CEM のその他セキュリティ タスク

CA EEM の CEM およびローカルによるセキュリティを使用した認証と許可の設定タスクに加えて、CA CEM のセキュリティ リンクについて理解することで、以下に示す CA CEM のその他のセキュリティ タスクを実行できます。
apmdevops104jp
CA EEM の CEM およびローカルによるセキュリティを使用した認証と許可の設定タスクに加えて、CA CEM のセキュリティ リンクについて理解することで、以下に示す CA CEM のその他のセキュリティ タスクを実行できます。
[セキュリティ]リンク上に表示されるタブは、Introscope または CA APM をインストール済みであるかどうか、および CA EEM を使用しているかどうかによって異なります。
たとえば、セキュリティ ソリューションにかかわらず、プライベート パラメータは常に非表示にすることができます。ただし、認証と許可に CA EEM を使用する場合は、ビジネス サービスへのアクセスしか制限できません。以下の表に、実装したセキュリティ ソリューションに基づいて CEM コンソールに表示される内容を示します。
以下の CA CEM タブの表示の有無
Introscope のみ(CA EEM あり)
Introscope のみ(CA EEM なし)
CA APM (CA EEM あり)
CA APM (CA EEM なし)
プライベート パラメータ
はい
はい
はい
はい
アクセス ポリシー
はい
いいえ
はい
いいえ
FIPS 設定
いいえ
いいえ
はい
はい
 
プライベート パラメータの定義
HTTP パラメータは HTTP で使用される名前と値のペアです。一般的なタイプの HTTP パラメータは、Cookie、Query、および Post です。CA CEM の HTTP パラメータの詳細については、「CA APM トランザクション定義ガイド」を参照してください。
CA CEM は、トランザクション記録および認識プロセスの一環として HTTP パラメータを記録します。通常、すべての HTTP パラメータは、記録されるすべてのトランザクションについて表示されます。
CA CEM のプライベート パラメータでは、プライベートのままにする必要のある HTTP ヘッダ情報を指定できます。CA CEM のプライベート パラメータ値は、システム管理者にも、構成管理者にも、またはすべての CA CEM ユーザにも表示されません。エンドユーザのみがパラメータの値を把握しています。
ヒント:
すべてのプライベート パラメータ名が明らかにされるとは限りません(password と pin および field1 と field2 など)。ライブ トランザクションを表示する前に、テスト トランザクションで HTTP パラメータを確認して、すべてのプライベート パラメータのセキュリティが保護されるようにすることをお勧めします。
パラメータをプライベートとして指定すると、その値は TIM ログおよび CEM コンソールにアスタリスクで表示されます。
ワイルドカード文字「*」を使用すると、一致のパターンを一般化できます。以下のワイルドカード文字列を使用できます。
  • abc* -- 前方一致
  • *xyz -- 後方一致
  • abc*xyz -- 前方および後方一致
  • * - アスタリスクが 1 つのみのパラメータ名パターンを作成した場合は、
    すべての
    パラメータがプライベートになります
たとえば、「pin」をより一般化する場合は、その前にアスタリスクを追加することによって、「userpin」や「login_pin」などの他のエントリがプライベート パラメータとして認識されるようにすることができます。
注:
1 つのプライベート パラメータについて使用できる「*」ワイルドカード文字は 1 つだけです。正規表現(regex)は使用できません。
CA CEM のデフォルトのプライベート パラメータは以下のとおりです。
  • *access_id
  • pass
  • *passcode
  • pin
  • *password
  • pw
  • *ssn
プライベート パラメータの変更
既存の CA CEM プライベート パラメータを更新するには、以下の手順に従います。
以下の手順に従います。
  1. [セキュリティ]-[プライベート パラメータ]を選択します。
  2. パラメータ名をクリックします(*password など)。アスタリスクは、password の語の前に任意の数の文字を表示できることを意味します。
  3. パスワード コレクションに別のパラメータを入力します。たとえば、HTTP トラフィック内での password の語の表示で、語の前に常に文字がない状態であることがわかっている場合は、*password パラメータを password に変更します。
  4. [保存]をクリックして、新しいプライベート パラメータ保存します。
プライベート パラメータの追加
新しい CA CEM プライベート パラメータを作成するには、以下の手順に従います。
以下の手順に従います。
  1. [セキュリティ]-[プライベート パラメータ]を選択します。
  2. [新規]をクリックして、新しいプライベート パラメータを作成します。
  3. 必要なプライベート パラメータを入力します。
  4. [保存]をクリックして、新しいプライベート パラメータ保存します。
障害時の HTTP 要求および応答の保護
障害が発生した場合は、機密データの読み取り権限を持つ CA CEM ユーザとしてログインすると、ブラウザによって送信および生成された内容を正確に確認できます。また、権限があれば、Query および Post パラメータと、HTTP 要求および応答本文の情報を表示できます。
デフォルトでは、CEM システム管理者または CEM インシデント アナリスト グループに属する CA CEM ユーザは、機密データの読み取り権限を持ちます。
障害情報の表示
[障害詳細]ページには、ユーザ、トランザクション、Web サーバに関する情報など、障害に関するさまざまなカテゴリの情報が表示されます。障害についてキャプチャされた特定の HTTP パラメータ情報を表示する方法を以下に説明します。
以下の手順に従います。
  1. [インシデント管理]-[障害]を選択します。
  2. 表示する障害の日付と時刻をクリックします。
    [HTTP 情報]領域に、以下を含む、障害発生時にユーザが体験した具体的な内容に関する情報が表示されます。
    • ホスト、URL パス、TCP ポート
    • Cookie
    • HTTP ヘッダ(Cookie 以外)
    権限が与えられている場合は、この HTTP 情報を[障害詳細]ページで表示することもできます。
    この HTTP 情報の表示の詳細については、「包括的な障害詳細をキャプチャ」を参照してください。
  3. 障害発生時にユーザが表示していたのと同じページを表示するために、RequestHeader の[参照者]の内容をブラウザにカット アンド ペーストできます。
要求本文情報の表示について
要求本文情報を表示することは、障害を理解するうえで役立ちます。POST 要求には要求本文があります(空の場合もあります)。GET 要求には要求本文がありません。
要求本文情報を表示するために知っておかなければならないことが 2 つあります。
非整形式の XML/HTML の表示
障害に関連付けられた XML/HTML が整形式でない場合、HTTP 要求本文を表示するためのリンクをクリックすると、空のまたは不完全な要求が表示されます。
非整形式の XML/HTML を表示するための対応策はあります。
注:
任意
の要求本文情報(整形式であるとないとにかかわらず)を表示するには、[包括的な障害詳細をキャプチャ]チェック ボックスをオンにすると同時に、機密データの読み取り権限を持っている必要があります。
以下の手順に従います。
  1. [インシデント管理]-[障害]を選択します。
  2. 表示する障害の日付と時刻をクリックします。
  3. [要求本文]リンクを右クリックし、ファイルを保存します。
  4. テキスト エディタまたは HTML エディタを使用して、要求本文の全コンテンツを表示します。
表示される要求本文情報の最大サイズの変更
デフォルトでは、障害について要求本文情報の先頭の 1,024 バイトを表示できます。権限が与えられている場合は、この値を編集して、表示する情報を増減できます。
以下の手順に従います。
  1. TIM 設定ページにアクセスします。
    1. CEM コンソールで、[設定]-[監視]を選択します。
    2. TIM の IP アドレスをクリックします(右端の列)。
    3. ユーザ名とパスワードを入力します。
    システム セットアップ ページのデフォルト ユーザ名は admin です。
    [TIM System Setup]ページが表示されます。
  2. [Configure TIM Settings]をクリックします。
    [TIM Settings]ページが表示されます。
  3. [MaxDefectRequestBodySize]をクリックします。
  4. [New value]フィールドに、表示する最大サイズ(バイト単位)を入力します。
    必要以上に大きな値を設定しないでください。大きな値を設定すると、TIM と Enterprise Manager の両方にとって処理に多くの時間がかかります。
  5. [Change]をクリックします。
    変更はすぐに適用されます。TIM を再起動する必要はありません。
  6. 複数の TIM がある場合は、各 TIM について上記の手順を繰り返します。
障害情報の表示の制限
以下 2 つの方法のいずれか(または両方)を使用して、表示される障害情報の量を制限できます。
  • Query および Post パラメータ情報と、要求および応答本文の情報を収集して表示することの選択。「包括的な障害詳細をキャプチャ」を参照してください。
  • 特定のプライベート パラメータの非表示への設定
    パラメータ名がプライベート パラメータのいずれかに一致する場合、Post、Query、Cookie、および URL パラメータは非表示になります(値が「***」に置き換えされます)。
    プライベート パラメータを使用すると、以下を非表示にすることができます。
    • 特定のパラメータ。正確なパラメータ名を入力します。
    • パラメータのタイプ。ワイルドカード(「*」)とパラメータ名のパターンを使用します。
    • すべてのパラメータ。パラメータ名のパターンに「*」を使用して新しいプライベート パラメータを作成します。つまり、
      すべての
      パラメータがプライベートになります。
包括的な障害詳細をキャプチャ
Query および Post パラメータと、要求および応答本文の情報を表示する機能は、デフォルトでは無効になっています。[包括的な障害詳細をキャプチャ]チェック ボックス([設定]-[ドメイン]ページ)をオンにしていない場合、TIM は Query および Post 情報と、要求および応答本文の情報をキャプチャしません。
重要:
セキュリティ上の懸念がある場合は、このデフォルトを変更せず、CEM システム管理者でも[包括的な障害詳細をキャプチャ]チェック ボックスを使用できないようにすることを検討してください。
ただし、機密データの読み取り権限を持つユーザが障害に関するこの追加情報を表示できるようにする場合は、[包括的な障害詳細をキャプチャ]チェック ボックスをオンにします。
Query、Post、要求本文、および応答本文の各情報の表示を可能にする方法
  1. [設定]-[ドメイン]を選択します。
  2. [包括的な障害詳細をキャプチャ]をオンにします。
    [包括的な障害詳細をキャプチャ]チェック ボックスがページに表示されない場合は、[ドメイン]-[監視]ページに TIM が 1 つ以上表示されていることを確認してください (TIM を有効にする必要はありません)。
    [包括的な障害詳細をキャプチャ]チェック ボックスを使用できない場合は、権限があれば、以下のいずれかの方法を使用して、CA EEM またはローカルの権限を更新します。
    注:
    query post パラメータのトラブルシューティングについては、「TEC1078495」を参照してください。
  3. [保存]をクリックします。
  4. 監視を同期します。
    注:
    他の CA CEM 設定を行っている場合は、監視の同期が一度だけで済むように、設定タスクをすべて完了してから同期を実行することをお勧めします。
    監視を同期すると、障害に関する Query および Post 情報と、要求および応答本文の情報の収集が TIM によって開始されます。その後、機密データの読み取り権限を持つユーザは、監視が同期された後にキャプチャされた障害のデータを表示できます。
    後でこのチェック ボックスをオフにしても、オンになっていたときに収集された障害情報は表示できます。
[包括的な障害詳細をキャプチャ]チェック ボックスの使用可能/使用不可能の切り替え
デフォルトでは、CEM システム管理者グループに属するすべてのユーザが、[包括的な障害詳細をキャプチャ]チェック ボックスをオンにすることができます。これは、CEM システム管理者グループのすべてのメンバがデフォルトで「システム構成設定 - 包括的な障害詳細をキャプチャ」アクセス ポリシーを持っているためです。
[包括的な障害詳細をキャプチャ]チェック ボックスへのアクセス権を他のユーザに与えるには、そのユーザのグループを「システム構成設定 - 包括的な障害詳細をキャプチャ」アクセス ポリシーに追加します。
注:
[包括的な障害詳細をキャプチャ]チェック ボックスが[設定]-[ドメイン]ページに表示されるには、[ドメイン]-[監視]ページに TIM が 1 つ以上表示されている必要があります。
以下の手順に従います。
  1. システム構成設定 - 包括的な障害詳細をキャプチャのアクセス ポリシーを編集するには、「EEM での CEM アクセス ポリシーの更新」の手順に従います。
    [選択された ID]に追加した管理ユーザまたはグループは、[包括的な障害詳細をキャプチャ]チェック ボックスを編集できるようになります。このチェック ボックスは、機密データの読み取り権限を持つすべてのユーザが、その他の HTTP 機密データ(Query および Post 情報と、要求および応答本文の情報)を表示することを許可します。
  2. ユーザまたはグループがシステム構成設定リソース クラスへの書き込みアクセス権を持っていることを確認します (これによって、[ドメイン]ページを編集するユーザ権限が与えられます)。
  3. ポリシーを保存する前に、[包括的な障害詳細をキャプチャ]アクションが選択されていることを確認します。
    The Access Policy Configuration policy has two actions associated with it. The write action and the capture comprehensive defect details action.
重要:
[包括的な障害詳細をキャプチャ]チェック ボックスをオンにすると、CA CEM ユーザが機密性のあるデータを表示できるようになります。機密データの表示を厳しく制限する場合は、すべてのユーザだけでなく、デフォルトでアクセス権を持つ CEM システム管理者ですら、このチェック ボックスを使用できないようにすることができます。
[包括的な障害詳細をキャプチャ]チェック ボックスを使用不可能にする方法
  1. CEM コンソールで、[設定]-[ドメイン]ページに移動し、[包括的な障害詳細をキャプチャ]チェック ボックスがオンになっていないことを確認します。
  2. システム構成設定 - 包括的な障害詳細をキャプチャのアクセス ポリシーを編集するには、「EEM での CEM アクセス ポリシーの更新」の手順に従います。
  3. [包括的な障害詳細をキャプチャ]をオフにするか、[選択された ID]リスト内のすべてのエントリを削除し、包括的な障害詳細をキャプチャのアクセス ポリシーを保存します。
    [包括的な障害詳細をキャプチャ]アクションが選択されたポリシーがない場合、CA CEM ユーザは Query および Post 情報と、要求および応答本文の情報を TIM がキャプチャできるようにすることができません。
キャプチャされた応答本文の最大サイズの変更
デフォルトでは、応答本文の先頭の 10 KB をキャプチャできます。キャプチャする応答本文のサイズを増減するには、以下の手順に従います。
以下の手順に従います。
  1. TIM 設定ページにアクセスします。
    1. CEM コンソールで、[設定]-[監視]を選択します。
    2. TIM の IP アドレスをクリックします(右端の列)。
    3. ユーザ名とパスワードを入力します。
    システム セットアップ ページのデフォルト ユーザ名は admin です。
    [TIM System Setup]ページが表示されます。
  2. [Configure TIM Settings]をクリックします。
    [TIM Settings]ページが表示されます。
  3. [MaxDefectResponseBodySize]をクリックします。
  4. [New value]フィールドに、キャプチャする最大サイズ(バイト単位)を入力します。
    許可される範囲は 0 ~ 200,000 (200 KB)です。
    必要以上に大きな値を設定しないでください。大きな値を設定すると、処理に時間がかかり、格納に必要な領域も増えます。
  5. [Change]をクリックします。
    変更はすぐに適用されます。TIM を再起動する必要はありません。
  6. 複数の TIM がある場合は、各 TIM について上記の手順を繰り返します。
FIPS 140-2 準拠の暗号化
FIPS 140-2 について
連邦情報処理標準(FIPS) 140-2 の文書では、ソフトウェア製品とプロトコルの暗号化に使用される暗号のライブラリおよびアルゴリズムのセキュリティ標準を規定しています。
暗号化は、ソフトウェア セキュリティの以下の面に影響します。
  • パスワードの格納および検証。
  • 製品コンポーネント間および製品間で送信されるすべての機密データの通信および格納。
CA CEM および FIPS 140-2 について
FIPS 140-2 準拠のセキュリティを強化するため、CA CEM にはいくつかの変更が行われています。
  • 電子メール サーバ用のパスワードは、FIPS 準拠の 128 ビット AES および SHA アルゴリズムを使用して暗号化されます。
  • CA Unicenter Service Desk のパスワードは、FIPS 準拠の 128 ビット AES アルゴリズムを使用して暗号化されます。
  • 障害およびユーザ セッション ID 内に含まれる HTTP 情報を、プレーン テキストの代わりに 128 ビット暗号化形式で APM データベースに格納できます。この HTTP 情報は機密データである可能性があります。
    HTTP 情報には、ユーザ名、ユーザ セッション ID、パスワード、クレジット カード番号、Cookie などの機密データが含まれる場合があります。ユーザ セッション ID は、ユーザ セッションのハイジャックに悪用される可能性があります。
CA CEM の FIPS 104-2 暗号化機能
以下の表に、APM データベース内で暗号化される(暗号化できる)データの種類をまとめます。パスワードはデフォルトで暗号化されます。
アルゴリズムは、FIPS 認定の Pure Java バージョン(jsafeFIPS)で、RSA Security Inc. Crypto-J 3.5 ライブラリのものを使用しています。
暗号化の対象
UI の場所
オプションかどうか
暗号化のタイプ
詳細
SMTP パスワード
[システム]-[電子メール設定]
いいえ
FIPS 準拠 AES
CA APM 設定および管理ガイド
障害に含まれる HTTP 情報(要求および応答の本文を含む)
[CEM]-[インシデント管理]-[障害]
はい
FIPS 準拠 AES
ユーザ セッション ID
ユーザ セッション ID が UI に表示されるのは、障害の包括的な詳細と一緒に表示される場合だけです。
はい
FIPS 準拠 AES
 
障害に含まれる HTTP 情報の暗号化
デフォルトでは、障害に関連付けられた HTTP 情報は、APM データベース内の障害メタ値のテーブルにプレーン テキストで格納されます。FIPS 140-2 準拠ソフトウェアの使用が強制される場合は、以下の手順に従って、APM データベースに格納する HTTP 情報を暗号化してください。キャプチャされた場合、障害と関連付けられた応答および要求の本文が暗号化されます。
この情報は、データを APM データベース内で暗号化する場合であっても、[CEM]-[インシデント管理]-[障害詳細]ページに表示するときは暗号化されません。
A screen capture of the HTTP Information showing some response headers and a cookie. The response header information is not encrypted
重要:
暗号化を選択または選択解除すると、(APM データベース内の障害メタ値のテーブルに格納されている) HTTP 情報は、要求および応答の本文を含めてすべて削除されます。これによって、同一のデータベース テーブルにプレーン テキスト形式のデータと暗号化されたデータが一緒に格納されることを回避します。
このテーブル内のデータは重要ではありません。デフォルトでは、週単位で削除されます。
以下の手順に従います。
  1. [セキュリティ]-[FIPS 設定]を選択します。
  2. [HTTP 障害情報]をクリックします。
    暗号化を選択または選択解除すると、APM データベースに格納されたすべての HTTP 障害情報が削除されるという警告が表示されます。
  3. [保存]をクリックします。
    以前に格納された HTTP 情報は削除され、これ以降、障害の HTTP 情報は暗号化されます。
ユーザ セッション ID の暗号化
デフォルトでは、ユーザ セッション ID は APM データベースにプレーン テキスト形式で格納されます。FIPS 140-2 に準拠するため、この情報は暗号化することもできます。
FIPS 140-2 準拠ソフトウェアの使用が強制される場合は、以下の手順に従って、APM データベースに格納するユーザ セッション ID を暗号化してください。
重要:
暗号化を選択または選択解除すると、(APM データベース内のユーザ セッション テーブルに格納されている)ユーザ セッション ID はすべて削除されます。これによって、同一のデータベース テーブルにプレーン テキスト形式のデータと暗号化されたデータが一緒に格納されることを回避します。
この削除が行われる理由は、FIPS 設定が変更されると、セッションを行っているすべてのユーザが未指定のユーザ グループに割り当てられるからです。したがって、FIPS 設定の変更は、システム上のユーザ トラフィック量が最小のとき、またはアップグレード直後に Enterprise Manager を再起動するときに行うことをお勧めします。
以下の手順に従います。
  1. [セキュリティ]-[FIPS 設定]を選択します。
  2. [ユーザ セッション ID]をクリックします。
    暗号化を選択または選択解除すると、すべてのユーザ セッション ID が削除されるという警告が表示されます。
  3. [保存]をクリックします。
    以前に格納されたユーザ セッション ID は削除され、これ以降、ユーザ セッション ID は暗号化されます。
HTTPS を介した TIM 通信の構成
デフォルトでは、TIM と、TIM コレクション サービスを実行する Enterprise Manager とは、HTTP を介して通信します。ただし、セキュリティを強化するため、SSL over HTTP (HTTPS)を使用して通信するように構成することもできます。
それには、TIM Collection サービスを実行する Enterprise Manager 上の tess-customer.properties ファイルに timTessCommunication.useSsl という名前のプロパティを追加します。
SSL を使用すると、Enterprise Manager と TIM 間の通信が遅くなる場合があるため、このことを考慮したうえで構成を適用します。たとえば、Enterprise Manager と TIM が同じファイアウォール内に配置される一般的なシナリオでは、この構成を適用しないでください。
ただし、DMZ (ネットワーク非武装地帯)や、TIM データが WAN (ワイド エリア ネットワーク)上で送信されるセキュリティ保護されていない環境など、管理 VLAN の外部に TIM が配置されている場合は、この構成の適用を検討してください。
以下の手順に従います。
  1. Enterprise Manager プロパティのデフォルト値を変更する場合は、「IntroscopeEnterpriseManager.properties」の手順に従います。
  2. tess-customer.properties ファイルを編集の目的で開き、以下の行を追加します。
    timTessCommunication.useSsl=1
    timTessCommunication.useSsl プロパティに 1 を設定すると、Enterprise Manager と TIM が HTTPS を介して通信するように構成されます。
  3. Enterprise Manager を再起動します。
HTTPS のみによる Enterprise Manager アクセスの制限
デフォルトでは、HTTP 通信はブラウザと Enterprise Manager 間でのみ許可されます。Enterprise Manager Web サーバを HTTPS 用に構成するときは、
<EM_Home>
\config ディレクトリにある IntroscopeEnterpriseManager.properties ファイルの introscope.enterprisemanager.webserver.jetty.configurationFile プロパティを設定します。