8.3. 設定コンプライアンススキャン


8.3.1. RHEL 7 の設定コンプライアンス

設定コンプライアンススキャンを使用して、特定の組織で定義されているベースラインに準拠できます。たとえば、米国政府と協力している場合は、Operating System Protection Profile (OSPP) に準拠し、支払い処理業者の場合は Payment Card Industry Data Security Standard (PCI-DSS) に準拠しなければならない場合があります。設定コンプライアンススキャンを実行して、システムセキュリティーを強化することもできます。
Red Hat は、影響を受けるコンポーネントに対する Red Hat のベストプラクティスに従っているため、SCAP Security Guide パッケージで提供される Security Content Automation Protocol (SCAP) コンテンツに従うことを推奨します。
SCAP Security Guide パッケージは、SCAP 1.2 および SCAP 1.3 標準規格に準拠するコンテンツを提供します。openscap scanner ユーティリティーは、SCAP Security Guide パッケージで提供される SCAP 1.2 および SCAP 1.3 コンテンツの両方と互換性があります。
重要
設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。
SCAP セキュリティーガイドスイートは、データストリームのドキュメント形式で、複数のプラットフォームのプロファイルを提供します。データストリームは、定義、ベンチマーク、プロファイル、および個々のルールが含まれるファイルです。各ルールでは、コンプライアンスの適用性と要件を指定します。RHEL 7 は、セキュリティーポリシーを扱う複数のプロファイルを提供します。Red Hat データストリームには、業界標準の他に、失敗したルールの修正に関する情報も含まれます。

コンプライアンススキャンリソースの構造

Data stream
   ├── xccdf
   |      ├── benchmark
   |            ├── profile
   |                ├──rule
   |                    ├── xccdf
   |                         ├── oval reference
   ├── oval                  ├── ocil reference
   ├── ocil                  ├── cpe reference
   └── cpe                   └── remediation

このプロファイルは、OSPP (Operating System Protection Profile)、PCI-DSS (Payment Card Industry Data Security Standard) などのセキュリティーポリシーに基づく一連のルールです。これにより、セキュリティー標準規格に準拠するために、システムを自動で監査できます。
プロファイルを変更 (調整) して、パスワードの長さなどの特定のルールをカスタマイズできます。プロファイルの調整の詳細は、「SCAP Workbench を使用したセキュリティープロファイルのカスタマイズ」を参照してください
注記
コンテナーまたはコンテナーイメージをスキャンして設定のコンプライアンスを確認するには、「コンテナーおよびコンテナーイメージの脆弱性スキャン」 を参照してください。

8.3.2. OpenSCAP スキャン結果の例

システムのさまざまなプロパティーと、OpenSCAP スキャンに適用されるデータストリームおよびプロファイルによっては、ルールごとに固有の結果が生成されることがあります。以下は、考えられる結果のリストで、その意味を簡単に説明します。
表8.1 OpenSCAP スキャン結果の例
結果説明
Passスキャンでは、このルールとの競合が見つかりませんでした。
Failスキャンで、このルールとの競合が検出されました。
Not checkedOpenSCAP はこのルールの自動評価を実行しません。システムがこのルールに手動で準拠しているかどうかを確認してください。
Not applicableこのルールは、現在の設定には適用されません。
Not selectedこのルールはプロファイルには含まれません。OpenSCAP はこのルールを評価せず、結果にこのようなルールは表示されません。
Errorスキャンでエラーが発生しました。詳細は、--verbose DEVEL オプションを指定して oscap- scanner コマンドを入力できます。バグレポート を作成することを検討してください。
Unknownスキャンで予期しない状況が発生しました。詳細は、--verbose DEVEL オプションを指定して oscap- scanner コマンドを入力できます。バグレポート を作成することを検討してください。

8.3.3. 設定コンプライアンスのプロファイルの表示

スキャンまたは修復にプロファイルを使用することを決定する前に、それらを一覧表示し、oscap info サブコマンドを使用して詳細な説明を確認できます。

前提条件

  • openscap-scanner パッケージおよび scap-security-guide パッケージがインストールされている。

手順

  1. SCAP Security Guide プロジェクトが提供する設定コンプライアンスプロファイルで、利用可能なファイルをすべて一覧表示します。
    ~]$ ls /usr/share/xml/scap/ssg/content/
    ssg-firefox-cpe-dictionary.xml  ssg-rhel6-ocil.xml
    ssg-firefox-cpe-oval.xml        ssg-rhel6-oval.xml
    ...
    ssg-rhel6-ds-1.2.xml            ssg-rhel8-xccdf.xml
    ssg-rhel6-ds.xml
    ...
  2. oscap info サブコマンドを使用して、選択したデータストリームに関する詳細情報を表示します。データストリームを含む XML ファイルは、名前に -ds 文字列で示されます。Profiles セクションで、利用可能なプロファイルとその ID の一覧を確認できます。
    ~]$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
    ...
    Profiles:
    	Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7
    		Id: xccdf_org.ssgproject.content_profile_pci-dss
    	Title: OSPP - Protection Profile for General Purpose Operating Systems v. 4.2.1
    		Id: xccdf_org.ssgproject.content_profile_ospp
    ...
    
  3. データストリームファイルからプロファイルを選択し、選択したプロファイルに関する追加情報を表示します。これを行うには、--profile オプションと、前のコマンドの出力に表示される ID の接尾辞を指定して oscap info を使用します。たとえば、PCI-DSS プロファイルの ID は xccdf_org.ssgproject.content_profile_pci-dss で、--profile オプションの値は _pci-dss です。
    ~]$ oscap info --profile _pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
    ...
    Profile
    	Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7
    	Id: xccdf_org.ssgproject.content_profile_pci-dss
    
    	Description: Ensures PCI-DSS v3.2.1 related security configuration settings are applied.
    ...
  4. または、GUI を使用する場合は scap-security-guide-doc パッケージをインストールし、Web ブラウザーで file:///usr/share/doc/scap-security-guide-doc-0.1.46/ssg-rhel7-guide-index.html ファイルを開きます。Guide to the Secure Configuration of Red Hat Enterprise Linux 7 ドキュメントの右上のフィールドで必要なプロファイルを選択すると、後続の評価のために、関連するコマンドに ID がすでに含まれていることを確認できます。

関連情報

  • man ページの scap-security-guide (8) には、プロファイルの一覧も含まれています。

8.3.4. 特定のベースラインによる設定コンプライアンスの評価

システムが特定のベースラインに準拠しているかどうかを確認するには、次の手順に従います。

前提条件

  • openscap-scanner パッケージおよび scap-security-guide パッケージがインストールされている。
  • システムが準拠する必要があるベースライン内のプロファイルの ID を知っている必要があります。ID を見つけるには、「設定コンプライアンスのプロファイルの表示」を参照してください。

手順

  1. 選択したプロファイルでそのシステムがどのように複雑であるかを評価し、スキャン内容を保存すると、以下のように HTML ファイル (report.html) に結果が表示されます。
    ~]$ sudo oscap xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
  2. オプション: ホスト名 machine1、ポート 22 で実行されている SSH、およびユーザー名 joesec を使用してリモートシステムをスキャンし、脆弱性を確認して、結果を remote-report.html ファイルに保存します。
    ~]$ oscap-ssh joesec@machine1 22 xccdf eval --report remote_report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.