第6章 セキュリティーコンプライアンスの管理

セキュリティーコンプライアンス管理は、セキュリティーポリシーの定義、それらのポリシーへのコンプライアンスの監査、およびコンプライアンス違反のインスタンスの解決などを行う継続的なプロセスです。コンプライアンス違反は、組織の設定管理ポリシーに基づいて管理されます。セキュリティーポリシーは、ホスト固有のものから業界共通のものまでに及ぶため、ポリシー定義には柔軟性が必要になります。

6.1. セキュリティーコンテンツの自動化プロトコル

Satellite 6 では、Security Content Automation Protocol (SCAP) を使ってセキュリティー設定ポリシーを定義します。たとえば、セキュリティーポリシーは、Red Hat Enterprise Linux を実行するホストの場合に SSH 経由のログインを root アカウントに許可しないように指定することが可能です。Satellite 6 では、管理対象の全ホストについて、コンプライアンスの監査とレポーティングをスケジュールすることができます。SCAP についての詳細は、Red Hat Enterprise Linux 7 セキュリティーガイド を参照してください。

6.1.1. SCAP コンテンツ

SCAP コンテンツは、ホストのチェックに使用される設定およびセキュリティーベースラインが含まれるデータストリーム形式のコンテンツです。チェックリストは extensible checklist configuration description format (XCCDF) および open vulnerability and assessment language (OVAL) の脆弱性に記述されます。ルール とも呼ばれるチェックリスト項目は、システム項目の必要な設定を表します。たとえば、どのユーザーも root ユーザーアカウントを使用して SSH 経由でホストにログインできないように指定することができます。ルールは 1 つ以上のプロファイルに分類でき、複数のプロファイルで 1 つのルールを共有できるようにすることができます。SCAP コンテンツはルールとプロファイルの両方で構成されています。

SCAP コンテンツは、作成することも、ベンダーから取得することも可能です。サポート対象のプロファイルは、Red Hat Enterprise Linux の scap-security-guide パッケージで提供されます。SCAP コンテンツの作成については本ガイドで扱いませんが、独自のコンテンツをダウンロード、デプロイ、変更、作成する方法については、『Red Hat Enterprise Linux 7 セキュリティーガイド』を参照してください。

Satellite 6 の OpenSCAP コンポーネントとともに提供されるデフォルトの SCAP コンテンツは、Red Hat Enterprise Linux のバージョンによって異なります。Red Hat Enterprise Linux 7 には、Red Hat Enterprise Linux 6 と Red Hat Enterprise Linux 7 の両方のコンテンツがインストールされます。

6.1.2. XCCDF プロファイル

XCCDF プロファイルは、ホストまたはホストグループの評価に使用されるチェックリストです。プロファイルは、業界標準またはカスタム標準への準拠を確認するために作成されます。

Satellite 6 で提供されるプロファイルは、OpenSCAP project から取得できます。

6.1.2.1. 利用可能な XCCDF プロファイルの一覧表示

Satellite UI で、利用可能な XCCD プロファイルを一覧表示します。

手順

  • ホスト > SCAP コンテンツ に移動します。

6.2. SCAP コンテンツの設定

6.2.1. OpenSCAP Puppet モジュールのインポート

OpenSCAP コンテンツを Puppet 環境にインポートするには、監査する各ホストを Satellite UI で Puppet 環境に関連付ける必要があります。

手順

  1. 設定 > 環境 に移動します。
  2. satellite.example.com からの環境のインポート をクリックします。

  3. 監査するホストに関連付けられた Puppet 環境のチェックボックスを選択します。

    Puppet 環境が存在しない場合は、production 環境のチェックボックスを選択します。

  4. 更新 をクリックします。

6.2.2. デフォルト OpenSCAP コンテンツのロード

CLI で、デフォルトの OpenSCAP コンテンツをロードします。

手順

  • 以下のように foreman-rake コマンドを使用します。 

    # foreman-rake foreman_openscap:bulk_upload:default

6.2.3. 追加の SCAP コンテンツ

追加の SCAP コンテンツは、各自で作成したものか他から取得したものかを問わず、Satellite Server にアップロードできます。SCAP コンテンツは、ポリシーに適用される前に Satellite Server にインポートされる必要があります。たとえば、Red Hat Enterprise Linux 7.2 リポジトリーで利用可能な scap-security-guide RPM パッケージには、Payment Card Industry Data Security Standard (PCI-DSS) バージョン 3 向けのプロファイルが含まれます。このコンテンツは、オペレーティングシステムのバージョン固有ではないため、Red Hat Enterprise Linux 7.2 を実行していない場合でも Satellite Server にアップロードできます。

6.2.3.1. 追加の SCAP コンテンツのアップロード

Satellite web UI で追加の SCAP コンテンツをアップロードします。

手順

  1. ホスト > SCAP コンテンツ に移動して、新規 SCAP コンテンツ をクリックします。

  2. タイトル テキストボックスにタイトルを入力します。

    例: RHEL 7.2 SCAP コンテンツ.

  3. ファイルの選択 をクリックしてから、SCAP コンテンツファイルが含まれるロケーションに移動し、開く を選択します。
  4. 送信 をクリックします。

SCAP コンテンツファイルが正常にロードされると、Successfully created RHEL 7.2 SCAP Content (RHEL 7.2 SCAP コンテンツが正常に作成されました) といったメッセージが表示され、SCAP コンテンツ のリストに新規のタイトルが含まれます。

6.3. コンプライアンスポリシーの管理

6.3.1. コンプライアンスポリシー

コンプライアンスポリシー とも呼ばれる定期監査は、XCCDF プロファイルに対して指定したホストのコンプライアンスをチェックするスケジュールタスクです。スキャンのスケジュールは Satellite Server で指定され、スキャンはホストで実行されます。スキャンが完了すると、Asset Reporting File (ARF) が XML 形式で生成され、Satellite Server にアップロードされます。スキャンの結果はコンプライアンスポリシーダッシュボードで確認できます。コンプライアンスポリシーでは、スキャンされるホストに変更はなされません。SCAP コンテンツには、関連付けられたルールのあるいくつかのプロファイルが含まれますが、デフォルトではポリシーは含まれません。

6.3.2. コンプライアンスポリシーの作成

Satellite Web UI で、コンテンツホストがセキュリティーに準拠しているかどうかを調べるコンプライアンスポリシーを作成します。

前提条件

手順

  1. ホスト > ポリシー に移動して、新規ポリシー をクリックし、ウィザードの手順に従います。
  2. ポリシーの名前、説明 (オプション) を入力してから 次へ をクリックします。
  3. 適用する SCAP コンテンツおよび XCCDF プロファイルを選択してから 次へ をクリックします。

  4. ポリシーを適用する時間を指定してから 次へ をクリックします。

    期間 のドロップダウンメニューから、毎週毎月、または カスタム を選択します。

    • 毎週 を選択したら 平日 ドロップダウンリストから曜日を選択します。
    • 毎月 を選択したら 日付 フィールドで日付を指定します。

    • カスタム を選択したら Cron 行 フィールドに有効な Cron 式を入力します。

      Custom オプションでは、毎週 もしくは 毎月 オプションよりもスケジュールに柔軟性を持たせることができます。

  5. ポリシーを適用するロケーションを選択してから 次へ をクリックします。
  6. ポリシーを適用する組織を選択してから 次へ をクリックします。
  7. ポリシーを適用するホストグループを選択してから 送信 をクリックします。

Puppet エージェントが選択したホストグループに属するホスト、またはポリシーが適用されているホストで実行される場合、OpenSCAP クライアントがインストールされ、Cron ジョブがポリシーの指定されたスケジュールとともに追加されます。SCAP コンテンツ タブでは、すべてのターゲットホストのディレクトリー /var/lib/openscap/content/ に配信される SCAP コンテンツの名前を指定します。

6.3.3. コンプライアンスポリシーの表示

特定の OpenSCAP コンテンツおよびプロファイルの組み合わせ別に適用されるルールをプレビューできます。これは、ポリシーを計画する場合に便利です。

Satellite Web UI で、コンプライアンスポリシーを表示します。

手順

  1. ホスト > ポリシー に移動します。
  2. ガイドの表示 をクリックします。

6.3.4. コンプライアンスポリシーの編集

Satellite Web UI で、コンプライアンスポリシーを編集します。

手順

  1. ホスト > ポリシー に移動します。
  2. ポリシーの名前の右側にあるドロップダウンリストから、編集 を選択します。
  3. 必要な属性を編集します。
  4. 送信 をクリックします。

編集されたポリシーは、次に Puppet エージェントが Satellite Server で更新をチェックする際にホストに適用されます。これはデフォルトで 30 分ごとに実行されます。

6.3.5. コンプライアンスポリシーの削除

Satellite Web UI で、既存のポリシーを削除します。

  1. ホスト > ポリシー に移動します。
  2. ポリシーの名前の右側にあるドロップダウンリストから、削除 を選択します。
  3. 確認メッセージで OK をクリックします。

6.3.6. コンプライアンスポリシーのホストへの追加

セキュリティーコンプライアンスのチェックの対象とするホストまたはホストグループに、ポリシーを追加する必要があります。

Satellite Web UI で、ポリシーを 1 つ以上のホストに追加します。

  1. ホスト > すべてのホスト に移動します。
  2. ポリシーを追加するホストを選択します。
  3. アクションの選択 をクリックします。
  4. リストから コンプライアンスポリシーの割り当て を選択します。
  5. 新規パネルで、利用可能なポリシー一覧から適切なポリシーを選択し 送信 をクリックします。

6.4. テーラリングファイル

テーラリングファイルを使うと、既存の OpenSCAP ポリシーを分岐したり書き換えたりせずにカスタマイズすることができます。テーラリングファイルは、ポリシー作成時や更新時にポリシーに割り当てることができます。

テーラリングファイルは SCAP Workbench を使用して作成することができます。SCAP Workbench ツールについての詳細は、Customizing SCAP Security Guide for your use-case を参照してください。

6.4.1. テーラリングファイルのアップロード

Satellite web UI でテーラリングファイルをアップロードします。

手順

  1. ホスト > コンプライアンス - テーラリングファイル に移動して、新規 テーラリングファイル をクリックします。
  2. 名前 テキストボックスに、名前を入力します。
  3. ファイルの選択 をクリックしてから、SCAP DataStream テーラリングファイルが含まれるロケーションに移動し、開く を選択します。
  4. 送信 をクリックして、選択したテーラリングファイルをアップロードします。

6.4.2. テーラリングファイルのポリシーへの割り当て

Satellite web UI でテーラリングファイルをポリシーに割り当てます。

手順

  1. ホスト > コンプライアンス - ポリシー に移動します。
  2. 新規ポリシー、または既存のコンプライアンスポリシーがある場合は、新規コンプライアンスポリシー をクリックします。
  3. 名前 テキストボックスに名前を入力して 次へ をクリックします。
  4. ドロップダウンメニューから Scap コンテンツ を選択します。
  5. ドロップダウンメニューから XCCDF プロファイル を選択します。
  6. ドロップダウンメニューから テーラリングファイル を選択します。

  7. ドロップダウンメニューから テーラリングファイル内の XCCDF プロファイル を選択します。

    テーラリングファイルは複数の XCCDF プロファイルを含めることが可能なため、XCCDF プロファイルの選択が重要になります。

  8. 次へ をクリックします。
  9. ドロップダウンメニューから 期間 を選択します。
  10. ドロップダウンメニューから 平日 を選択して、次へ をクリックします。
  11. 選択したアイテム ウィンドウに移動させる ロケーション を選択して、次へ をクリックします。
  12. 選択したアイテム ウィンドウに移動させる 組織 を選択して、次へ をクリックします。
  13. 選択したアイテム ウィンドウに移動させる ホストグループ を選択して、送信 をクリックします。

6.5. コンプライアンスのモニター

Red Hat Satellite 6 では、コンプライアンスを一元化してモニタリング、管理できます。コンプライアンスダッシュボードには、ホストのコンプライアンスの概要が表示され、そのポリシーの範囲内にある各ホストの詳細を表示する機能が提供されます。コンプライアンスレポートでは、適用可能なポリシーを使用して、各ホストのコンプライアンスの詳細を分析します。この情報を使用して、各ホストが提示するリスクを評価し、ホストがコンプライアンスを満たすために必要なリソースを管理できます。

SCAP を使用してコンプライアンスをモニターする際の共通の目的には以下が含まれます。

  • ポリシーコンプライアンスの表示
  • コンプライアンスの変更の検知

6.5.1. コンプライアンスポリシーダッシュボード

コンプライアンスポリシーダッシュボードでは、ホストのコンプライアンスの統計的な概要が表示され、そのポリシーの範囲内にある各ホストの詳細を表示できます。コンプライアンス違反として評価されたすべてのホストについては、Failed の統計から、コンプライアンスタスクの優先付けに便利なメトリクスが提供されます。Never audited として検出されたホストも、ステータスが不明なため、優先する必要があります。

Compliance Policy Dashboard

6.5.2. コンプライアンスポリシーダッシュボードの表示

Satellite Web UI を使用して、コンプライアンスポリシーダッシュボードでポリシーコンプライアンスを検証します。

手順

  1. Satellite web UI で、ホスト > ポリシー に移動します。

  2. 必要なポリシー名をクリックします。ダッシュボードに次の情報が提供されます。

    • ホストのポリシーコンプライアンスの状況を概要ビューで表示するリングチャート。
    • ホストのポリシーに関するコンプライアンス状況についての統計の内訳 (表形式)。
    • 各ホストの最新ポリシーレポートへのリンク

6.5.3. コンプライアンスのメール通知

Satellite Server は、Openscap policy summary のメール通知をサブスクライブしているすべてのユーザーに、OpenSCAP 概要メールを送信します。通知メールをサブスクライブする方法については、「E メール通知の設定」を参照してください。ポリシーが実行されるたびに、Satellite は直前の実行との比較で結果をチェックし、変更がないかどうかを確認します。メールは各サブスクライバーがリクエストする頻度で送信され、各ポリシーの概要と直近の結果の概要を提供します。

OpenSCAP の概要 メールメッセージには、以下の情報が含まれます。

  • 対象とする期間の詳細。
  • すべのホストの合計 (状況別): 変更済み、準拠、および非準拠。
  • 各ホストの表形式の内訳と、合格、失敗、変更済み、または結果が不明な場合などのルールの合計を含む最新ポリシーの結果。

6.5.4. コンプライアンスレポート

コンプライアンスレポートには、ホストに対するポリシー実行の結果が出力されます。各レポートには、ポリシーごとの合格または不合格のルールの合計数が含まれます。デフォルトでは、レポートは日付の降順にリストされます。

Satellite Web UI で、ホスト > レポート に移動して、すべてのコンプライアンスレポートを一覧表示します。

コンプライアンスレポートは以下のエリアで構成されます。

  • 概要
  • Evaluation Characteristics (評価特性)
  • Compliance and Scoring (コンプライアンスおよびスコアリング)
  • Rule Overview (ルールの概要)

Evaluation Characteristics (評価特性)

Evaluation Characteristics (評価特性) エリアでは、評価されたホスト、評価に使用されたプロファイル、および評価の開始と終了を含む、特定のプロファイルに対する評価についての詳細情報を提供します。参照用として ホストの IPv4、IPv6、および MAC アドレスも一覧表示されます。

名前説明

Target machine

評価対象ホストの完全修飾ドメイン名 (FQDN)。

test-system.example.com

Benchmark URL

ホストが評価された SCAP コンテンツの URL。

/var/lib/openscap/content/1fbdc87d24db51ca184419a2b6f

Benchmark ID

ホストが評価されたベンチマークの識別子。ベンチマークは、プロファイルのセットです。

xccdf_org.ssgproject.content_benchmark_RHEL_7

Profile ID

ホストが評価されたプロファイルの識別子。

xccdf_org.ssgproject_content_profile_rht-ccp

Started at

評価の開始日時 (ISO 8601 形式)。

2015-09-12T14:40:02

Finished at

評価の終了日時 (ISO 8601 形式)。

2015-09-12T14:40:05

Performed by

ホストで評価を実行したローカルアカウントの名前。

root

Compliance and Scoring (コンプライアンスおよびスコアリング)

Compliance and Scoring (コンプライアンスおよびスコアリング) エリアでは、ホストがプロファイルのルールに準拠しているかどうかの概要、重大度別の非コンプライアンスの内訳、およびパーセンテージで示される全体のコンプライアンススコアを示します。ルールへのコンプライアンスがチェックされなかった場合には、ルール結果 フィールドで その他 として分類されます。

Rule Overview (ルールの概要)

Rule Overview (ルールの概要) エリアでは、階層的なレイアウトで示されるルールと、すべてのルールの詳細とコンプライアンスの結果を示します。

コンプライアンスレポートに組み込まれるルールの一覧を制限するためにチェックボックスを選択したり、クリアしたりします。たとえば、非コンプライアンスを重点的にレビューする場合には、pass および informational チェックボックスをクリアします。

すべてのルールを検索するには、検索 フィールドに条件を入力します。検索は、入力時に動的に適用されます。検索 フィールドは、単一のプレーンテキストの検索用語のみを受け入れ、それは大文字と小文字を区別しない検索に適用されます。検索の実行時には、説明が検索条件に一致するルールのみが一覧表示されます。検索フィルターを削除するには、検索条件を削除します。

各結果の説明については、結果 コラムに示されるステータスの上にカーソルを移動します。

6.5.5. ホストのコンプライアンス違反の調査

Satellite Web UI を使用して、ホストがルールのコンプライアンス違反をした理由を特定します。

手順

  1. Satellite Web UI で、ホスト > レポート に移動して、すべてのコンプライアンスレポートを一覧表示します。
  2. 個々のレポートの詳細を表示するには、特定のホストの行で レポートの表示 をクリックします。

  3. 詳細を確認するには、ルールのタイトルをクリックします。

    • ルールの説明。可能な場合は、ホストがコンプライアンスを満たすための指示を含みます。
    • ルールの根拠。
    • 場合により、修復スクリプト。
警告

推奨される修復操作やスクリプトのいずれについても、まず実稼働以外の環境でテストしてから実装するようにしてください。

6.5.6. コンプライアンスレポートの検索

コンプライアンスレポートの検索フィールドを使用して、任意のホストのサブセットに関して入手可能なレポート一覧を絞り込みます。

手順

  • フィルターを適用するには、検索 フィールドに検索クエリーを入力し、検索 をクリックします。検索クエリーでは大文字と小文字は区別されません。

ユースケースの検索

  • 以下の検索クエリーでは、6 つ以上のルールに合格しなかったコンプライアンスレポートを検索します。 

    failed > 5

  • 以下の検索クエリーでは、ホスト名に prod- の文字が含まれるホストで、YYYY 年 1 月 1 日より後に作成されたコンプライアンスレポートが検索されます。 

    host ~ prod- AND date > "Jan 1, YYYY"

  • 以下の検索クエリーでは、 rhel7_audit コンプライアンスポリシーを使用して、1 時間前以降に生成されたすべてのレポートが検索されます。 

    "1 hour ago" AND compliance_policy = date = "1 hour ago" AND compliance_policy = rhel7_audit

  • 以下の検索クエリーでは、XCCDF ルールに合格のレポートが検索されます。 

    xccdf_rule_passed = xccdf_org.ssgproject.content_rule_firefox_preferences-auto-download_actions

  • 以下の検索クエリーは、XCCDF ルールに不合格のレポートが検索されます。 

    xccdf_rule_failed = xccdf_org.ssgproject.content_rule_firefox_preferences-auto-download_actions

  • 以下の検索クエリーは、結果が XCCDF ルールに合格または不合格以外のレポートが検索されます。 

    xccdf_rule_othered = xccdf_org.ssgproject.content_rule_firefox_preferences-auto-download_actions

追加情報

  • 空の 検索 フィールドをクリックすると、利用可能な検索パラメーターが一覧表示されます。
  • andnot および has の論理演算子を使用すると複雑なクエリーを作成することができます。論理演算子の詳細については、「詳細な検索に対してサポートされる演算子」を参照してください。
  • 正規表現は検索クエリーで使用できませんが、単一の検索式に複数のフィールドを使用できます。利用可能なすべての検索演算子については、「詳細な検索に対してサポートされる演算子」を参照してください。
  • 検索をブックマークすると、同じ検索クエリーを再利用できます。詳細は 「ブックマークの作成」を参照してください。

6.5.7. コンプライアンスレポートの削除

コンプライアンスレポートを削除するには、次の手順を実行します。

  1. Satellite Web UI で、ホスト > レポート に移動します。
  2. コンプライアンスレポートウィンドウで、削除するポリシーを特定し、ポリシーの名前の右側にある 削除 を選択します。
  3. OK をクリックします。

6.5.8. 複数のコンプライアンスレポートの削除

複数のコンプライアンスポリシーを同時に削除できます。ただし、Satellite Web UI では、コンプライアンスポリシーはページ分割されているため、レポートを 1 ページずつ削除する必要があります。すべての OpenSCAP レポートを削除する場合は、『Red Hat Satellite API ガイド』の「OpenSCAP レポートの削除」セクションのスクリプトを使用します。

  1. Satellite Web UI で、ホスト > レポート に移動します。
  2. コンプライアンスレポートウィンドウで、削除するコンプライアンスレポートを選択します。
  3. リストの右上の レポートの削除 を選択します。
  4. 削除するページ数だけ、この手順を繰り返します。

6.6. OpenSCAP でサポートされる仕様

以下の仕様が OpenSCAP でサポートされています。

タイトル説明バージョン

XCCDF

Extensible Configuration Checklist Description Format

1.2

OVAL

Open Vulnerability and Assessment Language

5.11

-

Asset Identification

1.1

ARF

Asset Reporting Format

1.1

CCE

Common Configuration Enumeration

5.0

CPE

Common Platform Enumeration

2.3

CVE

Common Vulnerabilities and Exposures

-

CVSS

Common Vulnerability Scoring System

2.0