第8章 OpenSCAP を使用したコンプライアンスおよび脆弱性のスキャン
8.1. Red Hat Enterprise Linux におけるセキュリティーコンプライアンス
コンプライアンス監査 は、指定したオブジェクトが、コンプライアンスポリシーに記載されているすべてのルールに従っているかどうかを判断するプロセスです。コンプライアンスポリシー は、コンピューティング環境で使用される必要な設定を指定するセキュリティー専門家が定義します(多くの場合、チェックリストの形式を取ります)。
コンプライアンスポリシーは組織により大幅に異なることがあり、同一組織内でもシステムが異なるとポリシーが異なる可能性があります。ポリシーは、システムの目的や、組織におけるシステム重要性により異なります。カスタマイズしたソフトウェア設定や導入の特徴によっても、カスタマイズしたポリシーのチェックリストが必要になってきます。
Red Hat Enterprise Linux は、完全に自動化されたコンプライアンス監査を可能にするツールを提供します。このツールは SCAP (Security Content Automation Protocol) 規格に基づいており、コンプライアンスポリシーの自動化に合わせるように設計されています。
Red Hat Enterprise Linux 6 でサポートされるセキュリティーコンプライアンスツール
- OpenSCAP - oscap コマンドラインユーティリティーは、ローカルシステムで構成スキャンと脆弱性スキャンを実行するように設計されています。これにより、セキュリティーコンプライアンスのコンテンツを検証し、スキャンおよび評価に基づいてレポートおよびガイドを生成します。
- Script Check Engine(SCE) - SCE は SCAP プロトコルの拡張機能で、コンテンツ作成者は Bash、Python、Ruby などのスクリプト言語を使用してセキュリティーコンテンツを記述できるようにします。SCE 拡張機能は、openscap-engine-sce パッケージで提供されます。
- SCAP Security Guide(SSG) - scap-security-guide パッケージは、Linux システム向けの最新のセキュリティーポリシーコレクションを提供します。
複数のリモートシステムで自動コンプライアンス監査を実行する必要がある場合は、Red Hat Satellite 用の OpenSCAP ソリューションを利用できます。詳細は 「Red Hat Satellite での OpenSCAP の使用」 およびを参照してください 「その他のリソース」。
注記
Red Hat は、Red Hat Enterprise Linux 6 ディストリビューションに加えて、デフォルトのコンプライアンスポリシーを提供しないことに注意してください。この理由については、で説明してい 「コンプライアンスポリシーの定義」 ます。