BigFix パートナー向け: BigFix 10 Roadmap Briefing 開催のお知らせ

2019/12/3 - 読み終える時間: ~1 分

BigFix をお取り扱いいただいているビジネス・パートナー向けに、BigFix 10 のロードマップをご説明するWebinarが開催されます。 深夜帯ですので、リアルタイムに視聴するのは困難かと思いますが、登録しておくと後から録画の案内がされます。 内容については、開催後にこのブログで紹介する予定です。

開催日時: 2019/12/06 (金) 3:00 AM - 4:00 AM JST

登録URL: https://register.gotowebinar.com/register/1233228037546307339


BigFix V9.5にアップグレードする理由

2019/11/6 - 読み終える時間: 2 分

2019年10月28日に HCL BigFix V9.5.14 がリリースされましたが、その新機能についての HCL Blog "Why upgrade to BigFix V9.5?" の翻訳版を掲載します。


BigFix V9.5にアップグレードする理由

BigFixチーム

公開日:2019年10月29日。

著者: Gwyn Davies and Cy Englert

BigFix V9.5は処理の柔軟性を高める機能が加わったことにより、インフラストラクチャー・コストを削減できます。BigFixプラットフォームの現在のバージョンは、2019年10月28日にリリースされたV9.5.14です。BigFix V9.5は、BigFix Query、Peer Nest、Set and Forget Patching、最新のオペレーティングシステムのサポート、Health Check Dashboardおよびパフォーマンスの改善を提供しています。

BigFix Query

BigFix Queryを使用すると、WebUIユーザーはエンドポイントに関する情報をすばやく取得し、BigFixクライアントで関連性クエリを実行できます。この処理速度は、通常のBigFix処理への影響を最小限に抑える専用のクエリチャネルを使用することで得られています。

BigFix Queryは次の目的で効果的に使用されます。 各のコンピューター、手動作成のコンピューターグループ、動的作成コンピューターグループを照会します。 コンテンツを開発しながら関連表現(Relevance Expression)のテストが行えます。 クエリ結果をコンマ区切り値(.csv)ファイルにエクスポートできます。 カスタム・クエリーのライブラリーを作成し、コレクションを非公開にしたり、コレクションを他のユーザーと共有したりできます。

BigFix Queryは、カスタム・コンテンツの作成者および日々のエンドポイント管理を担当するオペレーター向けの、強力で時間を節約するツールです。また、Fixletデバッガーの最新バージョンでは、BigFix APIを介して使用することもできます。

Peer Nest

Peer Nestは、同じサブネットにあるBigFixクライアント間でバイナリファイルを共有できるオプション機能で、ネットワークトラフィックを削減し、リモートサイトでのリレーの必要性とコストを削減します。 Peer Nestを使用すると、組織はインフラストラクチャー・コストを削減しながら、BigFix環境を簡素化できます。

Peer Nestは多くの環境、特にブランチ・オフィスが低速リンクを経由してデータセンターに接続されている場合に適用されます。以前のBigFixバージョンでは、大きなペイロードをダウンロードしてキャッシュするためにブランチ・オフィスにリレーをインストールする必要がありました。 Peer Nestを使用すると、BigFixクライアントはダウンロードされたバイナリを共有できるため、Relayがローカルにインストールされていない場合でも、ブランチ・オフィスの外に出る通信の数を減らすことができます。

Peer Nestが有効になっている場合、BigFixクライアントは、アクションの実行に必要なバイナリのダウンロードを自己最適化できます。複数のクライアントがバイナリファイルのプリフェッチを必要とするアクションを実行すると、BigFixクライアントはファイルがすでにサブネットにキャッシュされているかどうかをピアで確認します。バイナリがまだキャッシュされていない場合、サブネット上の1つのクライアントが選ばれ、リレーからファイルをダウンロードし、ピアと共有します。ビデオをご覧ください

パッチ適用をセットしてあとは任せる (忘れる)

WebUIを使用すると、事前定義されたスケジュールで実行するようにパッチ・ポリシーを構成できます。パッチ・ポリシーを確立すると、企業全体に継続的にパッチを適用できるようになります。パッチ・ポリシーとは、パッチ・リストを定義する基準の集合 (Fixletのコレクション) です。例えば、特定のエンドポイント・セットのパッチ適用基準、さまざまなマシン・グループのパッチ適用スケジュール、一連の展開動作を満たすパッチ適用基準です。

パッチ・ポリシーを使用すると、組織の継続的なセキュリティーとコンプライアンスのプロセスが確立および維持されます。パッチ・ポリシーは、Fixletが使用可能になったときに、User Acceptance Testグループのエンドポイントに自動的にパッチを適用するのに役立ちます。これにより、通常のスケジューリング作業が不要になり、パッチ・サイクルの合計時間が短縮されます。パッチ・ポリシーは現在、WindowsあるいはRed Hat Enterprise Linuxを実行しているエンドポイントをサポートしています。

最新のオペレーティングシステムのサポート

BigFixは、クライアントが最新のテクノロジーを利用できるように、サポートされるOSの新バージョンをできるだけ早くサポートするよう努めています。BigFixをアップグレードすれば、MacOS Catalina、RHEL 8、Windows Server 2019などの最新のプラットフォームとエージェントのサポートを利用できるようになります。

ヘルスチェックダッシュボード

ヘルスチェックダッシュボードは、BigFix環境の可視性と一般的な健康状態を改善するのに役立ちます。ダッシュボードは、リレー・ヘルス、コンソール・ヘルス、サーバー・ヘルス、クライアント・ヘルス、デプロイメントの最適化の重要な健康状態の指標を継続的に取得、表示します。これにより、BigFixコンポーネントの管理とサポートの高速化が図れます。

BigFixシステム管理者やマスターオペレーターにとって、ヘルスチェックダッシュボードは、問題の診断と修復の高速化をもたらし、可用性を大幅に改善します。

パフォーマンス

BigFixプラットフォームのパフォーマンスとスケーラビリティーを継続的に改善し、最小限のリソースで環境を拡張できるようにします。BigFix 9.5では、マルチスレッドfillDBサービスを導入しました。すべてを行う、過負荷となっている1つのスレッドの代わりに、fillDBサービスの解析(パース)スレッドとデータスレッドに渡すようになっています。この新しいマルチスレッド機能を使用すると、DBでのデータ追加率が全体的に増加し、以前の9.2バージョンのBigFixよりもデータベースへのデータ追加におけるディスクI/Oレイテンシーに対する感度が低下することが期待できます。これらのパフォーマンスの改善により、BigFixサーバーとデータベースを仮想環境によりよく実装できるようになっています。

詳細については、HCL BigFix スペシャリストまたはテクニカル・アドバイザーにお問い合わせください。


BigFix Complianceでサーバーを強化する

2019/10/25 - 読み終える時間: 2 分

BigFix には複数のEditionが存在しますが、今回は BigFix Compliance についての記事です。HCL Software Blog の記事: "Harden Your Servers with BigFix Compliance" の翻訳です。BigFix をご存じないかたでも、容易に理解できる、サーバーおよび端末管理の課題と解決策についてのお話です。


BigFix Complianceでサーバーを強化する

サーバー強化の課題

あらゆる種類のシステムを安全に保つことを考えるとき、まず頭に浮かぶのはパッチ適用です。ただし、サーバーの強化は、さまざまな方法でサーバーのセキュリティーを強化するプロセスであり、その結果、サーバーの運用環境がより安全になります。

サーバーの場合、多くの要素、おそらく数百の要素があることでしょう。潜在的に機密性の高いデータや、それらデータへのアクセスが公開または侵害されていないことを確認するために監視を行う必要があります。典型的な要素は次のとおりです。

  • ブルートフォースハッキングに耐えるのに十分なパスワード要件
  • Windows以外のサーバーの場合、主要システム・ファイルのファイルの許可や所有権の設定が適切に設定されているか (既に侵入・改変されているかを含む)
  • ウイルス対策ソフトウェアが実行されているか

各サーバーで監視する必要がある対象は数十から数百ある可能性があります。平均的なシステム管理者は最大100台(またはそれ以上)のサーバーを担当する可能性があるため、各サーバーを手動で監査/監視できると考えるのは非現実的であるとすぐにわかります。BigFix Complianceは、システム管理者のこれらのチェックを自動化し、サーバーのセキュリティーを強化します。

全体的なコンプライアンスの状態を理解する

BigFix Complianceの機能の1つは、要素単位での強化を強制できることとその監査に加えて、全体的なコンプライアンスの一覧を提供することです。エンドポイントからのすべての監査結果を専用のレポートエンジンを提供し、傾向を示すグラフとレポートのセットにして定期的に作成します。ダッシュボード画面とレポートを使用して、管理者、アプリケーションチーム、監査員は、企業全体のエンドポイントコンプライアンスの状態をすばやく理解できるようになります。

Compliance Analytics and Reportingエンジンは、多様なレポート・ビューを提供します。図1に示されているコンプライアンス概要レポートでは、権限のあるレポート利用者は、関心のあるコンプライアンス部分をすばやくドリルダウンできます。役割ベースのアクセス制御(RBAC)により、ユーザーが自分の職務に適合するコンプライアンス・データのみを表示されます。

図1: コンプライアンス概要レポートの例

コンプライアンス統計はどのように計算されるか

コンプライアンス適合率の割合などのコンプライアンス統計は、カスタム・チェックリストを使用してエンドポイントに適用される(いままさに)実行中のコンプライアンス監査の結果から計算されます。カスタム・チェックリストは、広範なチェック・ライブラリーから抽出されたチェック項目のセットです。図2は、BigFix Complianceで利用可能なチェックリストのサンプルです。ライブラリーには、さまざまなオペレーティング・システムとアプリケーションのチェックが含まれており、インターネット・セキュリティー・センター(CIS)、防衛情報システム局(DISA)、およびペイメントカード業界(PCI)などの組織から提供されます。各チェックにはデフォルトの推奨監査値が含まれていますが、ほとんどはニーズに合わせて変更可能です。

図2:利用可能なコンプライアンス・チェックのサンプル

チェックリスト内には、個別に特定のチェックがあります。図3は、Windows 10(左)とRed Hat Enterprise Linux 7(右)のCISチェックのサンプルを示しています。

図3:CIS Windows 10およびRHEL 7 チェックのサンプル

BigFixは、カスタム・チェックリストを簡単に作成、維持できるようにするウィザードを提供しています。図4では、ウィザードを使用して、Windows 10 Password Checksというカスタム・チェックリストを作成しているところです。

図4:ウィザードを使用してカスタム・チェックリストを作成する例

チェックリストの作成後、エンドポイント群に適用する前に、各チェックのデフォルトの推奨値を必要に応じて変更できます。エンドポイント群にカスタム・チェックリストが適用されると、各エンドポイントのエージェントは監査チェックについて継続的に評価を実施します。最初に、エージェントは各チェックのコンプライアンス・ステータスを報告します。その後、エージェントはコンプライアンス・ステータスの変化のみを報告するため、使用帯域幅とトラフィックは最小限に抑えられます。 BigFix Compliance Analyticsサーバーは、これらのチェックの結果を使用してコンプライアンス・レポートを生成します。

チェックの仕組みは、BigFix用語でいうところのFixletとして実装されます。Fixletは、適用または関連するエンドポイントを識別するためのターゲティング・ルールのセットと、エージェントが実行するアクションを定義するBigFixアクションのセットで構成されています。

ターゲティング・ルールは、Fixletの条件がエンドポイントに適用可能または関連することを判定する真偽テストの定義です。 Fixletが関連すると判断するには、指定されたすべてのターゲティング・ルールまたは条件が「true」である必要があります。BigFix Actionアクションは、エンドポイントですべての操作を実行するために使用されます。たとえば、BigFixアクションは、エンドポイントの再起動を開始したり、Windowsエンドポイントのレジストリ値を変更したりできます。

Compliance違反はどのように修正されるか

BigFixエージェントは前述の通りコンプライアンス違反状態(チェック)を報告します。デフォルトでは、BigFixエージェントは非準拠状態のみを報告します。ただし、ほとんどの場合において、エージェントがコンプライアンス違反状態を1回または連続的に修正し、エンドポイントを準拠した状態にすることが望ましいでしょう。 BigFix管理者は、BigFixのアクション実行ウィザードを使用して、Fixletの修復アクションを有効にできます。修復アクションを使用すると、ユーザーによる手動の介入なしで常にコンプライアンス状態を維持できます。

複数のチェックリストを結合できるか

エンドポイント群に、複数のチェックリストを適用できます。複数のチェックリストをまとめてベースラインにまとめ、単一のアクションとして展開して、システム管理者の労力を最小限に抑えられます。ベースラインの各チェックは評価され、展開されたベースラインの他のチェックと関わりなく独立したかたちで修正される場合があります。ベースラインを展開することにより、管理者による1回のアクションで数百の監査チェックを継続的に監査および修正し、すべてのエンドポイントのコンプライアンスを確保できます。

まとめ

サーバー強化とは、サーバーのセキュリティーを強化して、セキュリティー攻撃やデータ侵害を受けにくい安全なサーバー運用環境を作成するプロセスです。サーバーを強化してコンプライアンス準拠の状態を維持することは、多くの場合において監視が必要な要素が何百もあるため、システム管理者にとっては困難な作業です。サーバーが悪意のあるまたは意図しない操作によって構成の逸脱が発生すると、コンプライアンス準拠状態から外れる可能性があります。コンプライアンスのチェックと非コンプライアンスの修正は、非常に時間がかかり、無限のタスクといえるでしょう。 BigFix Complianceを使用すれば、コンプライアンス準拠の継続的な監視と自動修復が容易になります。さらに、BigFix Complianceは、ダッシュボードとレポートを通じてエンドポイントのComplianceの状態を提供し、エンタープライズ・セキュリティーを担当するすべての関係者に重要な情報を提供できます。

著者: David Tamillow編集者: Cy Englert


Webinar (英語) リプレイ公開: BigFix 10

2019/9/6 - 読み終える時間: ~1 分

2020年春にリリース予定の BigFix 10 について解説した Webinar (2019/8/20 開催、英語) のリプレイが公開されました。 氏名とメールアドレスを登録すると視聴できます。 説明が25分、Q&A が20分、計45分。

https://register.gotowebinar.com/recording/4429594099706230273

一定期間が経過すると削除されますのでご注意ください。

10 の特長である以下の 3 点について触れられています。

  • マルチ・クラウド・サポート (AWS, Azure, VMware など)
  • エージェントレス (クラウドOS/Windows/MacOS/iOS/Android)
  • リポート機能強化や問題発見の容易性向上と、それらの組織への展開

About

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。