................................................................................. 3
Simple Network Management Protocol（SNMP） ............................................................................... 3
Hyper Text Transfer Protocol（HTTP） ................................................................................................ 3
Web-Based Enterprise Management（WBEM） .................................................................................. 3
デスクトップ管理インタフェース（DMI） ........................................................................................ 4
Remote Method Invocation（RMI） .................................................................................................... 4
リモートウェイクアップ................................................................................................................. 4
Internet Control Message Protocol（ICMP）........................................................................................ 4
Lightweight Directory Access Protocol（LDAP） ................................................................................... 4
Simple Object Access Protocol（SOAP） ........................................................................................... 4
通信のセキュリティ保護 ..................................................................................................................... 4
Secure Sockets Layer（SSL）............................................................................................................. 4
Secure Shell（SSH） ........................................................................................................................ 4
HTTPS............................................................................................................................................. 5
セキュアタスク実行とシングルログイン ......................................................................................... 5
分散タスクファシリティ................................................................................................................. 5
WBEM............................................................................................................................................ 5
LDAP .............................................................................................................................................. 5
RMI ................................................................................................................................................ 6
証明書の管理...................................................................................................................................... 6
SSL証明書 ....................................................................................................................................... 6
証明書共有 ..................................................................................................................................... 6
SSHキー ......................................................................................................................................... 6
パスワード ..................................................................................................................................... 6
管理対象システムの設定 ..................................................................................................................... 7
通信の管理 ..................................................................................................................................... 7
エージェントのインストール ........................................................................................................... 7
エージェントの設定 ........................................................................................................................ 7
権限 ............................................................................................................................................... 7
ブラウザ ............................................................................................................................................ 7
SSL................................................................................................................................................. 7
Cookie............................................................................................................................................ 7
パスワード ..................................................................................................................................... 7
ブラウザの警告............................................................................................................................... 8
信頼されていないシステム........................................................................................................... 8
不正な証明書 .............................................................................................................................. 8
ホスト名の不一致 ........................................................................................................................ 8
署名済みアプレット..................................................................................................................... 8
ブラウザセッション ....................................................................................................................... 8
Internet Explorerのゾーン.................................................................................................................. 8
システムリンクのフォーマット ....................................................................................................... 9
オペレーティングシステムの依存関係................................................................................................. 9
ユーザアカウントおよび認証 .......................................................................................................... 9
ファイルシステム........................................................................................................................... 9
バックグラウンドプロセス ........................................................................................................... 10
Windows Cygwin .......................................................................................................................... 10
HP-UX/Linux .................................................................................................................................. 10
データベース.................................................................................................................................... 10
SQL Server/MSDE ......................................................................................................................... 10
リモートSQL Server....................................................................................................................... 10
PostgreSQL.................................................................................................................................... 10
Oracle .......................................................................................................................................... 10
監査................................................................................................................................................. 11
コマンドラインインタフェース........................................................................................................ 11
方法：設定チェックリスト ................................................................................................................ 11
全般 ............................................................................................................................................. 11
CMSの設定................................................................................................................................... 11
強力なセキュリティ................................................................................................................... 11
管理対象システムの設定................................................................................................................ 11
管理対象システムに関するCMSの設定............................................................................................ 12
方法：ロックダウンと操作の容易さ ................................................................................................... 12
Moderate...................................................................................................................................... 12
Strong .......................................................................................................................................... 13
ポートリスト................................................................................................................................... 14
Vulnerability and Patch Management Packファイアウォールポート ...................................................... 16
HP SIMサーバ ............................................................................................................................... 16
VPMサーバ ................................................................................................................................... 16
MSDE ....................................................................................................................................... 16
Harris STAT®スキャナエンジン................................................................................................... 18
Radia Patch Manager ................................................................................................................. 18
ターゲットノード......................................................................................................................... 18
Scanner Access（ターゲットノード） ........................................................................................ 18
HP SIM ..................................................................................................................................... 19
Radia Patch Manager ................................................................................................................. 19
Virtual Machine Management Packポート............................................................................................ 19
Integrated Lights-Out（iLO）のポート .................................................................................................. 20
概要
このWhite Paperでは、HP Systems Insight Manager（HP SIM）フレームワークで使用できるセキュリティ機能
について説明します。詳しくは、『HP Systems Insight Managerテクニカルリファレンスガイド』を参照して
ください。
アーキテクチャの概要
HP SIMは中央管理サーバ（CMS）上で動作し、各種プロトコルを使用して、管理対象システムと通信します。
ユーザは、CMSにアクセスすることも、管理対象システムに直接アクセスすることもできます。
図1.アーキテクチャの概要
通信プロトコル
Simple Network Management Protocol（SNMP）
SNMP v1は、システムに関するデータを収集するための主要なプロトコルの1つです。SNMPトラップは、HP
SIMにステータスの変化やシステム上のイベントを通知するために使用されます。SNMPでは要求や応答、ト
ラップが送信先に確実に到達することは保証されないため、SNMPは保証されたプロトコルとはいえません。
SNMPのセキュリティ機能は、要求に含まれる、パスワードによく似た平文のコミュニティ名だけです。
SNMPデータは暗号化されないため、ネットワーク上でペイロード全体が簡単に盗聴される可能性があります。
管理対象システムのオペレーティングシステムでは、有効な要求に対するIPアドレス制限など、SNMPのセ
キュリティ機能が強化されている可能性があります。
Hyper Text Transfer Protocol（HTTP）
HTTPは、識別中に、管理対象システムに関するデータを取得するために使用されるもう1つの主要なプロトコ
ルです。HTTPも安全なプロトコルではなく、ネットワーク上で簡単に見ることができます。HTTPのセキュリ
ティ保護されたバージョンは、HTTPSです。このプロトコルについては、後で説明します。
Web-Based Enterprise Management（WBEM）
WBEMは、管理対象システムのデータを取得する別のプロトコルです。このプロトコルは、基本的には、
HTTPまたはHTTPS上のXMLです。
デスクトップ管理インタフェース（DMI）
DMIはデータ管理のための従来のプロトコルで、現在ではほぼWBEMに置き換わっています。DMIはDCE/RPC
（Distributed Computing Environment Remote Procedure Call）に基づくセキュリティ保護されていないプロト
コルです。
Remote Method Invocation（RMI）
Java™ RMIは、CMS内でプロセス間通信にのみ使用されます。
リモートウェイクアップ
リモートウェイクアップは、電源がソフトオフされているシステムの電源をリモートからオンにする機能を
意味します。ACPI（Advanced Configuration and Power Interface）をサポートするシステムは、そのシステム
に対する任意のネットワーク動作により、透過的に起動されます。また、システムがMagic Packetテクノロジ
をサポートする場合もあります。システムの電源が切断されている場合でも、Magic Packet対応のネットワー
クインタフェースカード（NIC）には電源が投入されており、トラフィックを監視しています。そのNICが
NIC宛てのMagic Packetを受信すると、システムに電源が投入されます。
Internet Control Message Protocol（ICMP）
ICMPは、システムの自動検出の過程で、システムに対する他の要求に先立って、システムが応答するかどう
かを確認するために使用されます。ICMPエコー要求（ping）は、システムのIPアドレスに送信されます。正常
な応答を受信できれば、システムが起動しており応答していることを確認できます。
注記：[グローバルプロトコル設定]ページから、ICMPの代わりにTCPをpingとして使用するようにHP SIMを
設定できます。
Lightweight Directory Access Protocol（LDAP）
LDAP 3は、ディレクトリグループツールの実行中に、設定済みのディレクトリサーバと通信して、ディレク
トリ内に設定されているシステムに関する情報を収集するために使用されます。
Simple Object Access Protocol（SOAP）
SOAPは、HP SIMと通信するためにパートナーアプリケーションによって使用されます。このプロトコルは、
基本的には、HTTPS上のXMLです。
通信のセキュリティ保護
Secure Sockets Layer（SSL）
SSLは、インターネット経由の通信をセキュリティ保護するための業界標準プロトコルです。SSLは、盗聴を
防止するための暗号化機能と改変を防止するためのデータ整合性機能を提供します。また、SSLはパブリッ
クキーテクノロジを使用して、クライアントとサーバの両方を認証できます。ブラウザとCMS間のすべて
の通信がSSLによって保護されます。HP SIMは、SSL 3とTLS（Transport Layer Security）1.0の両方をサポー
トします。
Secure Shell（SSH）
SSHは、通信をセキュリティ保護するための業界標準プロトコルです。SSHは、盗聴を防止するための暗号化
機能と改変を防止するためのデータ整合性機能を提供します。また、SSHはキーベースの認証など複数のメカ
ニズムを使用して、クライアントとサーバの両方を認証できます。HP SIMはSSH 2をサポートします。
HTTPS
HTTPS（Hyper Text Transfer Protocol Secure）は、SSL経由のHTTP通信を意味します。ブラウザとHP SIMの間の
すべての通信は、HTTPSを介して行われます。またHTTPSは、CMSと管理対象システムの間の多くの通信にも
使用されます。
セキュアタスク実行とシングルログイン
セキュアタスク実行（STE）は、Webエージェントを使用して、管理対象システムに対してコマンドを安全に
実行するためのメカニズムです。STEは、1つの要求内で認証、権限、プライバシー、および整合性を提供しま
す。シングルログインは、同様の機能を提供しますが、システムにアクセスする際に実行されます。セキュ
アタスク実行とシングルログインは、非常によく似た方法で実装されます。STEおよびシングルログインに
よるデータ交換の実行中、すべての通信でSSLが使用されます。STE要求またはシングルログイン要求を発行
する前に、システムから1回限りの値が要求され、反射攻撃や遅延傍受攻撃を防止します。その後、HP SIMは、
デジタル署名済みセキュアタスク実行要求またはシングルログイン要求を発行します。管理対象システムは、
デジタル署名を使用してHP SIMサーバを認証します。なお、管理対象システムは、デジタル署名の有効性を
確認するために、WebエージェントにインポートされるCMSのSSL証明書のコピーを保有する必要があり、
[証明書による信頼]に設定されていなければなりません。またHP SIMはSSLによって、システムの証明書を用
いて管理対象システムを任意に認証することができます。これにより、HP SIMが機密性の高いデータを誤っ
て不明なシステムに提供しないようにすることができます。
Insightマネージャ7ユーザに対する注釈：Insightマネージャ7は自動デバイス認証設定を使用してSTEおよびシ
ングルログインアクセスレベルを制限しましたが、新しいHP SIMの権限モデルではツールによってこのアク
セスレベルが置き換えられるようになります。WebエージェントへのSTEアクセスを要求するどのツールにも、
アクセス権が暗黙のうちに含まれます。Webエージェントへのシングルログインの場合、エージェント設定
のレプリケートツールとソフトウェアおよびファームウェアのインストールツールが、それぞれWebエー
ジェントへの管理者レベルのアクセス権を提供します。管理者としてのSystem Management Homepage、オペ
レータとしてのSystem Management Homepage、ユーザとしてのSystem Management Homepageは、それぞ
れのレベルでのシングルログインアクセスを提供します。
分散タスクファシリティ
分散タスクファシリティ（DTF）は、カスタムコマンドツールやマルチシステムおよびシングルシステム対
応ツールに使用されます。コマンドは、SSHを使用して管理対象システムに安全に発行されます。各管理対象
システムは、CMSを認証できるように、CMSのSSHパブリックキーを、信頼するキーストアに保有する必要
があります。また、管理対象システムも、そのSSHパブリックキーでCMSに対する認証を受けます。
HP Servicecontrol Managerユーザに対する注釈：HP Servicecontrol ManagerのDTFにより使用された既存
の署名済みRMI接続に代わって、SSHが使用されます。これにより、署名済みRMIをしのぐ暗号化とデータ整合
性のレベルが追加されます。このレベルは、以前はIPSecなどの安全なネットワークプロトコルを使用する場
合のみ可能でした。
WBEM
すべてのWBEMアクセスは、セキュリティ確保のためにHTTPS経由で行われます。HP SIMは、WBEMエージェ
ントアクセス用にユーザ名とパスワードを使用して設定されます。HP SIMは管理対象システムを、そのSSL証
明書を用いて、任意に認証することができます。
LDAP
ディレクトリサービスを使用するように設定されている場合は、LDAPの使用時にSSLを使用するように（デ
フォルト）、または使用しないようにHP SIMを設定できます。SSLを使用しない場合は、証明書が平文で送信
されます。 Microsoft Active Directory で SSL 経由の LDAP を有効にするには、 Microsoft 社の Web サイト
http://support.microsoft.com/kb/321051/jaを参照してください。さらに、HP SIMの信頼済み証明書リストを
使用してディレクトリサーバを認証することができます。
RMI
Java RMIは、CMSのプライベートキーを使用してデジタル署名済み要求を求めることにより、セキュリティ
保護されます。これは、ローカルシステムに対してのみ使用できます。すべての通信がローカルホストを使
用するため、通信内容がネットワーク上に漏洩することはありません。
証明書の管理
SSL証明書
HP SIMおよびWebエージェントによって生成される証明書は自己署名されています。内部の証明書サーバや
サードパーティ認証機関（CA）が証明書に署名できるように、パブリックキーインフラストラクチャ
（PKI）がサポートされます。HP SIM証明書は、ブラウザでの名前不一致の警告を緩和できるように、複数の
名前をサポートしています。
HP SIMで使用される証明書は複数存在します。上で説明した証明書は主な証明書であり、HP SIM SSL Web
サーバ、パートナーアプリケーションのSOAPインタフェース、およびWBEMイベントレシーバによって使
用されます。この証明書は、ブラウザ、SOAPを介してHP SIMと通信するパートナーアプリケーション、およ
びHP SIMにイベントを提供するWBEMエージェントで、必要に応じてHP SIMを認証するために使用されます。
この証明書はまた、シングルログイン（SSO）での管理対象システムとの信頼関係を有効にするために、管
理対象システム（たとえば、SMH、OA、iLO、SE、CV）にも設定されます。HP-UX WBEM Services 2.5以降
に対してHP SIMを認証するために、HP SIMでは別の証明書が使用されます（WBEMプロトコルにこの動作が
設定されている場合）。管理対象システムからの証明書をHP SIMの信頼された証明書リストにインポートし
て、HP SIMでこれらのシステムを認証できるようにすることができます。「管理対象システムの設定」の項
を参照してください。
証明書共有
HP SIMには、システムにインストールされた他のコンポーネントが同じ証明書とパブリックキーを使用する
ためのメカニズムがあります。これにより、システムの認証が、個別のコンポーネントとしてではなく全体と
して行えるため、プロセスが簡素化されます。このメカニズムは現在、CMS上のWebエージェントとWBEM
コンポーネントで使用されます。
SSHキー
SSHキーペアは、初期設定で生成されます。CMSのパブリックキーは、mxagentconfigツールを使用して管
理対象システムにコピーされます。このキーペアは、SSL用のものと同じではありません。また、新しいペア
の再生成は手動で行わなければなりません。mxagentconfigについて詳しくは、manページまたはオンライ
ンマニュアルを参照してください。詳しくは、HPのWebサイトhttp://h50146.www5.hp.com/products/
servers/proliant/whitepaper/wp077_0804/?jumpid=reg_R1002_JPJAにあるWhite Paper「HP SIM 5.1および
5.2のSecure Shell（SSH）」を参照してください。
パスワード
HP SIMのプロトコル設定ページで設定されたパスワードはCMS上のローカルファイルに保存され、オペレー
ティングシステムのファイル権限が管理者またはルートに制限されます。CLIコマンドのmxnodesecurityを
使用して、これらのパスワードをさらに管理することができます。
管理対象システムの設定
通信の管理
通信の管理ツールを使用すると、HP SIMと管理対象システムの間の通信の問題を診断して修復することがで
きます。識別、イベントの受信、ツールの実行、またはバージョン管理に影響する可能性のある通信の問題が
検出されると、それらの問題がシステムごとに一覧表示されます。それにより、特定の通信の設定や証明書を
再設定したり、ターゲットシステムにエージェントをインストールしたりすることができます。
エージェントのインストール
Windows環境では、初期ProLiant Support Packインストールツールを使用して、HP SIMを信頼するように事前
に設定されたSystem Management Homepage（SMH）を他の設定とともにインストールできます。さらに、
このツールでは、SSHをインストールして設定することもできます（OpenSSHのインストールツールも使用
可能）。
エージェントの設定
エージェントの設定および修復ツールを使用すると、管理対象システムにエージェントをインストールしたり、
システムだけを設定したりすることができます。エージェント設定のレプリケートツールは、SSH設定をある
システムから別のシステムに複製します。
権限
HP SIM内の権限によって、ユーザがどのシステムに対してどのツールを操作できるかが定義されます。シス
テムリストには、そのユーザが権限を持っているシステムのみが表示されます。同様に、メニューにも権限
のあるツールのみが表示されます。
HP SIM 5.2の前は、設定権限によって、ユーザがHP SIM内でどのアクションを実行できるが定義されていま
した。たとえば、タスク、収集、イベント、検出、レポートなどの管理があります。これらのアクションの多
くは、[完全な権限]および[制限された権限]ツールボックスに含まれている個別のツールではありません。
ユーザアカウント、権限、ツールボックス、証明書、SSHキーなどのCMSセキュリティ設定を設定する機能
には、CMSセキュリティを設定する権利が必要です。
ブラウザ
SSL
ブラウザとCMSまたは管理対象サーバ間のすべての通信は、SSL上のHTTPS経由で行われます。HTTP（SSLを使
用しない）を使用する操作は、自動的にHTTPSにリダイレクトされます。
Cookie
ログインセッションを維持するには、Cookieが必要ですが、Cookieではセッション識別子のみが維持されま
す。Cookieに秘密情報が格納されることはありません。Cookieは安全とマークされるため、SSL経由でのみ転
送されます。
パスワード
HP SIMで表示されるすべてのパスワードフィールドは、パスワードを表示しません。ブラウザとCMS間では、
パスワードはSSL経由で転送されます。
ブラウザの警告
ブラウザまたはブラウザ上のJavaプラグインが表示する可能性のある警告には、いくつかの種類があります。
ほとんどの警告がSSLサーバ証明書に関係するものです。
信頼されていないシステム
この警告は、証明書が信頼されていないシステムによって発行されたことを意味します。デフォルトでは証明
書は自己署名されるため、証明書をブラウザにインポートしていない場合にこの警告が表示される可能性があ
ります。CAの署名済み証明書の場合は、署名入りルート証明書をインポートする必要があります。他の安全
な方法で証明書を入手した場合はアクセスする前に証明書をインポートできます。警告が表示された時点で、
証明書をインポートすることもできますが、ホストシステムが認証されていないので、スプーフィングされ
る可能性があります。証明書の信頼性を個別に確認できる場合や、システムが危険な状態にないことを熟知し
ている場合は、証明書をインポートしてください。
不正な証明書
証明書がまだ有効でない、期限が切れているなどのため証明書が不正な場合、日付/時刻に問題がある可能性
があります。この問題は、システムの日付/時刻を修正することにより、解決できます。証明書が他の何らか
の理由で無効な場合は、再作成が必要になることがあります。
ホスト名の不一致
証明書の名前がブラウザでの名前と一致しない場合、この警告が表示されることがあります。この問題は、証
明書に表示されているシステムの名前（たとえば、marketing1.ca.hp.comまたはmarketing1）を使用し
てアクセスすることによって解決できます。HP SIM証明書は、この問題を緩和できるように複数の名前をサ
ポートしています。HP SIMによってリンク内に作成された名前のフォーマットの変更については、下記の
「Internet Explorerのゾーン」の項を参照してください。
署名済みアプレット
以前のバージョンのHP SIMでは、署名済みアプレットの信頼に関する他の警告を表示するJavaプラグインが使
用されています。これらの以前のバージョンのHP SIMは、証明書がVerisignにより署名されている、HewlettPackard Companyが署名したアプレットを使用します。
ブラウザセッション
デフォルトでは、ブラウザにHP SIMバナーが表示されている限り、HP SIMでユーザセッションがタイムアウ
トになることはありません。この状態は、監視モードと呼ばれ、ユーザの操作なしでも管理対象システムを継
続的に監視することができます。ブラウザを閉じたり、他のWebサイトに移動したりすると、セッションは
20分後にタイムアウトになります。
アクティブモードもサポートされています。このモードでは、ユーザによるHP SIMの操作（メニュー項目、
リンク、またはボタンのクリック）が20分間にわたって一度も行われないと、セッションがタイムアウトに
なります。アクティブモードは、globalsettings.propsファイルを編集して、EnableSessionKeepAliveの
設定をfalseに変更すると有効になります。
セキュリティ上のベストプラクティスには、他のWebサイトにアクセスする場合の注意が含まれます。他の
Webサイトにアクセスする際は、必ず、新しいブラウザウィンドウを使用してください。また、HP SIMの使
用を終了する場合は、両方のブラウザでログアウトして、ブラウザウィンドウを閉じてください。
Internet Explorerのゾーン
Internet Explorerは、それぞれ異なるセキュリティ設定を使用して設定できる複数のゾーンをサポートしていま
す。HP SIMまたは管理対象システムへのアクセスに使用される名前は、Internet Explorerがシステムをどのブ
ラウザゾーンに配置するかに影響を与える場合があります。たとえば、IPアドレスまたは完全なドメイン
ネームシステム（DNS）（たとえば、hpsim.mycorp.com）でアクセスすると、ブラウザのより制限的なイン
ターネットゾーンにシステムが配置されて、誤った操作が発生する可能性があります。アクセスする場合は、
システムが正しいインターネットゾーンに配置されていることを確認してください。Internet Explorerを設定
するか、またはアクセス時に別の名前フォーマットを使用することが必要になる場合があります。
システムリンクのフォーマット
管理対象システムへの移動を容易にするために、HP SIMには、管理対象システムへのリンクの作成方法を設
定する[システムリンク設定]オプションが用意されています。[オプション]、[セキュリティ]、[システムリ
ンク設定]の順に選択して確認してください。
次の3つのオプションが使用できます。
• [システム名を使用]
• [システムのIPアドレスを使用]
• [システムのDNS名（フル）を使用]
完全DNS名を使用してネットワーク上のシステムの名前解決を行う必要がある場合は、システムの証明書の名
前とブラウザでの名前が一致しないと、警告が表示される場合があることに注意してください。
オペレーティングシステムの依存関係
ユーザアカウントおよび認証
HP SIMのアカウントは、CMSホストのオペレーティングシステムに対して認証されます。ユーザ認証に影響
するオペレーティングシステム機能はすべて、HP SIMへのサインインに影響を与えます。CMSのオペレー
ティングシステムでは、ロックアウトポリシーを設定して、無効なログイン試行が指定した回数行われた後、
アカウントを無効にできます。また、Microsoft Windowsドメインでアカウントを手動で無効にできます。オ
ペレーティングシステムに対して認証を受けることのできないアカウントの場合、そのアカウントを使用し
てHP SIMにログインしようとしても拒否されます。
注記：HP SIMにすでにサインインしているユーザは、次のサインイン試行まではオペレーティングシステム
に対して再認証されません。HP SIMからサインアウトするまでは、すべての権利と権限を保持したままHP
SIMにサインインした状態を保ちます。
重要：HP SIMアカウント専用のオペレーティングシステムアカウントを作成する場合は、ユーザには必要最
小限のオペレーティングシステム権限を付与してください。rootやAdministrator等、オペレーティングシステ
ムの管理者アカウントは、適切に保護する必要があります。オペレーティングシステムでパスワード制限、
ロックアウトポリシーなどを設定してください。
ファイルシステム
HP SIMのオブジェクトコードを保護するために、ファイルシステムへのアクセスを制限する必要があります。
オブジェクトコードを誤って変更すると、HP SIMの動作に悪影響を与える場合があります。悪意のある変更
により、ログイン証明書の盗み取り、管理対象システムに対するコマンドの変更など盗聴攻撃が行われる可能
性が生じます。ファイルシステムへの読み取りレベルのアクセスも制限して、ファイルシステム上に回復可
能な形式で保存されているプライベートキー、パスワードなどの、機密性の高いデータを保護する必要があ
ります。HP SIMは、HP SIMにサインインするユーザのユーザアカウントパスワードは保存しません。
重要：HP SIMは、アプリケーションファイルに適切な制限を設定します。これらの制限を変更すると、HP
SIMの動作に影響する可能性があり、またファイルへの意図しないアクセスが発生する可能性があるため、変
更しないでください。
バックグラウンドプロセス
Windowsでは、HP SIMはWindowsサービスとしてインストールおよび実行されます。サービスアカウントに
は、CMSとデータベースに対する管理者権限が必要です。サービスアカウントは、ローカルまたはドメイン
アカウントのどちらでもかまいません。HP SIMへの自動サインインの場合は、ドメインアカウントを使用す
る必要があります。UNIXでは、HP SIMはルートとして動作するデーモンとしてインストールおよび実行され
ます。
Windows Cygwin
Windows、CMS、および管理対象システム用のSSHサーバで提供されるバージョンのCygwinは、セキュリ
ティ機能強化のために修正されており、共有メモリセグメントへのアクセスが制限されています。このため、
一般に使用できるバージョンのCygwinとの相互運用性はありません。管理ユーザのみが、修正されたSSHサー
バを実行するシステムに接続できます。
HP-UX/Linux
CMS上で使用できる場合、HP SIMでは、デバイス/dev/randomがランダムな数字の生成に使用されます。
データベース
HP SIMのデータを保護するために、データベースサーバへのアクセスを制限する必要があります。SQL
Serverのシステム管理者（sa）アカウントなど、すべてのデータベースアカウントに（空白ではない）適切な
パスワードを指定してください。権限、タスク、収集情報などの動作データの変更は、HP SIMの動作に影響
を及ぼす可能性があります。システムデータには、管理対象システムに関する詳細な情報が含まれ、資産情
報、設定などの情報の一部は機密情報であると考えることができます。タスクデータにも、ユーザ名やパス
ワードなど非常に機密性の高いデータが含まれる可能性があります。
SQL Server/MSDE
HP SIMは、SQL ServerおよびMSDEではWindowsの認証のみを使用します。MSDEをインストールすると、sa
アカウント用の無作為のパスワードが作成されますが、このパスワードはHP SIMでは使用されません。
リモートSQL Server
SQL Serverは、サインイン中およびデータ通信中のSSL暗号化などの高度なセキュリティ機能をサポートしま
す。詳しくは、SQL ServerのマニュアルおよびMicrosoft社のWebサイトを参照してください。
PostgreSQL
PostgreSQLは、HP SIMのインストール時に無作為に生成されるパスワードを使用します。このパスワード
は、コマンドラインを使用して変更できます。詳しくは、mxpasswordコマンドのリファレンスを参照
してください。
Oracle
Oracleデータベース管理者は、Oracleへの接続時に使用するHP SIM用のユーザ（空白以外のパスワードの使
用を推奨）を作成する必要があります。Oracleユーザには、少なくとも、接続およびDBAロールが必要です。
これによって、HP SIMテーブルへの読み取り/書き込みアクセス権とともに、HP SIMのテーブルやビューを作
成および削除するための正しい権限がHP SIMに与えられます。権限、タスク、収集情報などの動作データの
変更は、HP SIMの動作に影響を及ぼす可能性があります。システムデータには、管理対象システムに関する
詳細な情報が含まれ、資産情報、設定などの情報の一部は機密情報であると考えることができます。タスク
データにも、ユーザ名やパスワードなど非常に機密性の高いデータが含まれる場合があります。
監査
HP SIMの監査ログには、実行されたタスク、権限の変更、ユーザのサインインやサインアウトなど、システ
ムの重要な動作のエントリが記録されます。デフォルトでは、結果が監査ログに記録されるようにツールが設
定されますが、これらのツールの定義ファイルを変更して、別の設定を行うことができます。
コマンドラインインタフェース
HP SIMの多くの機能には、コマンドラインを介してアクセスできます。コマンドラインインタフェースにア
クセスするには、HP SIMの有効なユーザアカウントであるオペレーティングシステムアカウントを使用して
CMSにログオンする必要があります。HP SIM内のそのアカウントの認証および権限は、コマンドラインイン
タフェースにも適用されます。
注記：すべてのコマンドが正しく機能するには、Windowsシステムで、オペレーティングシステムアカウン
トが、CMSに対する管理者レベルのアクセス権限を持つ必要があります。
方法：設定チェックリスト
全般
• ファイアウォールの設定で、使用するポート/プロトコルを使用できるようにする。
• 「ロックダウンと操作の容易さ」をよく読む。
• CMSおよび管理対象システムを設定したら、CMS上で検出を実行する。
CMSの設定
• SSLサーバ証明書を調べ、必要な場合は更新する。
• グローバルプロトコル設定でWBEMパスワードおよびSNMPコミュニティ名を設定する。下記の「管理対
象システムに関するCMSの設定」の項を参照してください。
• オペレーティングシステムアカウントに基づいて、HP SIMにアクセスするユーザアカウントを設定する。
• デフォルトが適切でない場合、ツールボックスを確認して設定する。
• ユーザの権限を確認して設定する。
• システムリンクの設定フォーマットを設定する。
• 監査ログを参照する。
強力なセキュリティ
注記：詳しくは、「方法：ロックダウンと操作の容易さ」を参照してください。
• [信頼証明書を要求する]を有効にして、目的のシステムSSL証明書またはルート署名証明書を調べてイン
ポートする。
• 既知のSSHキーのみを要求するようにして、目的のシステムSSHパブリックキーを調べてインポートする。
管理対象システムの設定
• SNMPコミュニティ名を設定する。このコミュニティ名はCMSで必要。
• HP-UXおよびLinux上のWBEMの場合、WBEMパスワードを設定する。このパスワードはCMSで必要。セ
キュリティを最大限に高めるには、管理対象システムごとに異なるユーザ名およびパスワードを使用する必
要がある。アクセスを有効にするには、各ユーザ名/パスワードペアをCMSに入力しなければならない。
• CMSは、Windowsシステム上のWMIデータにアクセスするためにユーザ名とパスワードを必要とする。デ
フォルトでは、このアクセスにドメイン管理者アカウントを使用できるが、WMIアクセス用の制限された
権限を持つアカウントを使用する必要がある。各Windows管理対象システムに承認されるアカウントは、
[コンピュータの管理]ツールを使用して、次の手順で設定できる。
1.
最初に、[WMIコントロール]項目を選択します。
2.
[WMIコントロール]を右クリックして、[プロパティ]を選択します。
3.
[セキュリティ]タブを選択し、[Root]フォルダを選択して、[セキュリティ]をクリックします。
4.
WMIデータにアクセスするユーザを追加して、そのユーザのアクセス権を設定します。HP SIMが正
常に動作するには、[アカウントの有効化]と[リモートの有効化]の[許可]が選択されている必要があ
ります。
5.
ここで指定したユーザ名とパスワードをCMSで設定する必要があります。
• Insight Webエージェント用のユーザアカウントをセットアップする。
• CMS上でmxagentconfigを実行して、CMSのSSHパブリックキーをシステムの信頼されているキーストア
に追加する。
• Insight Webエージェントの信頼関係オプションを設定します。[証明書による信頼]に設定する場合は、CMS
SSL証明書をインポートする。
管理対象システムに関するCMSの設定
WBEMおよびWMIアクセスに使用されるユーザ名とパスワードによって、またSNMPコミュニティ名に関して、
CMSを設定する必要があります。これらのユーザ名/パスワードは、ネットワーク上のすべてのシステムで共
通のものを使用する場合は[グローバルプロトコル設定]ページ、システムごとに異なるものを使用する場合は
[システムプロトコル設定]ページで設定することができます。どちらのページも、[オプション]、[プロトコル
設定 ] メニューの順に選択してアクセスできます。また、 CMS の設定は、コマンドラインツールの
mxnodesecurityを使用して設定することもできます。詳しくは、manページまたはオンラインマニュアル
を参照してください。
重要：[グローバルプロトコル設定]ページで指定されたすべてのパスワードは、システムの識別の際に使用さ
れます。機密パスワード（ルートパスワード、ドメイン管理者パスワードなど）は、信頼できないシステム
に送信される危険性がある場合には、このページで指定しないでください。
方法：ロックダウンと操作の容易さ
Moderate
Insightマネジメントエージェントには、[証明書による信頼]に設定しなければなりません。このため、パブ
リックキーを含むHP SIMの証明書をすべての管理対象システムに配布する必要があります。各システムがHP
SIMシステムを信頼するように設定されたら、各システムは、指定されたシステムだけから安全なコマンドを
受信するようになります。
この証明書の配布には、次のいくつかの方法があります。
1.
個々のInsightマネジメントエージェントのWebベースのインタフェースを使用して、信頼するHP SIM
システムを指定できます。これにより、エージェントはHP SIMシステムからただちにデジタル証明書
を取り出し、ユーザが確認できるようにします。その後、信頼関係が設定されます。この方法はわず
かの脆弱性（証明書を取り出す際にHP SIMシステムがスプーフィングされる可能性があり、ユーザの
意図とは異なる信頼関係が設定される可能性があります）を含みます。ただし、ほとんどのネット
ワークでは十分安全な方法です。
2.
Insightマネジメントエージェントの初期インストール中に、HP SIM証明書をインポートします。この
方法は、ユーザの操作でインストールを行う際に手動で実行するか、または自動インストールで設定
ファイルを用いて実行することができます。この方法は、上記のスプーフィング攻撃の機会がほとん
どないため、第1の方法より安全です。
3.
Insightマネジメントエージェントがすでにデプロイメントされている場合に、OSのセキュリティ機能
を使用して、セキュリティ設定ファイルとHP SIM証明書を管理対象システムに直接配布できます。
重要：[証明書による信頼]オプションでは、CMSに対して新しいSSL証明書を生成する場合、HP SIMのSSL
証明書を再配布する必要があります。管理対象システムのSSHは、CMSからのSSHパブリックキーを必要
とするという点で、通常[証明書による信頼]と同じモードで動作します。SSHパブリックキーは、SSL証明
書と同じではないことに注意してください。管理対象システムにキーをコピーするには、 CMS で
mxagentconfigコマンドを使用します。ルートまたは管理者のアカウントがデフォルトで使用されるた
め、この操作は、管理対象システムで使用される各ユーザアカウントに対して行われる必要があります。
重要：SSHキーペアを再生成する場合、HP SIMのSSHパブリックキーを再配布する必要があります。
Strong
強力なセキュリティオプションにより、各セキュリティ機能をすべて利用できます。このオプションは、HP
SIMのセキュリティフレームワークで使用できる最高レベルのセキュリティ機能を提供しますが、この機能を
実現するには、ご使用のサーバを操作して追加手順を実行する必要があります。また、このオプションは、認
証機関および証明書サーバを含む独自のPKIを使用することにより可能になります。
1.
まず、各管理対象システムおよびHP SIMシステム用の証明書サーバから証明書を生成する必要があり
ます。この手順を実行するには、まず、各種システムで、証明書署名要求（CSR）を生成します。こ
れにより、PKCS#7ファイルが生成されます。次に、このファイルを、証明書サーバに取り出し署名
します。その後、結果として生成されるファイル（通常、PKCS#10応答）を各管理対象システムとHP
SIMシステムにインポートします。
重要：セキュリティを最大限に高めるには、何らかの他のメカニズムによりすべての通信が保護され
ている場合を除いて、これらの手順をネットワーク経由で行わないようにしてください。
このため、Insightマネジメントエージェントの場合、管理対象システムにリムーバブルメディア
（USBサムドライブやディスケットなど）を直接挿入し、PKCS#7ファイルを保存して、証明書サー
バにアクセスできる安全なシステムに持参します。次に、同様の手順で、PKCS#10応答ファイルをリ
ムーバブルメディアに保存して管理対象システムに戻し、Insightマネジメントエージェントにイン
ポートします。
2.
証明書サーバのルート証明書（証明書のみ。プライベートキーは不要）を取り出し、HP SIMの信頼証
明書リストにインポートします。すべての管理対象システムがこのルート証明書で署名されているた
め、これにより、HP SIMはすべての管理対象システムを信頼するようになります。
3.
HP SIMシステムから証明書を取り出し、各システムのInsightマネジメントエージェントにインポート
する必要があります。これにより、管理対象システムは、HP SIMシステムを信頼するようになります。
この証明書は、HP SIMの証明書の配布に使用できる任意の方法で配布できます。ただし、Man-In-TheMiddleアタックの可能性があるため、HP SIMシステムからネットワーク経由で直接証明書を取り出す
ことは避けてください。
重要：Moderateオプションと同様に、新しいHP SIMのSSL証明書が生成された場合はいつでも、その
SSL証明書を管理対象システムに再配布する必要があります。
4.
以上の手順が完了したら、HP SIMで[信頼証明書を要求する]を有効にするオプションを設定できます。
[オプション]、[セキュリティ]、[証明書]、[信頼証明書]を選択します。このオプションで提供される
警告は、証明書サーバで署名された証明書を保有しない管理対象システムには、HP SIMシステムから
安全なコマンドが送信されないことを明らかにします。ただし、そのハードウェアステータスは監視
されます。
5.
SSHの場合は、指定されたシステムからのみSSH接続を受け入れるオプションを有効にします。[オプ
ション]、[セキュリティ]、[SSHキー]を選択して、[中央管理サーバは、下記にリストされているホス
トキーのみSSH接続を受け入れます。]オプションを有効にします。その後、各管理対象システムの
パブリックSSHキーをHP SIMのキーのリストに手動でインポートする必要があります。
注記：以前のバージョンのHP SIMでこのオプションを設定するには、H mx.propertiesに次の行を
追加または変更します。
MX_SSH_ADD_UNKNOWN_HOSTS=false
次に、HP SIMを再起動します。
その後、各管理対象システムのパブリックSSHキーをHP SIMのキーのリストに手動でインポートする
必要があります。
ポートリスト
HP SIMソリューションでは、次のポートおよびプロトコルが使用されます。アプリケーションファイア
ウォールが存在する場合、コアのHP SIMプロセスはmxdomainmgrであり、分散タスクファシリティ
（DTF）はmxdtfです。
CMS
In2
管理対象
システム
Out
プロトコル1
説明
ICMP1
ping
Out
In
あり
あり
22
SSH
SSHサーバ（DTF用）
あり
あり
161
SNMP
SNMPエージェント
162
SNMPトラップ
トラップリスナ
あり
あり
ポート
あり
あり4
あり
80
HTTP
マネジメントプロセッサおよびその他の
デバイス、標準のWebサーバ
あり4
あり
280
HTTP
HP SIM用のWebサーバ、Webエージェントの自
動起動ポート
あり4
あり
443
HTTPS
マネジメントプロセッサおよびその他の
デバイス、標準のWebサーバ
1443
TCP
Microsoft SQL Serverデータベース
2301
HTTP
WebエージェントのWebサーバ
2367
RMI
HP SIM RMI接続
2381
HTTPS
WebエージェントのWebサーバ
あり
あり
あり
あり3
あり
あり
5432
あり
ProstgreSQL Serverデータベース
あり
あり
5988
HTTP
WBEMサービス
あり
あり
5989
HTTPS
WBEMサービス
あり
50000
HTTPS
HP SIMのWebサーバ
あり
50001
HTTPS
HP SIM SOAP（設定可能6）
あり
50002
HTTPS
HP SIM SOAP、クライアント証明書認証付き
（設定可能7）
50003
HTTP
HP SIM SOAP（設定可能8）
50004
HTTPS/HTTP
WBEMイベントレシーバ（設定可能）
あり
50005
WBEM
WBEMイベント
あり
50006
PostgreSQL
PostgreSQL
あり
50008
SIM JMS
JMSポート
あり
50009
SIM JNDI
JNDIポート
50010
DMI5
DMI
50013
RMI
WebサービスのRMIローダ
50014
JRMP
JRMP Invoker
50015
Pooled invoker
Pooled invoker
あり
あり
あり
あり
あり
あり4
あり
411
HTTP
IBM Directorエージェント
あり4
あり
1311
HTTPS
サーバアドミニストレータ
2069
HTTP
OSEM
あり4
あり4
あり
3202
HTTPS
StorageWorks NAS
あり4
あり
3257
HTTPS
ラックアンドパワーマネージャ
あり4
あり
4095
HTTP
CommandView ESL
あり4
あり
4096
HTTP
CommandView SDM
あり4
あり
8000
HTTP
HP Web letAdmin
あり4
あり
8008
HTTP
デフォルトのホームページ
あり4
あり
8443
HTTPS
HP Web JetAdmin
注記：
1
すべてのポートがTCPおよびUDP用（ICMPを除く）
CMSは、CMS自体が管理対象システムのため、通常、すべての管理対象システムポートを開いたままにし
ます。他のシステムからCMSを管理しない場合は、ファイアウォールを設定してこれらのポートを閉じるよう
に設定できます。
2
RMIポートは、CMS内でプロセス間通信に使用されます。CMS外部からの接続は許可しないため、ファイア
ウォールでこのポートを閉じることができます。
3
4
CMSの多くの送信ポートが検出用に使用されます。
DMIにより使用される実際のUDP/TCPポートは、動的で、システムにより異なりますが、32,780前後より後
のポートになる傾向があります。
5
6
ポート番号は、mx.propertiesでMX_SOAP_PORTを使用して設定できます。
7
ポート番号は、mx.propertiesでMX_SOAP_SSO_PORTを使用して設定できます。
ポート番号は、 mx.properties で MX_SOAP_HTTP_PORT を使用して設定できます。ポートは、
「globalsettings.props」で、HTTP_SOAP_PORT_ENABLEに「true」または「false」を指定して有効と無効を切
り替えることができます。
8
注記：SNMPやDMIなどの、管理プロトコルをファイアウォールの外側のシステムやインターネットに直接接
続されたシステムで有効にすることはおすすめできません。
Vulnerability and Patch Management Packファイアウォール
ポート
HP SIMサーバ
HP SIMサーバでは、次のポートを開いておく必要があります。
ポート
プロトコル
説明
280
TCP
HP SIMのHTTPポート
50000
TCP
HP SIMのHTTPSポート
5989
TCP
HP SIMのWBEM（Web-Based Enterprise
Management）/WMI Mapperセキュリティ
ポート
22
TCP
HP SIMのSSHポート
50001
TCP
HP SIMのセキュリティ保護されたSOAP
（Simple Object Access Protocol）ポート
161
TCP/UDP
SNMP
162
TCP/UDP
SNMPトラップ
VPMサーバ
VPMサーバでは、次のポートを開いておく必要があります。
注記：次のポートは、CMSのみに適用されます。
MSDE
ポート
プロトコル
説明
445
TCP
MSDE名前付きパイプ通信
1434
UDP
MSDE共有インスタンスサポート
変数
TCP
MSDE TCP/IP通信
VPMは、ファイアウォールを介して次のWebサイトにアクセスできる必要があります。
• http://www.microsoft.com
• https://ftp.hp.com
• http://support.microsoft.com
• http://rhn.redhat.com
• http://www.cve.mitre.org
• http://www.itrc.hp.com
• http://www.msus.windowsupdate.com
• http://download.microsoft.com/
• https://www.hp.com/（英語）
• http://managementsoftware.hp.com（英語）
詳しくは、次のMicrosoft社のWebサイトを参照してください。
• http://www.microsoft.com/sql/techinfo/administration/2000/security/
• http://support.microsoft.com/default.aspx?kbid=839980
Harris STAT®スキャナエンジン
ポート
プロトコル
説明
443
TCP
HTTPSポート
80
TCP
HTTPポート
135、
137、
138、
139、
445
TCPおよび
UDP
Microsoftネットワークのファイル/プリンタ
共有
Radia Patch Manager
ポート
プロトコル
説明
3464
TCP
設定サーバ
3466
TCP
Radia Management Portal
ターゲットノード
ターゲットノードでは、次のポートを開いておく必要があります。
Scanner Access（ターゲットノード）
ポート
プロトコル
説明
135、
137、
138、
139、
445
TCPおよび
UDP
Microsoftネットワークのファイル/プリンタ
共有
135、
137、
138、
139、
445
TCPおよび
UDP
リモートレジストリサービス
IPC$、
ADMIN$、
C$
デフォルト管理共有が有効になっていなければ
ならない
HP SIM
ポート
プロトコル
説明
161
TCP/UDP
SNMP
162
TCP/UDP
SNMPトラップ
2301、
2381、
49400
TCP
HP Proliantエージェント
Radia Patch Manager
ポート
プロトコル
説明
3465
TCP
Radiaエージェント
3463
（リモー
ト実行）
TCP
エージェントのデプロイメント
Virtual Machine Management Packポート
Virtual Machine Management Packでは、次のポートが使用されます。
ポート
1124
1125
1126
プロトコル
説明
TCPおよび
UDP
HP VMMコントロール
TCPおよび
UDP
HP VMMエージェント
TCPおよび
UDP
HP VMMエージェント
注記：このポートは、CMSに対してのみ適用さ
れます。
注記：このポートは、CMSと管理対象システム
に対して適用されます。
注記：このポートは、CMSと管理対象システム
に対して適用されます。
注記：
• ブラウザとVMM Webサービスの間の通信には、ポート50010経由のHTTPSが使用されます。
• VMM WebサービスとVMMサービス（どちらもHP SIM CMS上）の間の通信には、ポート1124経由のSSLが
使用されます。
• VMMサービスとVMMエージェント（仮想マシンホスト上）の間の通信には、ポート1125および1126経由
のSSLが使用されます。
• 仮想マシンの移動またはコピー時のVMMエージェント間の通信には、ポート1126経由のSSLが使用され
ます。
Integrated Lights-Out（iLO）のポート
iLOでは、次のポートが使用されます。iLOの特定の機能を無効にすると、iLOによって実際に開かれるポート
のリストに影響を与えます。 HP の Web サイト http://h20000.www2.hp.com/bc/docs/support/
SupportManual/c00212796/c00212796.pdf（英語）にある『Integrated Lights-Out Security』のテクノロジ概
要を参照してください。
ポート
プロトコル
説明
22
SSH
iLOテキスト/CLI
23
Telnet
リモートコンソール、仮想シリアルポート
80
HTTP
HTTPインタフェース
161
SNMP
SNMP GET/SET
162
（Out）
SNMP
SNMPトラップ
443
HTTP/SSL
HTTPSインタフェース、暗号化されたXMLアク
セス
636
（Out）
LDAP/SSL
ディレクトリサーバに対する安全なLDAP
3389
ターミナル
サービス
ターミナルサービスセッション（Windowsを
使用したソフトウェアベースのリモートコン
ソール）
17988
仮想
メディア
仮想メディア
© 2004-2009 Hewlett-Packard Development Company, L.P. 本書の内容は、将
来予告なしに変更されることがあります。HP製品およびサービスに対する保
証については、当該製品およびサービスの保証規定書に記載されています。
本書のいかなる内容も、新たな保証を追加するものではありません。本書の
内容につきましては万全を期しておりますが、本書中の技術的あるいは校正
上の誤り、脱落に対して、責任を負いかねますのでご了承ください。
本製品は、日本国内で使用するための仕様になっており、日本国外で使用さ
れる場合は、仕様の変更を必要とすることがあります。
本書に掲載されている製品情報には、日本国内で販売されていないものも含
まれている場合があります。
481362-193、2009年2月

Download Report