第7章 設定コンプライアンスおよび脆弱性についてのシステムスキャン

コンプライアンス監査は、指定したオブジェクトが、コンプライアンスポリシーに指定されているすべてのルールに従っているかどうかを判断するプロセスです。コンプライアンスポリシーは、コンピューティング環境で使用される必要な設定を指定するセキュリティー専門家が定義します。これは多くの場合、チェックリストの形式を取ります。
コンプライアンスポリシーは組織によって大幅に異なることがあり、同一組織内でもシステムが異なると様々なものになります。それぞれのシステムの目的や組織におけるシステム重要性に基づいて、これらのポリシーは異なってきます。カスタム化したソフトウェア設定や導入の特徴によっても、カスタム化したポリシーのチェックリストが必要になってきます。

7.1. RHEL の設定コンプライアンスツール

Red Hat Enterprise Linux は、完全に自動化されたコンプライアンス監査を可能にするツールを提供します。これらのツールは SCAP (Security Content Automation Protocol) 標準に基づいており、コンプライアンスポリシーの自動化に合わせるように設計されています。
  • SCAP Workbench - Thescap-workbenchグラフィカルユーティリティーは、単一のローカルまたはリモートシステム上で構成スキャンと脆弱性スキャンを実行するように設計されています。これらのスキャンと評価に基づくセキュリティーレポートの生成にも使用できます。
  • OpenSCAP -OpenSCAP ライブラリは、付随する oscap コマンドラインユーティリティとともに、ローカルシステムで構成および脆弱性スキャンを実行するように設計されています。構成コンプライアンスのコンテンツを検証し、これらのスキャンと評価に基づいてレポートとガイドを生成します。
  • SCAP Security Guide (SSG)scap-security-guide パッケージは、Linux システム向けの最新のセキュリティーーポリシーコレクションを提供します。このガイダンスは、セキュリティーー強化に関する実践的なアドバイスのカタログから構成されます (該当する場合は、法規制要件に関連付けられています)。このプロジェクトは、一般的なポリシー要件と特定の実装ガイドラインの間にある開きを埋めることを目的としています。
  • スクリプトチェックエンジン (SCE) - SCEはSCAP プロトコルの拡張機能で、管理者が Bash、Python、Ruby などのスクリプト言語を使用してセキュリティコンテンツを作成できるようにします。SCE 拡張機能は、openscap-engine-sce パッケージで提供されます。SCE 自体は SCAP 環境の一部ではありません。
複数のシステムでリモートで自動コンプライアンス監査を実行するには、Red  Hat Satellite のOpenSCAP ソリューションを使用できます。

関連情報

  • oscap (8): oscapコマンドラインユーティリティのマニュアルページには、使用可能なオプションの完全なリストとその使用方法の説明が記載されています。
  • Red Hat Security Demos: Creating Customized Security Policy Content to Automate Security Compliance: セキュリティーコンプライアンスを自動化するためのカスタムセキュリティーポリシーコンテンツを作成して、Red Hat Enterprise Linux に含まれるツールを使用し、セキュリティーコンプライアンスの自動化を行い、業界標準のセキュリティーポリシーとカスタムセキュリティーポリシーの両方に準拠するツールを使用して、セキュリティーコンプライアンスを初期状態にすることができます。チームにこれらのラボでのトレーニングまたはアクセスを希望する場合は、Red Hat アカウントチームにお問い合わせください。
  • Red Hat Security Demos: Defend Yourself with RHEL Security Technologies: OpenSCAP を含む Red Hat Enterprise Linux で利用できる主要なセキュリティー技術を使用して、RHEL システムの全レベルでセキュリティーを実装する方法を学ぶことができます。お客様のチームでこれらのラボでの演習またはアクセスを希望する場合は、Red Hat アカウントチームにお問い合わせください。
  • scap-workbench (8): SCAP Workbenchアプリケーションのマニュアルページには、アプリケーションに関する基本情報と、SCAPコンテンツの潜在的なソースへのリンクが記載されています。
  • scap-security-guide (8): scap-security-guide プロジェクトのマニュアルページは、利用可能なさまざまな SCAP セキュリティプロファイルに関する詳細なドキュメントを提供します。また、OpenSCAPユーティリティを使用して、提供されているベンチマークを使用する例も含まれています。
  • Red Hat Satellite で OpenSCAP を使用する方法は、『Security Compliance Management in the Administering Red Hat Satellite Guide』を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。