分散したサーバをポリシー管理する秘訣、教えます：運用管理ツールで何ができるのか（3/6 ページ）

[ITmedia]

ポリシー管理によるセキュリティ管理の手順

　ポリシー管理機能は、EM 10gのホーム画面に表示されるビューにより、違反数がいくつあるのか、そのレベルなどが可視化されている（画面1）。EM 10gのホーム画面にはEM 10gが管理対象とするサーバ、システム、OSやOracleを含むソフトウェアなどの情報を集約したビューが表示されている。ここに表示される内容からEM 10gが管理するすべてのサーバのセキュリティ状態を確認できる。

画面1　EM10gホーム画面のポリシー違反警告

　「すべてのターゲットアラート」の部分は設定したしきい値やエラーなどの発生によるアラート情報が集約されている。その下にある「すべてのターゲットポリシー違反」は、事前定義済みポリシーに従った設定項目により診断された結果が表示されている。右側にある「セキュリティ・ポリシー違反」は「すべてのターゲットポリシー違反」のカテゴリでセキュリティに関するものを抽出して表示しており、それ以外にも24時間以内に発生した数も表示するなど、迅速に確認できる。

　ポリシー管理の機能を利用するためには、ホーム画面にある「ポリシー」タブをクリックする。移動した画面には、ポリシー違反を走査した結果が一覧表示される（画面2）。この一覧には、重要度、違反数、ポリシー・ルール、該当するターゲット、最終更新日時、スコアリングなどの情報が含まれている。

画面2　ポリシー違反の一覧表示

　このターゲットの列に表示されている文字列（データベースであればインスタンス名）をクリックすれば、該当するインスタンスの管理画面に移動するため、適切な処理をシームレスに実行可能になる。また、ポリシー・ルールの欄にあるテキストをクリックすると、該当するポリシーの適用状態を確認できる。

　このポリシー・ルールの設定には、以下のような項目がある。

1. ターゲット名: インスタンス名
2. コンプライアンス・スコア設定: 重大度と重要度
3. パラメータ: パラメータの設定状況（ポリシー・ルールによってはないものもある）
4. 修正処理: 違反があった場合に自動実行される処理
5. テンプレート: 別途テンプレートを作成した場合に上書きして設定可能か否か

　ポリシー・ルールの編集に関しては、カテゴリや重大度など、オラクルが事前に設定していてユーザーが変更できないものもあるが、このポリシー・ルールを適用するか否か、コンプライアンス・スコアの一要素となる重要度の設定、違反を検出する基準となるパラメータの設定、修正処理などの追加が可能だ。

　ポリシー・ルールを適用しない場合には、「ポリシー評価」の項目を「有効」から「無効」に変更すればよい。しかし、原則として、事前登録されているポリシーを無効にするのは推奨できないため、十分な注意と変更によって生じるリスクを明確にする必要があることは承知しておく必要がある。

　また、修正処理を利用すれば、ポリシーに違反したシステムを検出した際、自動的に設定を変更してポリシーに合致した状態にできる。修正処理を有効にすると、すでに対処方法が明確化されている、例えばポリシーとしてパスワード猶予期間を1週間、つまり7日にすることを規定した場合には、対象をEM 10gの監視下に置いた時点で自動的にパスワード猶予期間を7日に変更できるため、効率よくセキュリティ・ポリシーを設定できる。

　このようにEM 10gのポリシー機能では、ポリシー違反の検出だけでなく、自動的に修正を施すことにより、企業内のサーバのセキュリティレベルを一定以上に保つことが可能となり、新たなサーバの追加などが発生しても、個別にセキュリティパラメータを設定する必要がなくなるため、セキュリティ管理の作業負荷の軽減が期待できる。