7.2. 脆弱性スキャン

7.2.1. Red  Hat Security Advisories OVAL フィード

Red Hat Enterprise Linux のセキュリティー監査機能は、セキュリティー設定共通化手順 (Security Content Automation Protocol (SCAP)) 標準仕様に基にしています。SCAP は、自動化された設定、脆弱性およびパッチの確認、技術的な制御コンプライアンスアクティビティー、およびセキュリティーの測定に対応している多目的な仕様のフレームワークです。
SCAP 仕様は、スキャナーやポリシーエディターの導入は義務化されていなくても、セキュリティーコンテンツの形式が周知かつ標準化されているエコシステムを作成します。このため、企業がいくつものセキュリティーベンダーを用いていても、組織がセキュリティーポリシー (SCAP コンテンツ) を構築するのは一度で済みます。
セキュリティー検査言語 OVAL (Open Vulnerability Assessment Language) は、SCAP に不可欠で最も古いコンポーネントです。他のツールやカスタマイズされたスクリプトとは異なり、OVAL は宣言型でリソースの必要な状態を記述します。OVAL コードは、スキャナーと呼ばれる OVAL インタープリターツールを用いて実行されますが、直接実行されることは決してありません。OVAL が宣言型であるため、評価されるシステムの状態が偶然修正されることはありません。
他のすべての SCAP コンポーネントと同様に、OVAL は XML に基づいています。SCAP 標準は、いくつかのドキュメント形式を定義します。これらはそれぞれ異なる種類の情報を含み、異なる目的に使われます。
Red Hat 製品セキュリティー を使用すると、Red Hat 製品をお使いのお客様に影響を及ぼすセキュリティー問題をすべて追跡して調査し、Red Hat カスタマーポータルで簡潔なパッチやセキュリティーアドバイザリーを適時提供することで、お客様がリスクを評価して管理できます。Red Hat は、OVAL パッチ定義を作成してサポートし、マシンが読み取り可能なセキュリティーアドバイザリーを定義します。
プラットフォーム、バージョン、およびその他の要因の違いにより、Red  Hat 製品セキュリティーの定性的な脆弱性の重大度評価は、サードパーティーが提供する Common Vulnerability Scoring System (CVSS) のベースラインレーティングと直接一致しません。したがって、サードパーティが提供する定義ではなく、RHSA OVAL 定義を使用することをお勧めします。
RHSA OVAL 定義 は完全なパッケージとして利用でき、新しいセキュリティーアドバイザリーが Red Hat カスタマーポータルで利用可能になってから 1 時間以内に更新されます。
各 OVAL パッチ定義は、Red Hat セキュリティーアドバイザリー (RHSA) と 1 対 1 にマッピングしています。RHSA には複数の脆弱性に対する修正が含まれるため、各脆弱性は、共通脆弱性識別子 (Common Vulnerabilities and Exposures (CVE)) 名ごとに表示され、公開バグデータベースの該当箇所へのリンクが示されます。
RHSA OVAL 定義は、システムにインストールされている RPM パッケージで脆弱なバージョンを確認するように設計されています。この定義は拡張でき、パッケージが脆弱な設定で使用されているかどうかを見つけるなど、さらに確認できるようにすることができます。この定義は、Red Hat が提供するソフトウェアおよび更新に対応するように設計されています。サードパーティーソフトウェアのパッチ状態を検出するには、追加の定義が必要です。

注記

コンテナーまたはコンテナーイメージのセキュリティの脆弱性をスキャンするには、「コンテナーとコンテナーイメージの脆弱性スキャン」を参照してください。

7.2.2. システムの脆弱性のスキャン

oscapコマンドラインユーティリティーを使用すると、ローカルシステムのスキャン、設定コンプライアンスコンテンツの確認、これらのスキャンおよび評価を基にしたレポートとガイドの生成が可能です。このユーティリティーは OpenSCAP ライブラリーへのフロントエンドとしてサービスを提供し、その機能を処理する SCAP コンテンツのタイプに基づいてモジュール (サブコマンド) にグループ化します。

手順

  1. openscap-scannerパッケージをインストールします。
    ~]#yum install openscap-scanner
  2. システムの最新の RHSA OVAL 定義をダウンロードします。次に例を示します。
    ~]# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml
  3. システムの脆弱性をスキャンし、vulnerability.html ファイルに結果を保存します。
    ~]#oscap oval eval --reportvulnerability.htmlrhel-7.oval.xml

検証

  1. 選択したブラウザで結果を確認します。次に例を示します。
    ~]$ firefox vulnerability.html &

注記

CVE OVALチェックは脆弱性を検索します。したがって、結果「True」はシステムが脆弱であることを意味し、「False」はスキャンが脆弱性を検出しなかったことを意味します。HTMLレポートでは、これは結果行の色によってさらに区別されます。

関連情報

7.2.3. リモートシステムの脆弱性のスキャン

SSH プロトコルで oscap-ssh ツールを使用して、OpenSCAP スキャナーでリモートシステムの脆弱性を確認することもできます。

前提条件

  • openscap-scanner パッケージがリモートシステムにインストールされます。
  • リモートシステムで SSH サーバーが実行している。

手順

  1. openscap-utils パッケージをインストールします。
    ~]#yum install openscap-utils
  2. システムに最新 RHSA OVAL 定義をダウンロードします。
    ~]# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml
  3. 脆弱性に対して、ホスト名machine1、ポート 22 で実行する SSH、およびユーザー名joesecでリモートシステムをスキャンし、結果をremote-vulnerability.htmlファイルに保存します。
    ~]#oscap-sshjoesec@machine122 oval eval --reportremote-vulnerability.htmlrhel-7.oval.xml

関連情報


このページには機械翻訳が使用されている場合があります (詳細はこちら)。