付録E Red Hat Virtualization のセキュリティー保護

国防情報システム局 (DISA: Defense Information Systems Agency) は、さまざまなプラットフォームおよびオペレーティングシステム向けにセキュリティー技術導入ガイド (STIG: Security Technical Implementation Guide) を配布しています。

Red Hat Virtualization Host (RHVH) のインストールに際して、利用可能なセキュリティーポリシーの 1 つに DISA STIG for Red Hat Linux 7 プロファイルがあります。インストール時にこのプロファイルをセキュリティーポリシーとして有効にすると、SSH キー、SSL 証明書を再生成する必要がなくなります。有効にしない場合は、デプロイメントプロセスでホストを再生成する必要があります。

DISA STIG は、DOD IA および IA 対応デバイス/システムの設定標準です。DISA は 1998 年以降、セキュリティー技術導入ガイド (STIG: Security Technical Implementation Guide) を提供することで、国防総省 (DoD: Department of Defense) のセキュリティーシステムの Security Posture を強化する上で重大なロールを果たしてきました。STIG には、悪意あるコンピューター攻撃に対して脆弱である可能性のある情報システム/ソフトウェアを 'ロックダウン' するテクニカルガイダンスが含まれています。

これらの STIG は、米国標準技術局 (NIST: National Institute of Standards and Technology) Special Publication 800-53 (NIST SP 800-53) がまとめた要件に基づくものです。NIST SP 800-53 とは、国家安全保障に関わるもの以外のすべての米連邦政府情報システムに関するセキュリティー管理のガイドラインです。

さまざまなプロファイルの中から重複するものを判断するため、Red Hat では、Cloud Security Alliance の Cloud Controls Matrix (CCM) を参照しています。この CCM は、クラウド固有のセキュリティー制御の包括的なセットを指定し、主要な標準、ベストプラクティス、および規制の要件にそれぞれをマッピングします。

Red Hat では、セキュリティーポリシーの検証をサポートするため、RHEL や RHV を含むさまざまな Red Hat プラットフォームに OpenSCAP ツールおよびセキュリティー設定共通化手順 (SCAP: Security Content Automation Protocol) プロファイルを提供しています。

Red Hat の OpenSCAP プロジェクトは、SCAP ベースラインを評価、査定、および実施するために、管理者および監査担当者にオープンソースツールを提供します。OpenSCAP は 2014 年に、NIST の SCAP 1.2 で認証されるようになりました。

NIST は SCAP 標準を保守します。SCAP 準拠のプロファイルは、オペレーティングシステムおよびアプリケーションのセキュリティー設定に関するローレベルの詳細なガイダンスを提供します。

Red Hat は、さまざまな製品およびプラットフォームの SCAP ベースラインを以下に公開しています。