第7章 設定コンプライアンスおよび脆弱性についてのシステムスキャン

コンプライアンス監査は、指定したオブジェクトが、コンプライアンスポリシーに指定されているすべてのルールに従っているかどうかを判断するプロセスです。コンプライアンスポリシーは、コンピューティング環境で使用される必要な設定を指定するセキュリティー専門家が定義します。これは多くの場合、チェックリストの形式を取ります。
コンプライアンスポリシーは組織によって大幅に異なることがあり、同一組織内でもシステムが異なると様々なものになります。それぞれのシステムの目的や組織におけるシステム重要性に基づいて、これらのポリシーは異なってきます。カスタム化したソフトウェア設定や導入の特徴によっても、カスタム化したポリシーのチェックリストが必要になってきます。

7.1. RHEL の設定コンプライアンスツール

Red Hat Enterprise Linux は、完全に自動化されたコンプライアンス監査を可能にするツールを提供します。これらのツールは SCAP (Security Content Automation Protocol) 標準に基づいており、コンプライアンスポリシーの自動化に合わせるように設計されています。
  • SCAP Workbench - Thescap-workbenchグラフィカルユーティリティーは、単一のローカルまたはリモートシステム上で構成スキャンと脆弱性スキャンを実行するように設計されています。これらのスキャンと評価に基づくセキュリティーレポートの生成にも使用できます。
  • OpenSCAP -OpenSCAP ライブラリは、付随する oscap コマンドラインユーティリティとともに、ローカルシステムで構成および脆弱性スキャンを実行するように設計されています。構成コンプライアンスのコンテンツを検証し、これらのスキャンと評価に基づいてレポートとガイドを生成します。
  • SCAP Security Guide (SSG)scap-security-guide パッケージは、Linux システム向けの最新のセキュリティーーポリシーコレクションを提供します。このガイダンスは、セキュリティーー強化に関する実践的なアドバイスのカタログから構成されます (該当する場合は、法規制要件に関連付けられています)。このプロジェクトは、一般的なポリシー要件と特定の実装ガイドラインの間にある開きを埋めることを目的としています。
  • スクリプトチェックエンジン (SCE) - SCEはSCAP プロトコルの拡張機能で、管理者が Bash、Python、Ruby などのスクリプト言語を使用してセキュリティコンテンツを作成できるようにします。SCE 拡張機能は、openscap-engine-sce パッケージで提供されます。SCE 自体は SCAP 環境の一部ではありません。
複数のシステムでリモートで自動コンプライアンス監査を実行するには、Red  Hat Satellite のOpenSCAP ソリューションを使用できます。

関連情報


このページには機械翻訳が使用されている場合があります (詳細はこちら)。