第9章 セキュリティーコンプライアンスの管理
セキュリティーコンプライアンス管理は、セキュリティーポリシーを定義し、それらのポリシーに準拠しているかどうかシステムを監査し、非準拠のインスタンスを解決する継続的なプロセスです。コンプライアンス違反は、組織の設定管理ポリシーに基づいて管理されます。セキュリティーポリシーは、ホスト固有のものから業界共通のものまでに及ぶため、ポリシー定義には柔軟性が必要になります。
Satellite を使用すると、登録されているすべてのホストに対するコンプライアンスの監査とレポートをスケジュールできます。
9.1. Security Content Automation Protocol
Satellite は、Security Content Automation Protocol (SCAP) 標準を使用してセキュリティーポリシーを定義します。
SCAP は、XML ベースのいくつかの仕様 (Extensible Checklist Configuration description Format (XCCDF) で説明されているチェックリストや、Open Vulnerability and Assessment Language (OVAL) で説明されている脆弱性など) のフレームワークです。これらの仕様は、データストリーム ファイルとしてカプセル化されます。
XCCDF のチェックリスト項目 (ルール とも呼ばれます) は、システム項目の必要な設定を表します。たとえば、ルールによって、どのユーザーも root
ユーザーアカウントを使用して SSH 経由でホストにログインできないように指定できます。ルールは 1 つ以上の XCCDF プロファイル にグループ化できます。これにより、複数のプロファイルでルールを共有できます。
OpenSCAP スキャナーツールは、ホスト上のシステム項目をルールに照らして評価し、Asset Reporting Format (ARF) でレポートを生成します。このレポートは、モニタリングと分析のために Satellite に返されます。
表9.1 OpenSCAP スキャナーでサポートされる SCAP フレームワーク 1.3 の仕様
タイトル | 説明 | バージョン |
SCAP | Security Content Automation Protocol | 1.3 |
XCCDF | Extensible Configuration Checklist Description Format | 1.2 |
OVAL | Open Vulnerability and Assessment Language | 5.11 |
- | Asset Identification | 1.1 |
ARF | Asset Reporting Format | 1.1 |
CCE | Common Configuration Enumeration | 5.0 |
CPE | Common Platform Enumeration | 2.3 |
CVE | Common Vulnerabilities and Exposures | 2.0 |
CVSS | Common Vulnerability Scoring System | 2.0 |
関連情報
- SCAP の詳細は、OpenSCAP プロジェクト を参照してください。