7.3. SCAP Workbench の使用

SCAP Workbench (scap-workbench) はグラフィカルユーティリティーで、これを使用して 1 つのローカルシステムまたはリモートシステムで構成スキャンと脆弱性スキャンを実行できます。また、システムの修復や、スキャン評価に基づくレポート生成も可能です。oscap コマンドラインユーティリティーと比べると、SCAP Workbench には限定的な機能しかないことに注意してください。また、SCAP Workbench は XCCDF およびデータストリームファイルの形式でしかセキュリティーコンテンツを処理できません。
以下のセクションでは、SCAP Workbench をインストール、起動、利用して、システムスキャンや修復、スキャンのカスタマイズを実行する方法と、これらタスクに関連する例を説明します。

7.3.1. SCAP Workbench のインストール

システムに SCAP Workbench をインストールするには、root で以下のコマンドを実行します。
~]# yum install scap-workbench
このコマンドにより、SCAP Workbench が正常な機能するのに必要なパッケージがすべてインストールされます。これには、ユーティリティーを提供する scap-workbench パッケージも含まれています。必要な qt パッケージ、openssh パッケージなどの依存関係がすでにシステムにインストールされている場合、そのパッケージは自動的に最新バージョンに更新されることに注意してください。
SCAP Workbench には、動作するセキュリティーコンテンツが必要です。Red Hat は、SSG (SCAP Security Guide) を使用することを推奨します。scap-security-guide パッケージは SCAP Workbench 依存関係としてインストールされ、/usr/share/xml/scap/ssg/content/ ディレクトリーに保存されます。
個別のニーズに合致する可能性のある既存の SCAP コンテンツの他のソースが必要な場合は、「その他のリソース」 を参照してください。

7.3.2. SCAP Workbench の稼働

SCAP WorkbenchGNOME Classic デスクトップ環境から稼働するには、Super キーを押して アクティビティー に入り、scap-workbench と入力してから Enter を押します。Super キーはキーボードとハードウェアによって外観が異なりますが、普通は Windows または Command キーのいずれかとなり、通常は スペースバー キーの左隣に配置されています。
SCAP セキュリティーガイドの表示ウィンドウ

図7.1 SCAP セキュリティーガイドの表示ウィンドウ

ユーティリティーを起動すると、Open SCAP Security Guide ウィンドウが開きます。ガイドの 1 つを選択すると、SCAP Workbench ウィンドウが開きます。このウィンドウは、7 つのインタラクティブな要素で構成されており、システムのスキャン実行前にこれらに慣れておくとよいでしょう。
File
このメニュー一覧は、SCAP 関連のコンテンツの読み込みや保存オプションを提供します。最初の Open SCAP Security Guide ウィンドウを表示するには、同じ名前のメニューアイテムをクリックします。または、Open Other Content をクリックして XCCDF 形式の別のカスタマイズファイルを読み込みます。カスタマイズを XCCDF XML ファイルで保存するには、Save Customization Only の項目を使用します。Save All では、選択したディレクトリーまたは RPM パッケージとして、SCAP ファイルを保存できます。
カスタマイズ
このコンボボックスは、特定のセキュリティーポリシーに使用されるカスタマイズを表示します。このコンボボックスをクリックして、システム評価に適用されるカスタムルールを選択できます。デフォルト値は (no customization) で、これは使用されているセキュリティーポリシーに変更がないことを意味します。選択されているセキュリティープロファイルに変更を加えた場合、ファイルメニューの Save Customization Only をクリックするとこれらの変更を XML ファイルで保存できます。
Profile
このコンボボックスには、選択されたセキュリティープロファイル名が表示されます。コンボボックスをクリックすると、XCCDF またはデータストリームファイルからセキュリティープロファイルを選択できます。選択したセキュリティープロファイルのプロパティーを継承する新規プロファイルを作成するには、Customize ボタンをクリックします。
Target
評価対象のシステムがローカルかリモートかを 2 つのラジオボタンから選択します。
ルール
このフィールドには、セキュリティポリシーの対象となるセキュリティルールが一覧表示されます。特定のセキュリティルールを展開すると、そのルールについての詳細情報が表示されます。
ステータスバー
このグラフィカルバーは、実行中の操作のステータスを表示します。
修復ロールの生成
このポップアップメニューにより、プロファイルベースの修復をファイルにエクスポートできます。このファイルには、現在選択されているプロファイルのすべてのルールに利用可能な修正が含まれています。出力は Bash スクリプト、Ansible Playbook、または Puppet マニフェストから選択できます。システムの評価時に実行された修正は Bash の修正に基づいています。
この機能を使用するには、個々の修正を検討し、できる限り編集し、慎重に選択します。したがって、修正プロセスを完全に制御できます。
Dry run
スキャンを実行するのではなく、診断ウィンドウにコマンドラインの引数を取得するには、このチェックボックスを使用します。
リモートリソースの取得
このチェックボックスは、スキャナーに対して、XML ファイルで定義されているリモートの OVAL コンテンツをダウンロードするように指示を出すことができます。
Remediate
このチェックボックスにチェックを入れると、システム評価中に修復機能が有効になります。チェックが入っていると、SCAP Workbench はポリシーで定義された状態に一致しないシステム設定の修正を試行します。
Scan
このボタンを押すと、指定されたシステムの評価が開始します。
SCAP Workbench のウィンドウ

図7.2 SCAP Workbench のウィンドウ

7.3.3. システムのスキャン

SCAP Workbench の主な機能は、特定の XCCDF またはデータストリームファイルにしたがって、選択されたシステム上でセキュリティースキャンを実行することです。選択されたセキュリティーポリシーに対してシステムを評価するには、以下のステップにしたがいます。
  1. Open SCAP Security Guide ウィンドウまたは、File メニューの Open Other Content を使用してセキュリティーポリシーを選択し、該当の XCCDF、SCAP RPM またはデータストリームファイルを検索します。

    警告

    セキュリティーポリシーを選択すると、保存されていない以前のカスタマイズの変更は失われます。失われたオプションを再度適用するには、利用可能なプロファイルとカスタマイズコンテンツを再度選択する必要があります。新規のセキュリティーポリシーでは、以前のカスタマイズが適用できない場合があることに注意してください。
  2. 自分のニーズにカスタマイズされたセキュリティーコンテンツのある事前に用意されたファイルを使用するには、Customization コンボボックスでそのファイルをクリックして読み込みます。また、利用可能なセキュリティープロファイルを変更してカスタマイズした tailoring ファイルを作成することもできます。詳細は、「セキュリティープロファイルのカスタマイズ」 を参照してください。
    1. 現行のシステム評価にカスタマイズを使用しない場合は、(no customization) オプションを選択します。以前にカスタマイズが選択されていなければ、これがデフォルトオプションになります。
    2. 現行のシステム評価に使用する特定の tailoring ファイルを検索するには、(open customization file...) オプションを選択します。
    3. これまでにカスタマイズファイルを使用したことがある場合、SCAP Workbench はこのファイルを保存し、リストに追加します。これにより、同一スキャンの反復適用が簡素化されます。
  3. Profile コンボボックスをクリックして適切な選択セキュリティープロファイルを選択します。
    1. 選択したプロファイルを修正するには、Customize ボタンをクリックします。プロファイルのカスタマイズに関する詳細は、「セキュリティープロファイルのカスタマイズ」 を参照してください。
  4. Target ラジオボタンのいずれかを選択して、スキャンするマシンをローカルかリモートから選択します。
    1. リモートシステムを選択した場合は、以下の例のようにユーザー名、ホスト名、ポート情報を入力して指定します。以前のリモートスキャンを使用した場合には、最近スキャンしたマシンの一覧からリモートマシンを選択することもできます。
      リモートシステムの指定

      図7.3 リモートシステムの指定

  5. Remediate チェックボックスを選択すると、システム設定の自動修正が有効になります。このオプションが有効になっていると、システムスキャン中に関連チェックが失敗した場合に、SCAP Workbench はポリシーが適用するセキュリティルールにしたがってシステム設定を変更するよう試みます。

    警告

    修正オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。
  6. Scan ボタンをクリックしてシステムスキャンを開始します。

7.3.4. セキュリティープロファイルのカスタマイズ

ご使用のセキュリティポリシーに適応したセキュリティープロファイルを選択してから Customize ボタンをクリックすると、これをさらに調節することができます。新しい Customization ウィンドウが開いて、現在選択している XCCDF プロファイルを、その XCCDF ファイルを実際に変更することなく修正できます。
セキュリティープロファイルのカスタマイズ

図7.4 セキュリティープロファイルのカスタマイズ

Customization ウィンドウには、選択されたセキュリティープロファイルに関連する XCCDF 要素がすべて含まれており、各要素の詳細情報と機能も表示されます。このウィンドウのメインフィールドで各要素のチェックボックスにチェックを入れたり外したりすることで、これらの要素を有効または無効にすることができます。Customization は、元に戻すやり直す 機能もサポートしており、ウィンドウ左上の矢印アイコンをクリックすることでこれらの機能を実行できます。
後ほど評価に使用する変数を変更することもできます。Customization ウィンドウの適切なアイテムを検索し、右側の部分に移動して、Modify value フィールドを使用します。
Customization ウィンドウの選択アイテムの値設定

図7.5 Customization ウィンドウの選択アイテムの値設定

プロファイルのカスタマイズを終えたら、Confirm Customization ボタンをクリックして変更を確認します。これで変更がメモリーに記憶されますが、SCAP Workbench を終了したり、新規 SCAP コンテンツの選択や別の Customization オプションを選択するなどの特定の変更が行われると、変更は保持されません。変更を保存するには、SCAP Workbench ウィンドウの Save Customization ボタンをクリックします。こうすることで、セキュリティープロファイルの変更が選択されたディレクトリーに XCCDF Customization ファイルとして保存できます。この Customization ファイルは他のプロファイルでも選択可能であることに注意してください。

7.3.5. SCAP コンテンツの保存

SCAP Workbench では、システム評価に使用された SCAP コンテンツの保存も可能になっています。Customization ファイルを別個に保存するか (「セキュリティープロファイルのカスタマイズ」 を参照) または Save content コンボボックスをクリックして、Save into a directory または Save as RPM オプションを選択するとすべてのセキュリティコンテンツを一度に保存できます。
Save into a directory オプションを選択すると、SCAP Workbench は XCCDF もしくはデータストリームファイルと Customization ファイルの両方を指定された場所に保存します。これはバックアップとして便利な方法です。
Save as RPM オプションを選択すると、SCAP Workbench に XCCDF もしくはデータストリームファイルと Customization ファイルを含む RPM パッケージを作成するよう指示できます。これは、リモートでスキャンができないシステムにセキュリティーコンテンツを配布する場合やコンテンツをさらに処理するために配布する際に便利です。
現行 SCAP コンテンツを RPM パッケージとして保存

図7.6 現行 SCAP コンテンツを RPM パッケージとして保存

7.3.6. スキャン結果の表示、スキャンレポートの生成、および修復

システムスキャンが終了すると、Scan ボタンの代わりに ClearSave ResultsGenerate remediation roleShow Report の 3 つのボタンが表示されます。

警告

Clear ボタンをクリックすると、スキャン結果が恒久的に削除されます。
スキャン結果を XCCDF、ARF、または HTML ファイルの形式で保存するには、Save Results コンボボックスをクリックします。人間が解読できる形式でスキャン結果を生成するには、HTML Report オプションを選択します。さらに自動処理を施したい場合は、XCCDF および ARF (データストリーム) 形式が適しています。これら 3 つのオプションは、何度でも選択できます。
スキャン結果を保存せずにすぐに確認する場合は、Show Report ボタンをクリックします。デフォルトの web ブラウザーにおいて、HTML の一時ファイルの形式でスキャン結果が表示されます。
修復ロールの生成 を使用して、ファイルに結果ベースの修正をエクスポートできます。この機能は、プロファイルベースの修正ロールのエクスポートと非常に似ており、システム評価をパスさせるルールに対する修復がエクスポートされていない点だけが異なります (したがってファイルサイズは小さくなる可能性があります)。

警告

結果ベースの修復は、カスタマイズしたプロファイルではサポートされません。このようなプロファイルをエクスポートする必要がある場合は、oscap コマンドラインユーティリティーを使用できます。