5.2. 設定コンプライアンススキャン

5.2.1. RHEL の設定コンプライアンス
リンクのコピー

設定コンプライアンススキャンを使用して、特定の組織で定義されているベースラインに準拠できます。たとえば、決済処理業者の場合は、システムを Payment Card Industry Data Security Standard (PCI-DSS) に準拠させる必要がある可能性があります。設定コンプライアンススキャンを実行して、システムセキュリティーを強化することもできます。

Red Hat は、対象コンポーネント向けの Red Hat のベストプラクティスに従っているため、SCAP Security Guide パッケージで提供される Security Content Automation Protocol (SCAP) コンテンツに従うことを推奨します。

SCAP Security Guide パッケージは、SCAP 1.2 および SCAP 1.3 標準規格に準拠するコンテンツを提供します。openscap scanner ユーティリティーは、SCAP Security Guide パッケージで提供される SCAP 1.2 および SCAP 1.3 コンテンツの両方と互換性があります。

重要

設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。

SCAP Security Guide スイートは、データストリームドキュメントの形式で、複数のプラットフォームのプロファイルを提供します。データストリームは、定義、ベンチマーク、プロファイル、および個々のルールが含まれるファイルです。各ルールでは、コンプライアンスの適用性と要件を指定します。RHEL は、セキュリティーポリシーを扱う複数のプロファイルを提供します。Red Hat データストリームには、業界標準の他に、失敗したルールの修正に関する情報も含まれます。

コンプライアンススキャンリソースの構造

Data stream
   ├── xccdf
   |      ├── benchmark
   |            ├── profile
   |            |    ├──rule reference
   |            |    └──variable
   |            ├── rule
   |                 ├── human readable data
   |                 ├── ocil reference
   ├── ocil          ├── cpe reference
   └── cpe           └── remediation

Data stream
   ├── xccdf
   |      ├── benchmark
   |            ├── profile
   |            |    ├──rule reference
   |            |    └──variable
   |            ├── rule
   |                 ├── human readable data
   |                 ├── ocil reference
   ├── ocil          ├── cpe reference
   └── cpe           └── remediation

Copy to Clipboard

Toggle word wrap

プロファイルは、PCI-DSS や Health Insurance Portability and Accountability Act (HIPAA) などのセキュリティーポリシーに基づく一連のルールです。これにより、セキュリティー標準規格に準拠するために、システムを自動で監査できます。

プロファイルを変更 (調整) して、パスワードの長さなどの特定のルールをカスタマイズできます。

プロファイルのカスタマイズの詳細は、autotailor を使用したセキュリティープロファイルのカスタマイズを参照してください。

5.2.2. OpenSCAP スキャン結果の例
リンクのコピー

OpenSCAP スキャンに適用されるデータストリームとプロファイル、およびシステムのさまざまなプロパティーに応じて、各ルールから特定の結果が生成される場合があります。以下に考えられる結果とその意味の簡単な説明を示します。

Pass: スキャンでは、このルールとの競合が見つかりませんでした。
Fail: スキャンで、このルールとの競合が検出されました。
Not checked: OpenSCAP はこのルールの自動評価を実行しません。システムがこのルールに手動で準拠しているかどうかを確認してください。
Not applicable: このルールは、現在の設定には適用されません。
Not selected: このルールはプロファイルには含まれません。OpenSCAP はこのルールを評価せず、結果にこのようなルールは表示されません。
Error: スキャンでエラーが発生しました。詳細は、--verbose DEVEL オプションを指定して oscap コマンドで確認できます。Red Hat カスタマーポータルでサポートケースを作成するか、Red Hat Jira の RHEL プロジェクトでチケットを作成します。
Unknown: スキャンで予期しない状況が発生しました。詳細は、--verbose DEVEL オプションを指定して oscap コマンドで確認できます。Red Hat カスタマーポータルでサポートケースを作成するか、Red Hat Jira の RHEL プロジェクトでチケットを作成します。

5.2.3. 設定コンプライアンスのプロファイルの表示
リンクのコピー

スキャンまたは修復にプロファイルを使用することを決定する前に、oscap info サブコマンドを使用してプロファイルをリスト表示し、詳細な説明を確認できます。

前提条件

openscap-scanner パッケージおよび scap-security-guide パッケージがインストールされている。

手順

SCAP Security Guide プロジェクトが提供するセキュリティーコンプライアンスプロファイルで利用可能なファイルをすべて表示します。
```
ls /usr/share/xml/scap/ssg/content/
```
```
$ ls /usr/share/xml/scap/ssg/content/
ssg-rhel10-ds.xml
```
Copy to Clipboard Toggle word wrap

oscap info サブコマンドを使用して、選択したデータストリームに関する詳細情報を表示します。データストリームを含む XML ファイルは、名前に -ds 文字列で示されます。Profiles セクションでは、利用可能なプロファイルと、その ID のリストを確認できます。

oscap info /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Profiles:
…
  Title: Australian Cyber Security Centre (ACSC) ISM Official - Top Secret
		Id: xccdf_org.ssgproject.content_profile_ism_o_top_secret
	Title: PCI-DSS v4.0.1 Control Baseline for Red Hat Enterprise Linux 10
		Id: xccdf_org.ssgproject.content_profile_pci-dss
	Title: Red Hat STIG for Red Hat Enterprise Linux 10
		Id: xccdf_org.ssgproject.content_profile_stig

…

Copy to Clipboard

Toggle word wrap

データストリームファイルからプロファイルを選択し、選択したプロファイルに関する追加情報を表示します。そのためには、oscap info に --profile オプションを指定した後に、直前のコマンドの出力で表示された ID の最後のセクションを指定します。たとえば、HIPPA プロファイルの ID は xccdf_org.ssgproject.content_profile_hipaa で、--profile オプションの値は hipaa です。
```
oscap info --profile hipaa /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
```
```
$ oscap info --profile hipaa /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
…
Profile
	Title: Health Insurance Portability and Accountability Act (HIPAA)

	Description: The HIPAA Security Rule establishes U.S. national standards to protect individuals' electronic personal health information that is created, received, used, or maintained by a covered entity.
…
```
Copy to Clipboard Toggle word wrap

5.2.4. 特定のベースラインによる設定コンプライアンスの評価
リンクのコピー

oscap コマンドラインツールを使用して、システムまたはリモートシステムが特定のベースラインに準拠しているかどうかを判断し、結果をレポートに保存できます。

前提条件

openscap-scanner パッケージおよび scap-security-guide パッケージがインストールされている。
システムが準拠する必要があるベースライン内のプロファイルの ID を知っている必要があります。ID を見つけるには、設定コンプライアンスのプロファイルの表示セクションを参照してください。

手順

ローカルシステムをスキャンして、選択したプロファイルへの準拠を評価し、スキャン結果をファイルに保存します。
```
oscap xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
```
```
$ oscap xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
```
Copy to Clipboard Toggle word wrap
以下のように置き換えます。
- <scan_report.html> は、oscap がスキャン結果を保存するファイル名に置き換えます。
- <profile_ID> は、システムが準拠する必要があるプロファイル ID (例: hipaa) に置き換えます。
オプション: リモートシステムをスキャンして、選択したプロファイルへの準拠を評価し、スキャン結果をファイルに保存します。
```
oscap-ssh <username>@<hostname> <port> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
```
```
$ oscap-ssh <username>@<hostname> <port> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
```
Copy to Clipboard Toggle word wrap
以下のように置き換えます。
- <username>@<hostname> は、リモートシステムのユーザー名とホスト名に置き換えます。
- <port> は、リモートシステムにアクセスできるポート番号です。
- <scan_report.html> は、oscap がスキャン結果を保存するファイル名に置き換えます。
- <profile_ID> は、システムが準拠する必要があるプロファイル ID (例: hipaa) に置き換えます。

5.2.5. 特定のベースラインを使用したコンテナーまたはコンテナーイメージのセキュリティーコンプライアンスの評価
リンクのコピー

コンテナーまたはコンテナーイメージが、Payment Card Industry Data Security Standard (PCI-DSS) や Health Insurance Portability and Accountability Act (HIPAA) などの特定のセキュリティーベースラインに準拠しているかどうかを評価できます。

前提条件

openscap-utils パッケージおよび scap-security-guide パッケージがインストールされている。
システムへの root アクセス権があります。

手順

コンテナーまたはコンテナーイメージの ID を見つけます。
1. コンテナーの ID を見つけるには、podman ps -a コマンドを入力します。
2. コンテナーイメージの ID を見つけるには、podman images コマンドを入力します。
コンテナーまたはコンテナーイメージがプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。
```
oscap-podman <ID> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
```
```
# oscap-podman <ID> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
```
Copy to Clipboard Toggle word wrap
以下のように置き換えます。
- <ID> は、コンテナーまたはコンテナーイメージの ID に置き換えます。
- <scan_report.html> は、oscap がスキャン結果を保存するファイル名に置き換えます。
- <profile_ID> は、システムが準拠する必要があるプロファイル ID (例: hipaa または pci-dss) に置き換えます。

検証

結果をブラウザーで確認します。以下に例を示します。
```
firefox <scan_report.html> &
```
```
$ firefox <scan_report.html> &
```
Copy to Clipboard Toggle word wrap

注記

notapplicable とマークされたルールは、ベアメタルおよび仮想化システムにのみ適用され、コンテナーまたはコンテナーイメージには適用されません。

5.2.1. RHEL の設定コンプライアンス
リンクのコピー

5.2.2. OpenSCAP スキャン結果の例
リンクのコピー

5.2.3. 設定コンプライアンスのプロファイルの表示
リンクのコピー

5.2.4. 特定のベースラインによる設定コンプライアンスの評価
リンクのコピー

5.2.5. 特定のベースラインを使用したコンテナーまたはコンテナーイメージのセキュリティーコンプライアンスの評価
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.2. 設定コンプライアンススキャン

5.2.1. RHEL の設定コンプライアンスリンクのコピーリンクがクリップボードにコピーされました!

5.2.2. OpenSCAP スキャン結果の例リンクのコピーリンクがクリップボードにコピーされました!

5.2.3. 設定コンプライアンスのプロファイルの表示リンクのコピーリンクがクリップボードにコピーされました!

5.2.4. 特定のベースラインによる設定コンプライアンスの評価リンクのコピーリンクがクリップボードにコピーされました!

5.2.5. 特定のベースラインを使用したコンテナーまたはコンテナーイメージのセキュリティーコンプライアンスの評価リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.2.1. RHEL の設定コンプライアンス
リンクのコピー

5.2.2. OpenSCAP スキャン結果の例
リンクのコピー

5.2.3. 設定コンプライアンスのプロファイルの表示
リンクのコピー

5.2.4. 特定のベースラインによる設定コンプライアンスの評価
リンクのコピー

5.2.5. 特定のベースラインを使用したコンテナーまたはコンテナーイメージのセキュリティーコンプライアンスの評価
リンクのコピー