サイバーセキュリティ対策に必須な構成情報の収集
エージェントとエージェントレスでは何が違うのか?構成情報収集で考慮すべきこと
ここ数年、サーバーやネットワーク機器の構成情報を収集し、管理したいというニーズが増えています。
サイバーセキュリティ対策の重要性が叫ばれる中、その一環として保有機器やソフトウェアを可視化したいということが大きな理由です。
そして、脆弱性対策のパッチの適用やバージョンアップにつなげていきます。
ITインフラ運用自動化ツールのPOLESTAR Automationは、構成情報の収集とジョブによるスクリプト実行を自動で行う機能を標準で備えており、
エージェントとエージェントレスの両方で利用できます(併用も可)。
1.エージェントとエージェントレス
運用管理者は、PoCを実施することで欲しい構成情報をできるだけ簡単にすばやく収集できるかを、まずPoCで確認されます。
その過程で認識されるのが、エージェントを利用する場合とエージェントレスの場合のデフォルトで収集できる情報に差があることです(サーバーのみ。ネットワーク機器はエージェント不要)。詳細は第2項を御覧ください。
これは、エージェントが内部からコマンドを実行できるのに対し、エージェントレスではリモートからコマンドを実行することに起因します。
表1にエージェント、エージェントレスでの事前準備内容を示します。
表1 POLESTAR Automationにおけるエージェント、エージェントレスでの事前準備内容
| サーバーOS | エージェント利用 | エージェントレス利用 |
|---|---|---|
| Windows | エージェントの導入 ※再起動不要 | WMIを利用 DCOMファイアウォールの設定 ※Windows Server 2019/2022の場合。バージョンによって異なる。 |
| Linux | エージェントの導入 ※再起動不要 | SSH公開認証鍵の設定もしくはSSH接続情報を利用 |
2.サーバーの構成情報を収集する
エージェントを導入する場合は、システム情報以外にWindows OSではWindowsサービスやレジストリなどの構成情報の収集が可能ですし、Linux OSではパッケージの情報もすべて収集可能です。
結果として表2に示すように、POLESTAR Automationのエージェントとエージェントレスでは、デフォルトで収集する情報に差があります。
表2 POLESTAR Automationにおいてデフォルトで収集可能な情報
| サーバーOS | エージェント利用 | エージェントレス利用 |
|---|---|---|
| Windows | システム情報*1 アカウント FileExplorer(すべてのファイル・フォルダ) Windows アプリケーション Windows サービス Windows レジストリ Windows アップデート管理*2 |
システム情報*1 |
| Linux | システム情報*3 アカウント FileExplorer(すべてのファイル・フォルダ) パッケージ |
システム情報*3 |
*1 システム情報はCPUs、Disks、File Systems、HotFix(エージェントレス利用時を除く)、Memory、Network Interfaces、Operating System情報
*2 オプションのWindowsアップデートジョブモジュール利用時(オプション)MSサイトから収集するKBパッチの詳細情報を表示
*3 システム情報はCPUs、Disks、File Systems、Memory、Network Interfaces、Operating System情報
3.デフォルトで収集できない構成情報の収集
エージェントレスの場合、エージェントと同様の構成情報をデフォルトで収集することはできません*4が、サンプルジョブを利用して必要な情報を収集することが可能です。
*4 使用可能なスクリプト言語の種類やスクリプトの書き方が変わるためです。
エージェントレスで必要な情報を収集するため、これまで多くのお客様からのご要望で作成したエージェントレス用のサンプルジョブを200本以上ご用意しており無償でご提供しています。
サンプルジョブを使えば、収集対象のホスト(グループ)と収集日時をマウスで設定するだけで簡単に定期的な自動収集を行うことができます。
POLESTAR Automationでは、スクリプトジョブを簡単に作成できるウィザード機能があるので、少しスクリプト言語をかじったことがある方であればお客様自身でジョブを作成していただくこともできます。
スクリプトジョブを作成するためのウィザードを図1に示します。サンプルジョブもこのウィザードを利用して作られています。
図1 スクリプトジョブウィザードでの設定の流れ
POLESTAR Automationにおけるエージェントとエージェントレスで利用できるスクリプト言語を表3に示します。
表3 スクリプトジョブで利用できるスクリプト言語
| サーバーOS | エージェント利用 | エージェントレス利用 |
|---|---|---|
| Windows | Power Shell Python VB Script Windows Batch |
DoS Command VB Script |
| Linux | Expect Perl Python Shell |
Expect Perl Python Shel |
4.POLESTAR Automationがなぜ構成情報収集に適しているのか
まず、POLESTAR Automationでは、デフォルトで収集できる構成情報が豊富ですし、デフォルトで収集できない構成情報でも弊社が無償で提供するサンプルジョブをご利用いただけば、簡単に収集することができます。
図1でご覧頂いたようにジョブ作成ウィザードがあるため、運用管理者の方がご自身でスクリプトジョブを作成するにあたってもそれほど難しくはありません。因みにQiitaなどの技術情報サイトにはさまざまな構成情報収集のためのTipsが紹介されています。
次に、POLESTAR Automationには、強力なレポーティング機能があります。標準の報告書作成機能と添付の各種報告テンプレートで、図2に示す構成情報一覧表やジョブの実行結果をExcelやPDFなどの形式で出力することができます。そして、報告書をメールに添付して自動的に送付する設定もできます。
ライブオブジェクト照会という別のレポーティング機能では、図3に示すようにホスト(グループ)と紹介したいプロパティをマウスでドラッグ&ドロップすれば簡単に一覧表が作成できます。そしてその結果をExcelで出力できます。
図2 構成情報一覧表テンプレートを利用した報告書例
図3 ライブオブジェクト照会出力例
最後に、POLESTAR Automationが適している3つ目のポイントはお手頃な価格です。
小さく始めていただけるよう、10ノードから購入いただけます。
1ノードあたり年間サブスクリプション12,000円(税別 購入単位は10ノード)ですので、年間12万円(税別)から始めていただくことが可能です。もちろんサポートもこの金額に含まれます。
POLESTAR Automationの評価版はこちらのサイトからダウンロードでき、180日間ご利用いただけますので、まずはその操作性とわかりやすさ、機能の豊富さを体感してください。PC程度のスペックでもサクサク動きます。
