セキュリティ診断ツール使用ガイド

文書管理番号：TSC-RD80-G-E08003
セキュリティ診断ツール
使用ガイド
文書管理番号：TSC-RD80-G-E08003
目次
１. 概要と使用上の注意 ........................................................................ 3
１.１機能概要 .............................................................................. 3
１.２診断対象 OS............................................................................ 3
１.３主な診断内容 .......................................................................... 4
１.４使用上の注意 .......................................................................... 4
２. Windows 診断ツールの使用手順............................................................... 5
２.１準備 .................................................................................. 5
２.２セキュリティ診断の実行 ................................................................ 5
３. Unix 診断ツールの使用手順 ................................................................ 12
３.１準備 ................................................................................. 12
３.２セキュリティ診断の実行 ............................................................... 12
３.３診断時に作成されたテンポラリディレクトリの削除 ........................................ 17
４. ポリシーファイルの使用手順 ............................................................... 22
４.１準備 ................................................................................. 22
４.２今までお使いのポリシーファイルの編集 .................................................. 22
４.３ポリシーファイルを使用した診断の実行 .................................................. 23
４.４ポリシーファイルを使用した診断の実行においてエラーが発生した場合 ....................... 24
2/25
文書管理番号：TSC-RD80-G-E08003
１. 概要と使用上の注意
１.１機能概要
本診断ツールを使用することで、マシンに内在する脆弱性を詳細に診断することが出来ます。診断結果として
ファイル（診断結果ファイル）が作成されます。この診断結果ファイルから「セキュリティ診断結果レポート
（対策の緊急度別、予測される危険など）
」を作成することが可能ですが、レポートを作成するためには別途セ
キュドックスタンダード「レポート作成ツール」が必要となります。
【注意】
レポート作成ツールをご利用になられるには、別途ライセンスをご
購入いただく必要があります。
１.２診断対象 OS
診断対象 OS は表１.１のとおりです。
表１.１診断対象 OS
No.
1
2
3
4
5
6
7
8
9
診断対象 OS
Windows 8 / 8.1 Pro/ Enterprise(x86/x64)
Windows Server 2012 Datacenter/Standard (x64)
Windows Server 2008 R2(x64)
Windows Server 2008 (x86/x64)
Windows 7 Professional/Enterprise (x86/x64)
Windows Vista Business/Enterprise (x86)
Windows 10 Pro/Enterprise/Enterprise LTSB (x86/x64)
Solaris 10, 11 (SPARC)
Redhat Enterprise Linux 5.x, 6.0～6.5 Server(x86/x64)
7.0～7.1 Server(x64)
10 CentOS 6.0～6.6(x64)
11 HP-UX 11.11, 11.23, 11.31
12 AIX 6.1,7.1
表１.１ No. 2, 3, 4, 5, 7, 9 の OS については、Hyper-V および VMware ゲスト OS でも診断可能です。
【注意】
下記のＯＳは、Ver.8.7.0 からサポートを終了しました。
・Windows Server 2003/2003 R2 (x86/x64)
下記のＯＳは、2015 年 10 月 31 日を持ってサポートを終了しました。
・Solaris 9
下記のＯＳは、Ver.7.12.0 からサポートを終了しました。
・Windows XP
・Solaris 2.5.1,2.6,7,8
・Redhat Enterprise Linux 3,4 AS/ES/WS(x86)
・HP-UX 11.00
・AIX 5.1,5.2,5.3
下記のＯＳは、Ver.7.7.0 からサポートを終了しました。
・Windows NT4.0 Server
・Windows 2000 Server/Advanced Server/Professional
・Redhat Enterprise Linux 2.1 AS/ES/WS(x86)
・Redhat Linux 6.2, 7.0, 7.1, 7.2, 7.3, 8.0, 9 (x86)
3/25
文書管理番号：TSC-RD80-G-E08003
１.３主な診断内容
主な診断内容は、表１.２のとおりです。
表１.２主な診断内容
No. 診断内容
Windows 診断ツール
Unix 診断ツール
1 セキュリティパッチ適用状態
セキュリティパッチ適用状態
2 パスワード設定
パスワード設定
3 アカウント設定
アカウント設定
4 ログイン設定
ログイン設定
5 ネットワーク設定
ネットワーク設定
6 監査ログ記録設定
監査ログ記録設定
7 スタートアップ設定
スタートアップ設定
１.４使用上の注意
本診断ツールをご使用になられる前に、必ず次の注意事項をご確認ください
【使用上の注意】
１．本診断ツールは CPU の idle タイムを使用し診断を行います。CPU の idle タイムが極端に少ないマシン
の診断には時間がかかります。また、アカウントが多いマシンに関しても、パスワード設定の診断に時
間がかかる場合があります。
２．本診断ツールを同時に複数実行することは出来ません。
３．Windows Vista 診断ツールを実行する前に、現在ログオンしているアカウントの名前を変更した場合、
必ず一旦ログオフし再度ログオンした後、診断を実行してください。ログオンし直さずに診断を実行し
た場合、診断終了時に診断結果ファイルが保存される作業フォルダが表示されない場合があります。
４．Active Directory サービスを使用しているサーバにおいて「TCP/IP フィルタリング」を設定した場合、
通常より 10 分程度診断に時間がかかる場合があります。
4/25
文書管理番号：TSC-RD80-G-E08003
２. Windows 診断ツールの使用手順
２.１準備
1).セキュドックスタンダード「診断ツール（win_***_checker.zip）
」を準備して下さい。
診断ツールは、以下の弊社ダウンロードサイトからダウンロードしてください。
URL：http://www.it-serve.co.jp/support/secudoc/download
2).診断対象マシンに administrator、もしくは管理者権限を持つアカウントでログオンして下さい。
【注意】
・
「診断ツール」の実行には「管理者（administrators）権限」が必要です。
・
「診断ツール」プログラムを実行中は、ログオフしないでください。
２.２セキュリティ診断の実行
1).
「診断ツール
（win_***_checker.zip）
」
は ZIP 圧縮されていますので、
解凍し実行ファイル
（Win***Checker.exe）
を取り出してください（以下この「実行ファイル」を「診断ツール」として説明します）。「診断ツール
（Win***Checker.exe）
」を診断対象マシンにコピーしてください。
2).「診断ツール（Win***Checker.exe）
」のアイコンをダブルクリックし、診断ツールを実行してください。
（※例：Windows Server 2012 用診断ツールのアイコン）
3).以下のとおりセキュドックスタンダード「診断ツール」ウィザードが起動します。
[次へ]ボタンをクリックしてください。
「次へ」ボタンのみ
クリック
5/25
文書管理番号：TSC-RD80-G-E08003
4).以下の「使用許諾契約」画面が表示されます。
まず内容をご確認ください。その後｢同意する｣を選択し、[次へ]ボタンをクリックしてください。
「同意する」を選択し
「次へ」ボタンをクリック
5).以下の「作業フォルダの指定」画面が表示されます。
デフォルトでは以下のとおり「Program Files」フォルダ下で作業フォルダが指定されます。通常はデフォルト
から変更していただく必要はありませんので「次へ」ボタンをクリックしてください。
「作業フォルダ」として別のフォルダを指定する場合は、そのフォルダを入力した後「次へ」ボタンをクリッ
クしてください。
「デフォルト（表示の）
」フォルダ
で問題なければ「次へ」ボタンのみ
クリック
【注意】
・既存のフォルダを作業フォルダに指定することはできませんのでご注意ください。
6/25
文書管理番号：TSC-RD80-G-E08003
6).以下の「返送時のパスワード指定ダイアログ」画面が表示されます。
【既にレポート作成ツールをお持ちの場合（通常はこちらです）
】
このダイアログは無視していただいて結構ですので「次へ」ボタンをクリックしてください。
【レポート作成ツールをお持ちでない場合】
パスワードを入力し、[次へ]ボタンをクリックしてください。パスワードは、1 バイトの表示可能文字（a～z、
0～9 等）
を指定することが可能です
（2 バイト文字、
および非表示文字は指定できませんのでご注意ください）
。
このパスワードは、
「診断結果ファイル」を元に作成された「セキュリティ診断結果レポート」
（WORD、EXCEL、
CSV）ファイルを圧縮してご返送する際に、その圧縮ファイルに付加されます。指定されたパスワードは、
「セ
キュリティ診断結果レポート」を参照する際に必要になりますので厳重に保管してください。
自社でレポートを作成される場合
は「次へ」ボタンのみクリック
7).以下の「診断実行開始時間の指定」画面が表示されます。
・今すぐ診断を実行する場合は、｢今すぐ実行｣を選択し、[次へ]ボタンをクリックしてください。
→11)へすすんでください
・マシン負荷の低い夜間などの時間を指定して実行する場合は、｢時間を指定して実行｣をクリックし、診断実
行日時を指定してください。
→8)へすすんでください
今すぐ診断を実行する場合は「次
へ」ボタンのみクリック
7/25
文書管理番号：TSC-RD80-G-E08003
8).「時間を指定して実行」を選択するとその下のボックスで診断実行開始時間の設定が可能になります。適切な
値を設定し、[次へ]ボタンをクリックしてください。
診断開始日時を設定し「次へ」
ボタンをクリック
9).（診断開始実行時間を設定すると）以下の「セキュリティ診断の実行」画面が表示されます。
[スケジュール設定]ボタンをクリックしてください。これで指定した時間になると自動的に診断が開始されま
す。
→12)へすすんでください
「スケジュール設定」
ボタンをクリック
8/25
文書管理番号：TSC-RD80-G-E08003
10).診断実行開始時間を修正する場合、およびスケジュール実行を中止する場合は[キャンセル]ボタンをクリッ
クしてください。
→2)へ戻って再度実行してください
「キャンセル」ボタンをクリックす
ることで「スケジュール（診断実行）
」
を中止できます
11) （今すぐ実行を設定すると）以下の「セキュリティ診断の実行」画面が表示されます。
[診断実行]ボタンをクリックしてください。診断が開始されます。
「診断実行」ボタンをクリック
（診断が開始されます）
9/25
文書管理番号：TSC-RD80-G-E08003
12).診断実行状態は以下のように表示されます。診断が完了すると、診断結果ファイル（result-***.esi）が格
納されたフォルダ（以下の「result」フォルダ）が自動的に画面に表示されます。
【重要】
ここで診断結果ファイルを（result フォルダから）別のフォルダに保存してください。
診断結果ファイルの保存が終わりましたら、[次へ]ボタンをクリックしてください。
「診断結果ファイル」を別フォルダに
保存した後「次へ」ボタンをクリック
「診断結果ファイル」
別フォルダに保存してください
【注意】
・Active Directory に設定したＯＳで TCP／IP フィルタリングを設定している場合は、[アカウ
ント設定]の診断処理に時間を要することがあります。
・診断結果ファイル（result-***.esi）は、下図のとおりテンポラリフォルダ内に格納されてい
ます。この後、続けて使用したテンポラリフォルダ（作業フォルダ）を削除する操作になりま
すので、必ずその前に診断結果ファイル（result-***.esi）を別のフォルダに保存してくださ
い。
10/25
文書管理番号：TSC-RD80-G-E08003
13) 以下の「作業フォルダの削除」画面が表示されます。
ここでは、診断実行にて使用した（
「作業フォルダの指定」画面にて指定した）作業フォルダを削除します（診
断対象マシンを診断実行前と同じ状態に戻します）
。
・作業フォルダを削除する場合は、｢はい｣を選択し、[次へ]をクリックしてください（通常こちらを選
択してください）
。
・作業フォルダを残す場合は、｢いいえ｣を選択し、[次へ]をクリックしてください。
通常は「次へ」ボタンのみクリ
ックで問題ありません
【注意】
・作業フォルダの削除を実行すると、作業フォルダ内にある診断結果ファイルも削除されますの
で注意してください（必ずその前に診断結果ファイル（result-***.esi）を別のフォルダに保
存してください）
。
・｢いいえ｣を選択した場合、作業フォルダは手動で削除してください。
14).最後に「診断終了」画面が表示されます。
[閉じる]ボタンをクリックして「診断ツール」終了してください。
「閉じる」ボタンをクリックして
診断ツールを終了してください
以上で診断は終了になります。
11/25
文書管理番号：TSC-RD80-G-E08003
３. Unix 診断ツールの使用手順
３.１準備
1).セキュドックスタンダード「診断ツール」を準備して下さい。
（***_security_checker.zip）
診断ツールは、以下の弊社ダウンロードサイトからダウンロードしてください。
URL：http://www.it-serve.co.jp/support/secudoc/download
2).診断対象マシンに root アカウントでログインして下さい。
【注意】
・
「診断ツール」の実行には「root 権限」が必要です。
・
「診断ツール」プログラムを実行中は、ログアウトしないでください。
３.２セキュリティ診断の実行
【注意】
・以下「Solaris 用診断ツール」にて使用手順を説明します。
他の UNIX OS の診断ツールについても使用手順は同じです
1).「診断ツール（***_security_checker.zip）」は ZIP 圧縮されていますので、解凍し実行ファイル
（***SecurityChecker）を取り出してください（以下この「実行ファイル」を「診断ツール」として説明しま
す）
。
「診断ツール（***SecurityChecker）
」を診断対象マシンにコピーしてください。
【注意】
・FTP などを使用して「診断ツール」をコピーする場合は必ず「バイナリ」モードを使用して
ください
2).コマンドラインから「診断ツール」ファイル（SolarisSecurityChecker）を実行してください。
コマンドラインから「診断ツール」
を実行
【注意】
・診断ツール（ファイル）に実行権が無い場合は「chmod」コマンドを使用して実行権を付与
してください。
12/25
文書管理番号：TSC-RD80-G-E08003
3).日本語コードを選択します。以後、選択したコードで表示されます。適切なコードを入力し「Enter」キーを
押してください。デフォルトは「EUC」になります。
適切な日本語コード番号と
「Enter」
を入力
4).「使用許諾契約」が表示されますので、内容をよく読んで下さい。問題がなければ [yes]を入力し「Enter」
きーを押してください。
内容を確認した後、
「yes」
と「Enter」を入力
13/25
文書管理番号：TSC-RD80-G-E08003
5).診断ツールを実行するときに使用する作業ディレクトリ（テンポラリディレクトリ）を入力し「Enter」キー
を押してください。その後入力確認が表示されますので問題なければ「yes」を入力し、
「Enter」キーを押して
ください。修正する場合は「no」を入力し「Enter」キーを押すことで再度作業ディレクトリ入力に戻ります。
作業ディレクトリと「Enter」を入力
6).診断結果レポート返送時のパスワードを入力して、[Enter]キーを押してください。
【既にレポート作成ツールをお持ちの場合（通常はこちらです）
】
この入力は無視していただいて結構ですので「Enter」キーのみ押してください。
【レポート作成ツールをお持ちでない場合】
パスワードは、1 バイトの表示可能文字（a～z、0～9 等）を指定することが可能です（2 バイト文字、および
非表示文字は指定できませんのでご注意ください）
。
このパスワードは、
「診断結果ファイル」を元に作成された「セキュリティ診断結果レポート」
（WORD、EXCEL、
CSV）ファイルを圧縮してご返送する際に、その圧縮ファイルに付加されます。指定されたパスワードは、
「セ
キュリティ診断結果レポート」を参照する際に必要になりますので厳重に保管してください。
自社でレポートを作成される場合は「Enter」のみ入力
14/25
文書管理番号：TSC-RD80-G-E08003
7).今すぐ診断実行する場合は、[Yes]を入力し、[Enter]キーを押してください
→9)へすすみます
マシン負荷の低い夜間などの時間を指定して実行する場合は、[No]を入力し、[Enter]キーを押してください。
→8)へすすみます
今すぐ診断を実行する場合は
「yes」
と「Enter」を入力
8).開始時間（スケジュール）を設定する場合、開始時間を分単位（1 分から 50000 分までの範囲で 1 分刻み）で
設定して「Enter」キーを押してください。
開始時間を確認し問題ない場合は、[Yes] を入力し[Enter]キーを押してください。これで指定した時間に診断
が開始されます。
開始時間を再設定する場合は[No]を入力し、
「Enter」キーを押すことで入力表示に戻ります。
この時間に診断が開始されます
15/25
文書管理番号：TSC-RD80-G-E08003
9).診断が開始されると以下のように表示されます。1 分以上かかる項目については、経過時間が 1 分毎に表示さ
れます。
診断の状態が表示されます
10).診断が完了すると以下のように表示されます。
【重要】
診断結果ファイルは赤枠部のディレクトリに格納されています。
ここで診断結果ファイルを別ディレクトリに保存してください。
このあと、作業ディレクトリの削除を実行してください（次ページ参照）
。
【注意】
・作業ディレクトリの削除を実行すると、作業ディレクトリ内にある診断結果ファイルも削除さ
れますので注意してください（必ずその前に診断結果ファイル（result-***.esi）を別ディレ
クトリに保存してください）
。
16/25
文書管理番号：TSC-RD80-G-E08003
３.３診断時に作成されたテンポラリディレクトリの削除
1).SolarisSecurityChecker を再度実行して下さい。診断時に作成された作業ディレクトリ（テンポラリディレ
クトリ）の削除が実行されます。
日本語コード番号と「Enter」を入力
作業ディレクトリの削除完了
以上で診断は終了になります。
17/25
文書管理番号：TSC-RD80-G-E08003
４. コマンドラインからの診断ツールの実行について
コマンドラインから引数を使用して診断ツールを実行することで、GUI（Unix の場合、対話形式の入力）を起
動することなく診断を実行することができます。
引数は、表４.１のとおりです。
表４.１コマンドライン実行時に指定可能な引数
No. 引数
概要
1 -o <診断結果ファイル格納フォルダ> 診断実行後、診断結果ファイルを格納するフォルダをフル
パスで指定します。省略することはできません
2 -d <診断作業フォルダ>
診断実行時に使用する作業フォルダ（テンポラリフォルダ）
を指定します。省略可能です。省略した場合、以下のフォ
ルダを作業フォルダとして使用します。
Windows：C:\Program Files\ITServe-SecuDoc
Unix
: /ITServe-SecuDoc
3 -h, -?
使用方法が表示されます
4 引数なし
通常の GUI モード（Unix の場合は対話形式モード）でプロ
グラムが実行されます。
【コマンド実行例】
Win10Checker.exe –o c:\outputFolder
４.１コマンドラインからのセキュリティ診断の実行（Windows）
1).「診断ツール（Win***Checker.exe）
」を診断対象マシンにコピーしてください（ここでは Windows 10 用診断
ツール（Win10Checker.exe）を実行します）
。
2).コマンドプロンプト（cmd.exe）を起動してください。
3).「Win10Checker.exe –o c:\outputfolder」をコマンドラインから実行してください（診断結果ファイル格納
フォルダとして「c:\outputfolder」を指定。作業フォルダはデフォルトを使用）
。
18/25
文書管理番号：TSC-RD80-G-E08003
4).診断実行中は、指定した「診断結果ファイル格納フォルダ」に「running.esi」というファイルが作成されま
す。
5).診断が完了すると「診断結果ファイル格納フォルダ」に「completed.esi」ファイルが作成され、診断結果フ
ァイルが格納されます。
19/25
文書管理番号：TSC-RD80-G-E08003
４.２コマンドラインからのセキュリティ診断の実行（Unix）
1).「診断ツール（***Checker.exe）
」を診断対象マシンにコピーしてください（ここでは Redhat Enterprise Linux
用診断ツール（RedhatEnterpriseSecurityChecker）を実行します）
。
2).診断対象マシンに root でログインしてください。
3).「RedhatEnterpriseSecurityChecker –o /outputfolder」をコマンドラインから実行してください（診断結果
ファイル格納フォルダとして「/outputfolder」を指定。作業フォルダはデフォルトを使用）
。
4).対話形式の入力をパスして診断が実行されます。
20/25
文書管理番号：TSC-RD80-G-E08003
5).診断が完了すると、次のとおり表示されます。
5).診断が完了すると「診断結果ファイル格納フォルダ」に診断結果ファイルが格納されます。
21/25
文書管理番号：TSC-RD80-G-E08003
５. ポリシーファイルの使用手順
ポリシーファイルを使用することで、セキュリティ診断の「しきい値」変更や、
「診断項目」を個別に「有効/
無効」にすることが可能になります。
「ポリシーファイル」は「診断ポリシー設定ツール」を使用して作成す
ることができます。
【診断ツール実行】
診断ツール
診断
ポリシー
設定ツール
作成
ポリシー
ファイル
診断結果
ファイル
ポリシーファイルの設定を使用
して診断を実施
５.１準備
1) セキュドックスタンダード「診断ポリシー設定ツール」を準備して下さい。
【補足】
・セキュドックスタンダード「診断ポリシー設定ツール」は以下の弊社ダウンロードサイトから入手して
ください。
URL：http://www.it-serve.co.jp/support/secudoc/download/secudoc_policy_files.html
2) 「診断ポリシー設定ツール」は ZIP 圧縮されていますので解凍してください（PolicyEditor.exe）
3) 「診断ポリシー設定ツール」の使用方法（ポリシーファイルの作成/設定変更等）については、
「診断ポリシー
設定ツール使用ガイド（操作編）
」を参照ください。
【補足】
・
「ポリシーファイル」は「Windows 用（policy_windows.esi）
」と「UNIX 用（policy_unix.esi）
」に分かれてい
ます。診断される OS にあったものをお使いください。
【注意】
・
「ポリシーファイル」のファイル名は絶対に変更しないでください。
５.２今までお使いのポリシーファイルの編集
既にお使いいただいております「ポリシーファイル」につきましても、
「診断ポリシー設定ツール」にその情報
をインポートして編集することができます。
使用方法につきましては、
「診断ポリシー設定ツール使用ガイド（操作編）
」を参照ください。
22/25
文書管理番号：TSC-RD80-G-E08003
５.３ポリシーファイルを使用した診断の実行
1) ポリシーファイルを使用した「セキュリティ診断」手順は「２章 Windows 診断ツールの使用手順」
「３章 Unix
診断ツールの使用手順」とまったく同じです。
ただし診断を実行する前に、以下のように「ポリシーファイル」を「診断ツール」と同じフォルダ/ディレクト
リにおいてください。
【Windows の場合】
Win2012Chec
【UNIX の場合】
2)「診断ツール」は実行時、同じフォルダ/ディレクトリに「ポリシーファイル」があるとその設定内容をインポ
ートして診断を実行します。
【注意】
・
「ポリシーファイル」のファイル名「policy_windows.esi/policy_unix.esi」は絶対に変更しない
でください。変更してしまうと、
「診断ツール」は「ポリシーファイル」の存在を認識できな
くなります。
23/25
文書管理番号：TSC-RD80-G-E08003
５.４ポリシーファイルを使用した診断の実行においてエラーが発生した場合
ポリシーファイルを使用して診断ツールを実行した直後に以下のようなエラーメッセージが表示された場合、
ポリシーファイルの記述に問題があります。
「診断ポリシー設定ツール」を使用して、ポリシーファイルの記述を正しく修正した後、再度診断を実行してく
ださい。
「診断ポリシー設定ツール」の使用方法につきましては、
「診断ポリシー設定ツール使用ガイド（操作
編）
」を参照ください。
【Windows の場合】
【Unix の場合】
―以上―
24/25
文書管理番号：TSC-RD80-G-E08003
25/25

Download Report