第6章 コンプライアンスおよび OpenSCAP を使った脆弱性のスキャン

6.1. Red Hat Enterprise Linux におけるセキュリティーコンプライアンス

コンプライアンス監査 は、あるオブジェクトがコンプライアンスポリシーのすべてのルールにしたがっているかどうかを判断するプロセスです。コンプライアンスポリシー は、コンピューティング環境で使用される望ましい設定を指定するセキュリティー専門家が定義します。これは多くの場合、チェックリストの形式を取ります。
コンプライアンスポリシーは組織によって大幅に異なることがよくあり、同一組織内でもシステムが異なると様々なものになります。システムの目的や組織におけるシステム重要性に基づいて、これらのポリシーは異なってきます。カスタム化したソフトウェア設定や導入の特徴によっても、カスタム化したポリシーのチェックリストが必要になってきます。
Red Hat Enterprise Linux は、完全に自動化されたコンプライアンス監査を可能にするツールを提供します。これらのツールは SCAP (Security Content Automation Protocol) 標準に基づいており、コンプライアンスポリシーの自動化に合わせるように設計されています。

Red Hat Enterprise Linux 7 でサポートされているセキュリティーコンプライアンスツール

  • SCAP Workbenchscap-workbench グラフィカルユーティリティーは、単一のローカルまたはリモートシステム上で構成スキャンと脆弱性スキャンを実行するように設計されています。これらのスキャンと評価に基づくセキュリティーレポートの生成にも使用できます。
  • OpenSCAPoscap コマンドラインユーティリティーは、ローカルシステムの上で構成スキャンと脆弱性スキャンを実行するように設計されています。これにより、セキュリティーコンプライアンスのコンテンツを検証し、スキャンと評価に基づいてレポートとガイドを生成します。
  • Script Check Engine (SCE)SCESCAP プロトコルの拡張機能であり、この機能を使用すると管理者が Bash、Python、Ruby などのスクリプト言語を使ってセキュリティーコンテンツを記述できるようになります。SCE 拡張機能は、openscap-engine-sce パッケージで提供されます。
  • SCAP Security Guide (SSG) — The scap-security-guide パッケージは、Linux システム向けの最新のセキュリティーーポリシーコレクションを提供します。このガイダンスは、セキュリティーー強化に関する実践的なアドバイスのカタログから構成されます (該当する場合は、法規制要件に関連付けられています)。このプロジェクトは、一般的なポリシー要件と特定の実装ガイドラインの間にある開きを埋めることを目的としています。
複数のリモートのシステムで自動コンプライアンス監査を実行する必要がある場合は、Red Hat Satellite 用の OpenSCAP ソリューションを利用することができます。詳細は、「Red Hat Satellite での OpenSCAP の使用」 および 「その他のリソース」 を参照してください。