6.3. SCAP Workbench の使用

SCAP Workbench (scap-workbench) はグラフィカルユーティリティーで、これを使うと単一のローカルまたはリモートシステム上で構成スキャンと脆弱性スキャンが実行できます。また、システム修復や、スキャン評価に基づくレポート生成もできます。oscap コマンドラインユーティリティーと比べると、SCAP Workbench には限定的な機能しかないことに注意してください。また、SCAP Workbench は XCCDF およびデータストリームファイルの形式でしかセキュリティーコンテンツを処理できません。
以下のセクションでは、SCAP Workbench をインストール、起動、利用して、システムスキャンや修復、スキャンのカスタマイズを実行する方法と、これらタスクに関連する例を説明します。

6.3.1. SCAP Workbench のインストール

システムに SCAP Workbench をインストールするには、root で以下のコマンドを実行します。
~]# yum install scap-workbench
このコマンドにより、SCAP Workbench の正常な機能に必要なすべてのパッケージがインストールされます。これには、それ自体がユーティリティーを提供する scap-workbench パッケージも含まれています。システムに qt および openssh パッケージなどの必要な依存関係がインストールされていれば、それらのパッケージは自動的に最新バージョンに更新されることに注意してください。
SCAP Workbench を効果的に使用する前に、システムでセキュリティーーコンテンツをインストールまたはインポートする必要があります。たとえば、現時点で最も新しくかつ詳細な Linux 向けセキュリティーポリシーを含む SCAP Security Guide (SSG) パッケージ (scap-security-guide) をインストールできます。SCAP Security Guide パッケージをシステムにインストールするには、root で次のコマンドを実行します。
~]# yum install scap-security-guide
システムに scap-security-guide をインストールした後は、特に指定されていなければ、SSG セキュリティーコンテンツは /usr/share/xml/scap/ssg/content/ ディレクトリーに格納され、他のセキュリティーコンプライアンス作業を進めることができます。
個別のニーズに合致する可能性のある既存の SCAP コンテンツの他のソースが必要な場合は、「その他のリソース」 を参照してください。

6.3.2. SCAP Workbench の稼働

SCAP Workbench ユーティリティーと SCAP コンテンツを正常にインストールできたら、システム上で SCAP Workbench の使用が可能になります。SCAP WorkbenchGNOME Classic デスクトップ環境から稼働するには、Super キーを押して アクティビティー に入り、scap-workbench と入力してから Enter を押します。Super キーはキーボードと他のハードウェアによって外観が異なりますが、普通は Windows または Command キーで、通常 スペースバー キーの左隣にあります。
SCAP セキュリティーガイドの表示ウィンドウ

図6.1 SCAP セキュリティーガイドの表示ウィンドウ

ユーティリティーを起動すると、Open SCAP Security Guide ウィンドウが開きます。ガイドの 1 つを選択すると、SCAP Workbench ウィンドウが開きます。このウィンドウは、7 つのインタラクティブな要素で構成されており、システムのスキャン実行前にこれらに慣れておくとよいでしょう。
File
このメニュー一覧は、SCAP 関連のコンテンツの読み込みや保存オプションを提供します。最初の Open SCAP Security Guide ウィンドウを表示するには、同じ名前のメニューアイテムをクリックします。または、Open Other Content をクリックして XCCDF 形式の別のカスタマイズファイルを読み込みます。カスタマイズを XCCDF XML ファイルで保存するには、Save Customization Only の項目を使用します。Save All では、選択したディレクトリーまたは RPM パッケージとして、SCAP ファイルを保存できます。
カスタマイズ
このコンボボックスは、特定のセキュリティーポリシーに使用されるカスタマイズを表示します。このコンボボックスをクリックして、システム評価に適用されるカスタムルールを選択できます。デフォルト値は (no customization) で、これは使用されているセキュリティーポリシーに変更がないことを意味します。選択されているセキュリティープロファイルに変更を加えた場合、ファイルメニューの Save Customization Only をクリックするとこれらの変更を XML ファイルで保存できます。
Profile
このコンボボックスには、選択されたセキュリティープロファイル名が表示されます。コンボボックスをクリックすると、XCCDF またはデータストリームファイルからセキュリティープロファイルを選択できます。選択したセキュリティープロファイルのプロパティーを継承する新規プロファイルを作成するには、Customize ボタンをクリックします。
Target
評価対象のシステムがローカルかリモートかを 2 つのラジオボタンから選択します。
Selected Rules
このフィールドには、セキュリティポリシーの対象となるセキュリティルールが一覧表示されます。特定のセキュリティルールを展開すると、そのルールについての詳細情報が表示されます。
ステータスバー
このグラフィカルバーは、実行中の操作のステータスを表示します。
リモートリソースの取得
このチェックボックスは、スキャナーに対して、XML ファイルで定義されているリモートの OVAL コンテンツをダウンロードするように指示を出すことができます。
Dry run
スキャンを実行するのではなく、診断ウィンドウにコマンドラインの引数を取得するには、このチェックボックスを使用します。
Remediate
このチェックボックスにチェックを入れると、システム評価中に修復機能が有効になります。チェックが入っていると、SCAP Workbench はポリシーで定義された状態にマッチしないシステム設定の修正を試行します。
Scan
このボタンを押すと、指定されたシステムの評価が開始されます。
SCAP Workbench のウィンドウ

図6.2 SCAP Workbench のウィンドウ

6.3.3. システムのスキャン

SCAP Workbench の主な機能は、特定の XCCDF またはデータストリームファイルにしたがって、選択されたシステム上でセキュリティースキャンを実行することです。選択されたセキュリティーポリシーに対してシステムを評価するには、以下のステップにしたがいます。
  1. Open SCAP Security Guide ウィンドウまたは、File メニューの Open Other Content を使用してセキュリティーポリシーを選択し、該当の XCCDF、SCAP RPM またはデータストリームファイルを検索します。

    警告

    セキュリティーポリシーを選択すると、保存されていない以前のカスタマイズの変更は失われます。失われたオプションを再度適用するには、利用可能なプロファイルとカスタマイズコンテンツを再度選択する必要があります。新規のセキュリティーポリシーでは、以前のカスタマイズが適用できない場合があることに注意してください。
  2. 自分のニーズにカスタマイズされたセキュリティーコンテンツのある事前に用意されたファイルを使用するには、Customization コンボボックスでそのファイルをクリックして読み込みます。また、利用可能なセキュリティープロファイルを変更してカスタマイズした tailoring ファイルを作成することもできます。詳細は、「セキュリティープロファイルのカスタマイズ」 を参照してください。
    1. 現行のシステム評価にカスタマイズを使用しない場合は、(no customization) オプションを選択します。以前にカスタマイズが選択されていなければ、これがデフォルトオプションになります。
    2. 現行のシステム評価に使用する特定の tailoring ファイルを検索するには、(open customization file...) オプションを選択します。
    3. これまでにカスタマイズファイルを使用したことがある場合は、SCAP Workbench はこのファイルを保存していてリストに追加します。これにより、同一スキャンの反復適用が簡素化されます。
  3. Profile コンボボックスをクリックして適切な選択セキュリティープロファイルを選択します。
    1. 選択したプロファイルを修正するには、Customize ボタンをクリックします。プロファイルのカスタマイズに関する詳細は、「セキュリティープロファイルのカスタマイズ」 を参照してください。
  4. Target ラジオボタンのいずれかを選択して、スキャンするマシンをローカルかリモートから選択します。
    1. リモートシステムを選択した場合は、以下の例のようにユーザー名、ホスト名、ポート情報を入力して指定します。以前のリモートスキャンを使用した場合には、最近スキャンしたマシンの一覧からリモートマシンを選択することもできます。
      リモートシステムの指定

      図6.3 リモートシステムの指定

  5. Remediate チェックボックスを選択すると、システム設定の自動修正が有効になります。このオプションが有効になっていると、システムスキャン中に関連チェックが失敗した場合に、SCAP Workbench はポリシーが適用するセキュリティルールにしたがってシステム設定を変更するよう試みます。

    警告

    修正オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。
  6. Scan ボタンをクリックしてシステムスキャンを開始します。

6.3.4. セキュリティープロファイルのカスタマイズ

ご使用のセキュリティポリシーに適応したセキュリティープロファイルを選択した後で Customize ボタンをクリックすると、これをさらに調節することができます。新しい Customization ウィンドウが開いて、現在選択されている XCCDF プロファイルをその XCCDF ファイルを実際に変更することなく修正できます。
セキュリティープロファイルのカスタマイズ

図6.4 セキュリティープロファイルのカスタマイズ

Customization ウィンドウには、選択されたセキュリティープロファイルに関連する XCCDF 要素がすべて含まれており、各要素の詳細情報と機能も表示されます。このウィンドウのメインフィールドで各要素のチェックボックスにチェックを入れたり外したりすることで、これらの要素を有効または無効にすることができます。Customization は、元に戻すやり直す 機能もサポートしており、ウィンドウ左上の矢印アイコンをクリックすることでこれらの機能を実行できます。
後ほど評価に使用する変数を変更することもできます。Customization ウィンドウの任意のアイテムを検索し、右側の部分に移動して、Modify value フィールドを使用します。
Customization ウィンドウの選択アイテムの値設定

図6.5 Customization ウィンドウの選択アイテムの値設定

プロファイルのカスタマイズを終えたら、Confirm Customization ボタンをクリックして変更を確認します。これで変更がメモリーに記憶されますが、SCAP Workbench を終了したり、新規 SCAP コンテンツの選択や別の Customization オプションを選択するなどの特定の変更が行われると、変更は保持されません。変更を保存するには、SCAP Workbench ウィンドウの Save Customization ボタンをクリックします。こうすることで、セキュリティープロファイルの変更が選択されたディレクトリーに XCCDF Customization ファイルとして保存できます。この Customization ファイルは他のプロファイルでも選択可能であることに注意してください。

6.3.5. SCAP コンテンツの保存

SCAP Workbench では、システム評価に使用された SCAP コンテンツの保存も可能になっています。Customization ファイルを別個に保存するか (「セキュリティープロファイルのカスタマイズ」 を参照) または Save content コンボボックスをクリックして、Save into a directory または Save as RPM オプションを選択するとすべてのセキュリティコンテンツを一度に保存できます。
Save into a directory オプションを選択すると、SCAP Workbench は XCCDF もしくはデータストリームファイルと Customization ファイルの両方を指定された場所に保存します。これはバックアップとして便利な方法です。
Save as RPM オプションを選択すると、SCAP Workbench に XCCDF もしくはデータストリームファイルと Customization ファイルを含む RPM パッケージを作成するよう指示できます。これは、リモートでスキャンができないシステムに希望するセキュリティーコンテンツを配布する場合やコンテンツをさらに処理するために配布する際に便利です。
現行 SCAP コンテンツを RPM パッケージとして保存

図6.6 現行 SCAP コンテンツを RPM パッケージとして保存

6.3.6. スキャン結果の表示とスキャンレポートの生成

システムスキャンが終了すると、Scan ボタンの代わりに ClearSave ResultsShow Report の 3 つのボタンが表示されます。

警告

Clear ボタンをクリックすると、スキャン結果が恒久的に削除されます。
スキャン結果を XCCDF、ARF、または HTML ファイルの形式で保存するには、Save Results コンボボックスをクリックします。人間が解読できる形式でスキャン結果を生成するには、HTML Report オプションを選択します。さらに自動処理を施したい場合は、XCCDF および ARF (データストリーム) 形式が適しています。これら 3 つのオプションは、何度でも選択できます。
スキャン結果を保存せずにすぐに確認する場合は、Show Report ボタンをクリックします。デフォルトのウェブブラウザーで HTML の一時ファイル形式でスキャン結果が表示されます。