5.2. 設定コンプライアンススキャン

特定の組織が定義した基準に準拠させるために、設定コンプライアンススキャンを使用します。たとえば、決済処理業者の場合は、システムを Payment Card Industry Data Security Standard (PCI-DSS) に準拠させることができます。システムセキュリティーを強化するためにスキャンを実行することもできます。

SCAP Security Guide パッケージに含まれる Security Content Automation Protocol (SCAP) コンテンツに従ってください。このコンテンツは、対象となるコンポーネントに対する Red Hat のベストプラクティスに準拠しているためです。

SCAP Security Guide パッケージは、SCAP 1.2 および SCAP 1.3 標準規格に準拠するコンテンツを提供します。openscap scanner ユーティリティーは、SCAP Security Guide パッケージで提供される SCAP 1.2 および SCAP 1.3 コンテンツの両方と互換性があります。

SCAP Security Guide スイートは、データストリームドキュメントという形式で、複数のプラットフォームのプロファイルを提供しています。データストリームは、定義、ベンチマーク、プロファイル、および個々のルールが含まれるファイルです。各ルールでは、コンプライアンスの適用性と要件を指定します。RHEL は、セキュリティーポリシーを扱う複数のプロファイルを提供します。Red Hat データストリームには、業界標準の他に、失敗したルールの修正に関する情報も含まれます。データストリームが使用するコンプライアンススキャンリソースの構造は以下のとおりです。

Data stream
   ├── xccdf
   |      ├── benchmark
   |            ├── profile
   |            |    ├──rule reference
   |            |    └──variable
   |            ├── rule
   |                 ├── human readable data
   |                 ├── ocil reference
   ├── ocil          ├── cpe reference
   └── cpe           └── remediation

プロファイルは、PCI-DSS や Health Insurance Portability and Accountability Act (HIPAA) などのセキュリティーポリシーに基づく一連のルールです。プロファイルを選択したら、そのプロファイルへの準拠を確認するためにシステムの自動監査を実行できます。

プロファイルを変更 (テーラリング) して、パスワードの長さなど、特定のルールをカスタマイズすることもできます。