第8章 コンプライアンスおよび OpenSCAP を使った脆弱性のスキャン

8.1. Red Hat Enterprise Linux におけるセキュリティコンプライアンス

コンプライアンス監査 は、あるオブジェクトがコンプライアンスポリシーのすべてのルールにしたがっているかどうかを判断するプロセスです。コンプライアンスポリシー は、コンピューティング環境で使用される望ましい設定を指定するセキュリティ専門家が定義します。これは多くの場合、チェックリストの形式を取ります。
コンプライアンスポリシーは組織によって大幅に異なることがよくあり、同一組織内でもシステムが異なると様々なものになります。システムの目的や組織におけるシステム重要性に基づいて、これらのポリシーは異なってきます。カスタム化したソフトウェア設定や導入の特徴によっても、カスタム化したポリシーのチェックリストが必要になってきます。
Red Hat Enterprise Linux は、完全に自動化されたコンプライアンス監査を可能にするツールを提供します。これらのツールは SCAP (Security Content Automation Protocol) 標準に基づいており、コンプライアンスポリシーの自動化に合わせるように設計されています。

Red Hat Enterprise Linux 7 でサポートされているセキュリティコンプライアンスツール

  • OpenSCAPoscap コマンドラインユーティリティーは、ローカルシステムの上で設計スキャンと脆弱性スキャンを実行するように設計されています。これにより、セキュリティコンプライアンスのコンテンツを確認し、スキャンと評価に基づいてレポートとガイドを生成します。
  • Script Check Engine (SCE) — SCE は SCAP プロトコルの拡張機能で、コンテンツ作成者が Bash や Python、Ruby といったスクリプト言語を使ってセキュリティコンテンツを書けるようになります。SCE 拡張機能は、openscap-engine-sce パッケージで提供されます。
  • SCAP Security Guide (SSG)scap-security-guide パッケージは、Linux システム用の最新セキュリティポリシーのコレクションを提供します。
複数のリモートのシステムで自動コンプライアンス監査を実行する必要がある場合は、Red Hat Satellite 用の OpenSCAP ソリューションを利用することができます。詳細は、「Red Hat Satellite での OpenSCAP の使用」 および 「その他のリソース」 を参照してください。

注記

Red Hat は、Red Hat Enterprise Linux 6 ディストリビューションではデフォルトでコンプライアンスポリシーを提供していないことに注意してください。この理由については、「コンプライアンスポリシーの定義」 で説明されています。