無断複写・転載を禁じます。2020 年 クォリスジャパン株式会社 1

Qualys クラウドプラットフォーム（VM、PC）v10.x リリースノート

バージョン 10.3 2020 年 8 月 28 日

Qualys クラウドプラットフォーム (VM、PC) の新リリースでは、Vulnerability Management と Policy Compliance が改

善されています。

Qualys Policy Compliance（PC/SCAP/SCA）

コンプライアンススキャンにおける Microsoft Exchange Server 2019 のサポート ユーザ定義コントロールでの Microsoft SQL Server 2019 のサポート Apache HTTP Server および IBM HTTP Server レコードの Windows サポート IBM WebSphere Application Server レコードの Windows サポート OS 認証ベースのテクノロジでの Apache Cassandra 3.x のサポート 「Insufficient Privileges」に関する包括的な情報 追加のミドルウェアテクノロジのサポート

Qualys クラウドプラットフォーム

「Use IP Network Range Tags for Include」および「Use IP Network Range Tags for Exclude」の個別オプション Azure クラウド内の Azure 仮想マシンのペリミタースキャンのサポート パスワードの作成に使用できる特殊文字 アセットグループ作成でのネットワーク固有の IP アドレスの使用

Qualys 10.3 では、多くの改善と更新が実施されました。詳細はこちらをご覧ください。

Qualys リリースノート 2

Qualys Policy Compliance（PC/SCAP/SCA）

コンプライアンススキャンにおける Microsoft Exchange Server 2019 のサポート

今回のリリースでは、Windows 2019 コンピュータにインストールされている Microsoft Exchange Server 2019 Web アプリケーションのコンプライアンス状態を評価できるようになりました。Windows ホストで実行されている MS Exchange Server の認証レコードを作成し、Microsoft Exchange Server 2019 テクノロジをポリシーに追加し、コンプ

ライアンススキャンを実行します。 拡張機能は下の図でハイライトされた箇所です。

Windows 認証レコードで提供される資格情報を使用して Windows ホストを認証し、MS Exchange Server 認証レ

コードを使用して Web サーバ設定にアクセスし、コンプライアンススキャンを実行します。 MS Exchange Server 2019 インスタンスのスキャン状態を表示するポリシーコンプライアンスレポートの例を示します。

Qualys リリースノート 3

ユーザ定義コントロールでの Microsoft SQL Server 2019 のサポート

今回のリリースでは、MS SQL Database Check UDC のサポートが拡張され、Microsoft SQL Server 2019 テクノロジ

が追加されました。Microsoft SQL Server 2019 アセットのコンプライアンス状態を評価するための UDC を作成し設

定できるようになりました。 Microsoft SQL Server 2019 の UDC を作成するには、「Policies」項で、「Controls」タブを選択し、「New」→「Control…」→「Database Control Types」をクリックし、「MS SQL Database Check」ラジオボタンをクリックします。

コントロールを設定する次の画面で、「Control Technologies」タブをクリックし、「Technologies」項で、「Microsoft SQL Server 2019」チェックボックスをオンにします。コントロールの論理的根拠文、SQL 文、SQL 文の説明、コント

ロールの改善手順を入力します。（一度デフォルト値を定義して、複数のテクノロジに適用することもできます）。 拡張機能は下の図でハイライトされた箇所です。

Qualys リリースノート 4

Apache HTTP Server および IBM HTTP Server レコードの Windows サポート

Apache HTTP Server および IBM HTTP Server の Apache Web Server レコードを作成および更新して、Windows ホストで実行されている Apache HTTP および IBM HTTP Server を認証し、コンプライアンススキャンを実行できる

ようになりました。Windows 認証が必要であるため、 Web サーバを実行しているホストの Windows レコードも必要になります。 Apache Web Server レコードを作成または編集する場合、新しい「Windows Installation」タブが表示されます。こ

のタブには、「Configuration File」と「Apache Control Command」の 2 つのフィールドがあります。Windows ホスト

で実行されているこれらの Web サーバの認証スキャンをサポートするには、1）Apache 設定ファイル、および 2）Apache コントロールコマンドファイルの bin ディレクトリまたは特定の場所への Windows パスを指定する必要があ

ります。

認証レコードの詳細を表示すると、「Windows Parameters」タブに、Web サーバインスタンスのレコードを作成また

は編集する際に指定した設定ファイルとバイナリディレクトリのパスが表示されます。

Qualys リリースノート 5

Windows ホストの Apache Web Server インスタンスの認証ステータスの例を示します。

Windows ホストの Apache Web Server インスタンスの認証が成功したことを表す「Compliance Scan Results」の例を

示します。

Qualys リリースノート 6

IBM WebSphere Application Server レコードの Windows サポート

IBM WebSphere Application Server レコードを作成および更新して、Windows ホストで実行されている WebSphere Application Server を認証し、コンプライアンススキャンを実行します。Windows 認証が必要であるため、Web サー

バを実行しているホストの Windows レコードも必要になります。 Windows ホストで実行されている IBM WebSphere Application Server レコードの認証スキャンをサポートするため

に、新しい「Windows Installation」タブが追加されました。IBM WebSphere App Server レコードを作成または編集

するときに、この新しいタブが表示されます。このタブで、WebSphere Application Server がインストールされる Windows ディレクトリを指定する必要があります。

認証レコードの詳細を表示すると、「General Information」タブに、Web サーバインスタンスのレコードを作成また

は編集する際に指定した Windows インストールディレクトリが表示されます。

Qualys リリースノート 7

Windows の IBM WebSphere App Server レコードの認証ステータスの例を示します。

Windows ホストで実行されている IBM WebSphere インスタンスの認証が成功したことを表す「Compliance Scan Results」の例を示します。

Qualys リリースノート 8

OS 認証ベースのテクノロジでの Apache Cassandra 3.x のサポート

OS 認証ベースのテクノロジのサポートが拡張され、Apache Cassandra 3.x が追加されました。これらのテクノロジでは、

認証レコードを作成しなくても、基盤の OS テクノロジ（ここでは Unix）を使用してテクノロジデータを収集できます。 Apache Cassandra 3.x をコンプライアンスポリシーに含めることができ、コントロールの検索時に使用できるようにな

りました。ポリシーコンプライアンス認証レポート、スキャン結果、およびポリシーレポートにも Apache Cassandra 3.x ホストインスタンス情報が表示されます。

Policy Editor

コンプライアンスポリシーで Apache Cassandra 3.x を選択できます。

コントロールの検索

コントロールを検索するときに、Apache Cassandra 3.x が表示されます。「Policies」→「Controls」→「Search」を選択

し、「Technologies」のリストで「Apache Cassandra 3.x」を選択します。

Qualys リリースノート 9

認証レポート

認証レポートで、OS 認証ベースのインスタンステクノロジをホスト別に表示するには、「Reports」→「Compliance Report」→「Authentication Report」を選択し、「Appendix」項の「OS Authentication-based Technology」オプショ

ンを有効にします。

レポートの「Appendix」項まで下にスクロールすると、「Targets with OS authentication-based technologies」が表

示されます。

Qualys リリースノート 10

スキャン結果

コンプライアンススキャン結果の「Appendix 」項の「Application technologies found based on OS-level authentication」に、Cassandra 3.x が表示されます。

ポリシーレポート

コンプライアンスポリシーレポートにも Cassandra 3.x ホストインスタンス情報が表示されます。

Qualys リリースノート 11

「Insufficient Privileges」に関する包括的な情報

「Insufficient Privileges」でスキャンに合格することは、認証試行の失敗と同じくらい問題があります。「Insufficient Privileges」という結果になった場合、スキャンを実行するために Qualys スキャンアカウントがアクセス権を持つ必要

があるレジストリまたはディレクトリを知る必要があります。この情報に基づいて、IT アセットのコンプライアンス状態

の評価が成功するよう修正措置を講じることができます。今回のリリースでは、「Insufficient Privileges」という結果の

理由がこれまでより包括的に表示されるようになりました。この情報は、コンプライアンススキャン結果および認証レ

ポートで入手できます。 コンプライアンススキャン結果の例を示します。「Scan Authentication Issues」テーブルの「Cause」列に、IP アドレ

スが 10.10.10.251 のホストでコンプライアンススキャンを実行するために Qualys スキャンアカウントがアクセス権を

持つ必要があるレジストリのリストが表示されます。

Qualys リリースノート 12

別の例を示します。これは、IP アドレスが 10.10.10.253 のホストの例です。レジストリへのアクセス権がないため、

Qualys Dissolvable Agent を初期化できませんでした。

認証レポートの「Results」テーブルの「CAUSE」列に、同じ情報が表示されます。

「CAUSE」列のテキストの省略

コンプライアンススキャン結果の「CAUSE」列のテキストに表示できる文字数の上限は、4000 文字に設定されてい

ます。認証レポートでは、この上限は 256 文字に設定されています。テキストがこの上限を超えると、テキストが切り

詰められて、省略記号（…）が使用されます。この場合、データベースレコードですべてのテキストを確認できます。

Qualys リリースノート 13

追加のミドルウェアテクノロジのサポート

ミドルウェア評価のために次のテクノロジのサポートが追加されました。 Windows Agent 4.0.x での適用

• Internet Explorer 9、10、11 • Microsoft Office 2013、2016、2019 • Microsoft Office Access 2013、2016、2019 • Microsoft Office Excel 2013、2016、2019 • Microsoft Office Outlook 2013、2016、2019 • Microsoft Office PowerPoint 2013、2016、2019 • Microsoft Office Word 2013、2016、2019

Qualys リリースノート 14

Qualys クラウドプラットフォーム

「Use IP Network Range Tags for Include」および「Use IP Network Range Tags for Exclude」の個別オプション

今回のリリースでは、「Use IP Network Range Tags」オプションはタグを含めるためのオプションと除外するためのオ

プションに分かれて表示されるようになりました。これらの新しいオプションは、脆弱性スキャンおよびコンプライアン

ススキャンを開始およびスケジュール設定するときに、タグを使用してスキャン対象を指定する場合に使用できま

す。 脆弱性スキャンを開始するための以下の例では、「Use IP Network Range Tags for Include」と「Use IP Network Range Tags for Exclude」の別々のオプションが表示されています。

Use IP Network Range Tags for Include - このオプションを使用すると、IP に割り当てられたタグがない場合でも、

IP アドレスのタグルールを持つタグに定義されたすべての IP をスキャンできます。タグを持たない各 IP にタグが

適用されます。

Use IP Network Range Tags for Exclude - このオプションを使用すると、IP アドレスのタグルールを持つタグに定

義されたすべての IP を除外できます。

特定のタグが設定されたホストを含めたり除外したりできます。「Add Tag」をクリックし、スキャンに含めるタグまたは

除外するタグを選択します。

Qualys リリースノート 15

Azure クラウド内の Azure 仮想マシンのペリミタースキャンのサポート

今回のリリースでは、VM および PC のクラウドペリミタースキャンを使用して、Azure クラウド環境内の外部接続され

ている仮想マシンをスキャンする機能が導入されました。

キーポイント

- サブスクリプションで、「Cloud Perimeter Azure VM Scan」機能を有効にする必要があります。また、クラウドペリミ

タースキャン、EC2 スキャン、Scan by Hostname の機能も有効にする必要があります。 - クラウドペリミタースキャンは VM および PC モジュールで使用できます。クラウドペリミタースキャンを設定する

パーミッションは、マネージャとユニットマネージャにのみ付与されています。 - 指定された情報からスキャン対象が解決されない場合でも、クラウドペリミタースキャン API を使用してクラウドペリ

ミタースキャンジョブを作成/更新できます。スキャン時に、指定された情報からスキャン対象が解決されない場合、

スキャンは開始されず、スケジュールスキャンジョブのアクティビティログと実行履歴にエラーが追加されます。

クラウドペリミタースキャンジョブの作成/更新

Azure クラウドのためのクラウドペリミタースキャンジョブを作成するには、「Scans」→「Scans」→「New」→「Cloud Perimeter Scan」を選択します。 1）「Cloud Information」タブに、Azure クラウドプロバイダが表示されます。Azure VM マシンをスキャンするために Azure アイコンを選択します。 スキャンを更新する場合、プロバイダを変更する必要はありません。スキャンの作成時に選択したクラウドプロバイ

ダのスキャンに指定した値が自動で入力されます。

2）EC2 スキャンと同様に、「Scan Details」タブを選択し、スキャン名を指定し、オプションプロファイルを選択します。 3）「Target Hosts」タブを選択して、クラウドペリミタースキャンを実行する外部接続の Azure VM マシンを選択しま

す。「Connectors」ドロップダウンから、Azure コネクタを選択します。コネクタドロップダウンには、AssetView で設定

したコネクタがリスト表示されます。

Qualys リリースノート 16

Azure コネクタから取得した Azure VM アセットをさらにフィルタリングするためにアセットタグを選択します。ロード

バランサでは、インターネット接続されたロードバランサの DNS 名を手動で追加します。Azure VM スキャンでは、

CloudView モジュールからロードバランサの DNS 名を取得する機能はサポートされていません。

4 ） 「 Scanner 」 タ ブ お よ び 「 Schedule & Notification」タブを選択して、EC2 スキャンの

場合と同様に、外部/内部スキャナを選択し、

スキャンのスケジュールを設定します。サブス

クリプションで、クラウドペリミタースキャンでの

内部スキャナの使用が有効になっている場

合、スキャンに内部スキャナを選択できます。 5 ） 「Review 」タブを選択します。「Target Hosts」項に、1）コネクタから取得される外部

接続の Azure VM アセットの数、2）スキャン要

件を満たすアセット、3）スキャン要件を満たさ

ないアセットのうち、スキャンが開始される VM でアクティブ化されるアセットの数が表示され

ます。 6）最後に、スキャンジョブを送信します。

Qualys リリースノート 17

「Host Assets」での Azure VM 追跡対象ホストアセットの表示

「Assets」→「Host Assets」→「Filters」を選択して、Azure VM で追跡されるアセットを検索します。

info ボタンをクリックすると、「Host Information」画面に、クラウドプロバイダ名（Azure VM アセットの場合、Azure）、クラウドサービス名（Azure VM アセットの場合、VM）、Azure 仮想マシンのリソース ID が表示されます。「Cloud Asset Metadata」タブに、ホストのメタデータ情報が表示されます。

Qualys リリースノート 18

パスワードの作成に使用できる特殊文字

ユーザ定義のパスワードを作成するときに、次の特殊文字が使用できるようになりました。 これらの特殊文字は、次の場合にパスワードを作成するときに使用できます。

• 初回ログイン時（アカウントの新規作成時） • パスワードの変更時 • パスワードを忘れた場合

アセットグループ作成でのネットワーク固有の IP アドレスの使用

カスタムネットワークを使用してアセットグループを作成する場合に、ネットワークの選択に基づいて、アセットグ

ループに追加できる IP アドレスのリストをフィルタリングできるようになりました。これまでは、IP アドレスのリストは

フィルタリングされなかったため、ユーザが、アセットグループに選択したネットワークに関連付けられていない IP アドレスを選択すると、エラーが発生していました。 「Assets」→「Asset Groups」→「New」→「Asset Group」を選択します。「IPs」タブを選択し、「Select IPs」を選択する

と、自分が選択したネットワークに関連付けられている IP のリストから IP を選択できます。

( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , .? /

Qualys リリースノート 19

問題点の改善

• オンラインヘルプで、通知に関する「Email Contact」の設定方法についての情報が更新され、わかりやす

くなりました。 • オンラインヘルプおよび関連する PDF ドキュメントで、侵入テストフォームに関する情報が更新され、参照

が削除されました。 • 『Qualys API（VM/PC）ユーザガイド』が更新され、「Aborted」および「Blocked」ステータスに関する詳しい

情報が記載されました。 • オンラインヘルプが更新され、改善ポリシーに Cloud Agent アセットに関する情報が追加されました。 • オンラインヘルプが更新され、「EC2 コネクタの設定」トピックの「詳細」リンクが修正されました。 • 認証 Vault フィールドが空の Palo Alto 認証レコードを作成または編集すると、エラーメッセージに、情報

の入力が必要な空の Vault フィールドが表示されるようになりました。 • Apache 設定ファイルおよび Apache コントロールコマンドの値が一意であれば、同じ IP アドレスを持つ複

数の Apache Web Server 認証レコードを作成できるようになりました。Windows のパスでは大文字と小文

字が区別されることに留意してください。 • VM/PC オンラインヘルプの「認証テクノロジのマトリックス」トピックが更新されました。オペレーティングシ

ステム名が標準化され、認証テクノロジがアルファベット順にリスト表示されるようになりました。 • スケジュールスキャンに追加されたアセットグループのアセットグループ情報が表示されない問題が修正

されました。「Scans」→「Schedules」→「Info」→「Target」タブを選択し、アセットグループを選択し、「View」

ボタンをクリックして、アセットグループの情報を表示します。 • 『Qualys API（VM/PC）クイックリファレンスガイド』が更新され、Azure Key Vault 情報が追加されました。

『Qualys API（VM/PC）ガイド』が更新され、パラメータ名が「cert」から「certificate」に修正されました。 • カスタムネットワークの IP を使用して開始した対話形式の PC レポートのダウンロード中に、Hack_attempt

エラーが発生するという問題が修正されました。 • アセットグループリスト API で、ユーザに顧客サポートへの問い合わせを求める一般的なメッセージが返

されるという問題が修正されました。 • レポート生成が中断されて例外メッセージがログに表示されるという問題が修正されました。 • Unix File Content Check UDC のオンラインヘルプが更新され、同じホストのコンプライアンススキャンにお

けるエージェントベースの結果とスキャナベースの結果に不一致がなくなりました。