Red Hat Training

A Red Hat training course is available for Red Hat Satellite

第5章 セキュリティーコンプライアンス管理

セキュリティーコンプライアンス管理は、セキュリティーポリシーの定義、それらのポリシーへのコンプライアンスの監査、および非コンプライアンスのインスタンスの解決などを行う継続的なプロセスです。セキュリティーポリシーが定義されると、ポリシーへのコンプライアンスを検証するために監査が行われます。非コンプライアンス状況は、組織の設定管理ポリシーに基づいて管理されます。セキュリティーポリシーは、ホスト固有のものから業界共通のものまで、その範囲は多岐に及びます。そのため、ポリシーは柔軟に定義することが求められます。
Security Content Automation Protocol (SCAP) は、セキュリティー設定ポリシーの定義を有効にします。たとえば、セキュリティーポリシーは、Red Hat Enterprise Linux を実行するホストの場合に SSH 経由のログインを root アカウントに許可しないように指定することができるかもしれません。Satellite 6 では、OpenSCAP プロジェクトで使用されるツールは、セキュリティーコンプライアンスの監査を実施するために使用されます。OpenSCAP についての詳細は、Red Hat Enterprise Linux 7 セキュリティーガイド を参照してください。Satellite Web UI を使用して、Red Hat Satellite の管理下にあるすべてのホストに対してスケジュールされるコンプライアンス監査およびレポート作成を実行できます。
以下の仕様が OpenSCAP でサポートされています。
  • XCCDF: Extensible Configuration Checklist Description Format (バージョン 1.2)
  • OVAL: Open Vulnerability and Assessment Language (バージョン 5.11)
  • Asset Identification (バージョン 1.1)
  • ARF: Asset Reporting Format (バージョン 1.1)
  • CCE: Common Configuration Enumeration (バージョン 5.0)
  • CPE: Common Platform Enumeration (バージョン 2.3)
  • CVE: Common Vulnerabilities and Exposures
  • CVSS: Common Vulnerability Scoring System (バージョン 2.0)

5.1. SCAP について

5.1.1. SCAP コンテンツ

SCAP コンテンツは、ホストのチェックに使用される設定およびセキュリティーベースラインが含まれるデータストリーム形式のコンテンツです。チェックリストは extensible checklist configuration description format (XCCDF) および open vulnerability and assessment language (OVAL) の脆弱性に記述されます。ルール としても知られるチェックリスト項目は、システム項目の必要な設定を表します。たとえば、どのユーザーも root ユーザーアカウントを使用して SSH 経由でホストにログインできないように指定することができます。ルールは 1 つ以上の プロファイル に分類でき、複数のプロファイルで 1 つのルールを共有できるようにすることができます。SCAP コンテンツはルールとプロファイルの両方で構成されています。
SCAP コンテンツは、作成することも、ベンダーから取得することも可能です。Red Hat Enterprise Linux 用にサポートされるプロファイルは scap-security-guide パッケージで提供されます。SCAP コンテンツの作成については本ガイドで扱いませんが、独自のコンテンツをダウンロードし、デプロイし、変更し、作成する方法についての詳細は、Red Hat Enterprise Linux 7 セキュリティーガイド または Red Hat Enterprise Linux 6 セキュリティーガイド を参照してください。Red Hat Enterprise Linux と共に提供される SCAP コンテンツは SCAP 仕様 1.2 に準拠しています。
Satellite 6 の OpenSCAP コンポーネントと共に提供されるデフォルトの SCAP コンテンツは、Red Hat Enterprise Linux のバージョンによって異なります。
  • Red Hat Enterprise Linux 6 には、Red Hat Enterprise Linux 6 のコンテンツがインストールされています。
  • Red Hat Enterprise Linux 7 には、Red Hat Enterprise Linux 6 および Red Hat Enterprise Linux 7 の両方のコンテンツがインストールされています。

5.1.2. XCCDF プロファイル

XCCDF プロファイルは、ホストまたはホストグループの評価に使用されるチェックリストです。プロファイルは通常、業界標準またはカスタム標準かにかかわらず、標準への準拠を確認するために作成されます。
利用可能なプロファイルを一覧表示するには、Satellite Web UI を開いた後に、ホストPolicies (ポリシー) に移動し、関連するポリシーの横にあるドロップダウンリストから 編集 を選択し、SCAP コンテンツ タブを選択します。次に、関連のある SCAP コンテンツ を選択してから XCCDF プロファイル ドロップダウンリストで利用可能なプロファイルを閲覧できます。
Satellite 6 で提供されるプロファイルは、https://fedorahosted.org/scap-security-guide でホストされる SCAP セキュリティーガイドプロジェクトから取得できます。

5.1.3. コンプライアンスポリシー

コンプライアンスポリシー としても知られるスケジュールされる監査は、XCCDF プロファイルに対して指定したホストのコンプライアンスをチェックするスケジュールタスクです。スキャンが実行されるスケジュールは Satellite Server で指定されますが、スキャン自体はホストで実行されます。スキャンが完了すると、Asset Reporting File (ARF) が XML 形式で生成され、Satellite Server にアップロードされます。スキャンの結果はコンプライアンスポリシーダッシュボードで確認できます。コンプライアンスポリシーはスキャンされるホストを変更しません。OpenSCAP コンテンツには、いくつかのプロファイルと関連付けられたルールが含まれますが、デフォルトでポリシーは含まれません。