Red Hat Training

A Red Hat training course is available for Red Hat Satellite

第6章 OpenSCAP

SCAP とは、 企業レベルの Linux インフラストラクチャを対象としたソリューションのチェックを行う標準コンプライアンスを指します。 NIST (National Institute of Standards and Technology) によって管理されている企業向けシステムのシステムセキュリティ保守に関する一連の規格になります。
Red Hat Network Satellite Server 5.5 では、 SCAP が OpenSCAP アプリケーションによって実装されます。 OpenSCAP は XCCDF (Extensible Configuration Checklist Description Format) を利用する監査ツールになります。 XCCDF はチェックリストの内容を表す標準的な方法で、 セキュリティチェックリストを定義します。 また、 CPE、 CCE、 OVAL などの他種類の規格を組み合わせて、 SCAP 検証された製品で処理が可能な SCAP 表現のチェックリストも作成します。

6.1. OpenSCAP の特長

OpenSCAP では Red Hat セキュリティレスポンスチーム (SRT) が提供するコンテンツを使ってパッチの有無を確認し、 システムのセキュリティ構成の設定をチェック、 標準や規格に基づいたルールでセキュリティ侵害の兆候がないかを検査します。
OpenSCAP を効率的に使用するための要件が 2 つあります。
  • システム検証ツールが標準であること
    Red Hat Network Satellite サーバーは 5.5 版から OpenSCAP を監査機能として統合しています。 これにより Web インタフェースを使ったシステムのコンプライアンススキャンをスケジュールして表示させることが可能になります。
  • SCAP のコンテンツ
    SCAP のコンテンツは、 少なくとも XCCDF か OVAL を理解していればゼロから作成することができます。 代わりに別のオプションもあります。 XCCDF のコンテンツはオープンソースライセンスで頻繁にオンライン公開されるため、 ニーズに合わせてこのコンテンツをカスタマイズすることもできます。

    注記

    Red Hat ではテンプレートを使用したシステム評価に対応しています。 ただし、 こうしたテンプレートのカスタムなコンテンツオーサリングについては対応していません。
    こうしたグループの例をいくつか示します。
    • The United States Government Configuration Baseline (USGCB) - RHEL5 デスクトップ向け — っ米国連邦機関内のデスクトップ向け公式 SCAP コンテンツです。 OVAL を使用し、 Red Hat, Inc および国防総省 (DoD) との協同のもと NIST で開発されました。
    • コミュニティ提供によるコンテンツ
      • SCAP Security Guide - RHEL6 向け — アクティブなコミュニティにより運営されるコンテンツで、 USGCB 要件や広く認められているポリシーをソースとし、 デスクトップやサーバー、 FTP サーバーなどのプロファイルが含まれています。
      • OpenSCAP コンテンツ - RHEL6 向け — Red Hat Enterprise Linux 6 のオプションチャンネルから取得できる openscap-content パッケージでは、 テンプレートを使った Red Hat Enterprise Linux 6 システム向けのデフォルトコンテンツのガイダンスを提供しています。
SCAP はシステムセキュリティの保守を目的として作成されたため、 使用される標準はコミュニティや企業ビジネスなどのニーズに対応するため継続的に変化していきます。 整合性があり繰り返しが可能なリビジョンのワークフローを提供するため、 新しい規格は NIST の SCAP リリースサイクル で管理されています。