第1章 コンプライアンスサービスのレポートおよび評価

Red Hat Insights Compliance サービスを利用すると、Red Hat Enterprise Linux (RHEL) システムの SCAP セキュリティポリシーへのコンプライアンスを評価し、監視することができます。

Compliance サービスは、シンプルながらも強力なユーザーインターフェースを提供し、SCAP セキュリティポリシーの作成、設定、管理を可能にします。フィルタリング機能とコンテキスト追加機能が組み込まれているため、管理者は RHEL インフラストラクチャーのセキュリティコンプライアンスの問題を簡単に特定し、管理することができます。

このドキュメントでは、管理者が Compliance サービスのレポートを理解し、問題を管理して、Compliance サービスから修正を得られるように、Compliance サービスの機能の一部を説明します。

また、Ansible Playbook を作成して、セキュリティーコンプライアンスの問題を解決し、コンプライアンスステータスと通信するためにステークホルダーとレポートを共有できます。

1.1. 要件および前提条件

Compliance サービスは、Red Hat Insights の一部で、Red Hat Enterprise Linux (RHEL) サブスクリプションに含まれています。現在 Red Hat がサポートしているすべてのバージョンの RHEL で使用することができます。Red Hat Insights およびコンプライアンスサービスを使用するには、追加の Red Hat サブスクリプションは必要ありません。

Compliance サービスを使用する前に、以下の条件が満たされていることを確認します。

  • Insights クライアントをインストールして登録します。RHEL システムに Insights クライアントがインストールされておらず、稼働していない場合は、『Red Hat Insights のスタートガイド』に従って、監視する各システムにクライアントをインストールし、登録してください。
  • OpenSCAP の設定OpenSCAP は、SCAP セキュリティーガイド (SSG) とデータストリームで組織用に設定され、コンプライアンスサービスにデータを報告できます。その後、Compliance サービスを使用してポリシーを追加および変更できます。OpenSCAP に慣れていない場合は、「OpenSCAP スタートガイド」を参照してください。

1.2. サポートされる設定

RHEL のマイナーバージョンで対応している SCAP Security Guide (SSG) のバージョンを使用します。

正確なレポートを生成するには、システムにインストールされている RHEL マイナーバージョン の正しい Red Hat サポートバージョンの SCAP Security Guide (SSG) を使用する必要があります。RHEL に関連するマイナーリリースまたは RHEL に関連するバッチ更新で提供されるバージョンが、SCAP セキュリティーガイドで正式にサポートされています。ポリシーに、サポートされていない SSG バージョンがインストールされているシステムが 1 つ以上含まれている場合は、影響を受けるシステムの数の前に、unsupported (サポートなし) 通知が コンプライアンスサービス > レポート に表示されます。

img compl assess unsupported configuration example

サポートされていないバージョンの SSG がインストールされているシステムで、失敗したルールが引き続き表示される可能性があります。ただし、コンプライアンスレポートの目的で、結果が正確でないと考慮されることがあります。以下の条件は、サポート対象外の設定の結果に適用されます。

  • これらの結果は、Red Hat でサポートされるバージョン以外の SSG バージョンを使用すると結果の精度が落ちるため、ベスト推測となります。
  • サポートされていないバージョンの SSG を持つシステムからの結果は、ポリシーに関する全体的なコンプライアンスアセスメントに含まれません。
  • サポートされていないバージョンの SSG がインストールされているシステムのルールは、修正できません。
重要

以下の表は、RHEL の各マイナーバージョンでサポートされる SSG バージョンの一覧です。パッケージ名は scap-security-guide-0.1.43-13.el7 のようになります。この場合、SSG バージョンは 0.1.43 です。リリースは 13 で、アーキテクチャーは el7 です。リリース番号は、表に記載されているバージョン番号と異なる場合があります。ただし、バージョン番号は、以下に示しているように、サポート対象の設定になるように一致させる必要があります。

表1.1 RHEL の SCAP セキュリティーガイドで対応しているバージョン

Red Hat Enterprise Linux のバージョンSCAP セキュリティーガイドのバージョン

RHEL 6.6

scap-security-guide-0.1.18-3.el6

RHEL 6.9

scap-security-guide-0.1.28-3.el6

RHEL 6.10

scap-security-guide-0.1.28-4.el6

RHEL 7.2 AUS

scap-security-guide-0.1.25-3.el7

RHEL 7.3 AUS

scap-security-guide-0.1.30-5.el7_3

RHEL 7.4 AUS, E4S

scap-security-guide-0.1.33-6.el7_4

RHEL 7.5 (バッチ更新)

scap-security-guide-0.1.36-10.el7_5

RHEL 7.6 EUS

scap-security-guide-0.1.40-13.el7_6

RHEL 7.7 EUS

scap-security-guide-0.1.43-13.el7

RHEL 7.8 (バッチ更新)

scap-security-guide-0.1.46-11.el7

RHEL 7.9

scap-security-guide-0.1.49-13.el7

scap-security-guide-0.1.52-2.el7_9

RHEL 8.0 SAP

scap-security-guide-0.1.42-11.el8

RHEL 8.1 EUS

scap-security-guide-0.1.46-1.el8

scap-security-guide-0.1.47-8.el8_1

RHEL 8.2 (バッチ更新)

scap-security-guide-0.1.48-7.el8

RHEL 8.3

scap-security-guide-0.1.50-14.el8

1.3. ベストプラクティス

Red Hat では、最適なユーザーエクスペリエンスを得て、コンプライアンスサービスで最も正確な情報を受け取るためにも、いくつかのベストプラクティスに従うことを推奨しています。

RHEL システムが Insights クライアントに登録されていることを確認します。

Insights クライアントは、Compliance レポートを表示するシステムにインストールおよび登録されている必要があります。--register オプションを指定して insights-client コマンドを入力し、RHEL システムを Insights に登録します。

[root@insights]# insights-client --register

システムで使用されている RHEL OS マイナーバージョンが Insights クライアントで表示されていることを確認します。

Insights クライアントでは、Red Hat Insights にアップロードしたデータペイロードから、RHEL OS のマイナーバージョンを含め、特定のデータを再編集できます。コンプライアンスサービスが RHEL OS のマイナーバージョンを表示できない場合は、対応している SCAP セキュリティーガイドのバージョンを検証できず、レポートが正確にならない可能性があります。

データ整理の詳細は、「Red Hat Insights クライアントリダクションの設定」以下のドキュメントを参照してください。

Compliance サービス内のセキュリティーポリシーの定義

2020 年 11 月時点では、Compliance サービス内で組織のセキュリティーポリシーを作成して定義する必要があります。外部で作成されたポリシーはサポートされなくなります。また、これらのポリシーの結果は、結果に含まれなくなります。

Compliance サービス内でポリシーを作成すると、最も機能に富んだユーザーエクスペリエンスと信頼できるレポートを取得できます。複数のシステムをポリシーに関連付けます。RHEL バージョンに Red Hat がサポートする SSG を使用するようにしてください。ポリシーに含まれるルールは、組織の特定の要件に基づいて編集します。

重要

Compliance サービスは、2020 年 11 月の後に、外部から取得したポリシーおよびアップロードしたポリシーをサポートしなくなります。