| Oracle Enterprise Manager Application Configuration Console PCIコンプライアンス リリース5.3.2 B56957-01 |
|
 戻る |
 次へ |
| Oracle Enterprise Manager Application Configuration Console PCIコンプライアンス リリース5.3.2 B56957-01 |
|
戻る |
次へ |
この章では、Application Configuration ConsoleのPCIコンプライアンス自動化モジュールのインストール方法と、インストールされるコンポーネントについて説明します。
Windows環境のPCIコンプライアンスでは、Windows Resource Extensions(WRE)がインストールされていることが必要です。WREはApplication Configuration Console製品のアドインです。このアドインによって、WindowsサーバーからWindows構成データを抽出し、Application Configuration Consoleでアセットを作成できます。これを実行するため、サーバーはプロキシ・サービスに接続します。このサービスは次にターゲット・マシンでVisual Basicスクリプトを実行して、データを抽出し、それをApplication Configuration Consoleサーバーを通してクライアントに戻します。
Windows用のPCIコンプライアンスは同様に機能し、プロキシ・サービスを使用することでスクリプトをターゲット・マシンに対して実行し、PCIアセットを作成します。
WREのインストールおよび設定の詳細は、Application Configuration Consoleインストレーション・ガイドを参照してください。WREの詳しい説明と使用方法については、Windows Resource Extensionsのオンライン・ヘルプを参照してください。
重要
旧リリースのWREをインストール済の場合でも、この前提条件を満たすリリース5.3.2をインストールする場合でも、PCIスクリプトのセットをプロキシ・サービス・ホストに次のように解凍する必要があります。
配布媒体の次のルート・フォルダに移動します。
\extensions
WindowsRE.zipファイルを開いて内容を公開します。
プロキシ・サービス・ホスト上の次の場所にwindows_pci_scripts.zipを解凍します。
proxyroot\OpenSSH\mValentScripts
この操作は、PCI監視機能をWindows環境で動作させるために必要です。次に、PCIコンプライアンス自動化モジュールのインストールに進みます。
自動化モジュールをインストールするには、Application Configuration Consoleサーバーを起動してから、クライアントを起動して管理者グループのメンバーとしてログインする必要があります。
PCIコンプライアンス自動化モジュールのJARファイルをサーバーのホスト・システムにコピーします。
クライアントで、メニュー・バーから「管理」→「拡張機能のインストール」を選択します。
拡張機能のインストールのダイアログ・ボックスが開きます。
拡張タイプとして「automation」を選択します。
「参照」をクリックして、ファイルシステム内のJARファイルの場所を特定します。
「OK」をクリックして自動化モジュールをインストールします。
自動化モジュール機能はインストール後にすぐ使用できます。Application Configuration Consoleサーバーまたはクライアントを再起動する必要はありません。
インストールにはWindows、LinuxおよびSolarisのソリューションが含まれます。つまり、各プラットフォーム用のリソース仕様および補足的な監査ディクショナリのセットが存在します。PCIリソース仕様およびディクショナリはすべて、ナビゲータ・ビューの個々のフォルダ内に表示されます。
「システム」→「リソース仕様」→「PCI_AUDIT_AUTOMATION_MODULE」
「システム」→「プロパティ・ディクショナリ」
リソース仕様は、Application Configuration Consoleのアセットが作成される元となる、外部システム上のリソースを識別します。PCIコンプライアンス自動化モジュールは、セキュリティ関連の構成データを抽出するためにリモート・ホストで実行されるコマンドおよびスクリプトを定義する、コマンド・リソース仕様を使用します。組織は次に、抽出されたデータから作成されたアセットを監査して、その設定がPCIコンプライアンスの推奨設定と一致するかどうかを調べます。
監査ディクショナリは、Security Standards Councilで定義されている各種のPCI標準から導出された名前と値のペアの一覧です。適切な場合には、構成設定を検証する対象の監査ディクショナリを指定するメタデータが、コマンド・リソース定義に含まれます。コンプライアンスについてアセットを監査すると、構成設定は適切なディクショナリと比較されて、次のような結果が生じる場合があります。
コマンド・リソース定義で指定されたとおりのディクショナリが存在せず、構成の監査が行われません。
ディクショナリ内のプロパティが構成で欠落しています。
構成のプロパティ値が、ディクショナリの予測値と異なります。
PCIアセット構成のすべてが、監査ディクショナリに対して検証されるわけではありません。これらの場合は、情報が予想どおりに変化しますが、コンプライアンスを表す設定値は存在しません。指定されたリソース仕様から、セキュリティ監査全体の一部として自動的に監視できるアセットが生じることで十分です。
Windows用のコマンド・リソース仕様は、セキュリティに関連する各種のオペレーティング・システム設定を抽出します。このカテゴリには7つのリソース仕様があります。
単一のコマンド・リソース定義からなる6つの仕様
前述の7つのコマンド・リソース定義の中で、補足ディクショナリを保有する3つを融合する1つの仕様
これらのコマンド・リソース定義は、アセットの作成時にXMLマッピングを使用します。インストール・プログラムはコマンド・リソース定義内のリモート・スクリプト・パスを、プロキシ・サービスをホスティングするマシンに設定します。コマンドライン引数は事前に定義されています。これらの値は、Oracleテクニカル・サポートやプロフェッショナル・サービスの担当者の指示がないかぎり、編集しないでください。
表2-1はWindowsのPCIコマンド・リソース仕様を示しています。Windowsの場合、コマンド・リソース定義と監査ディクショナリ(適用可能な場合)は、リソース仕様と同じ名前になります。
表2-1 WindowsのPCIリソース仕様とサポートされている要件
| リソース仕様 | PCIルール | 説明 |
|---|---|---|
|
|
2.2.2-3 |
各種のWindows Server 2003のオペレーティング・システム設定を列挙します。 コンピュータ・システム・サマリー オペレーティング・システム・サマリー 論理ディスク環境 各種起動コマンド サービス |
|
|
2.2.3 11.5 |
『Windows Server 2003 Hardening Guide』で推奨されているファイルの事前定義済リストでNTFS権限を列挙します。 |
|
|
2.2.3 8.5.9-14 10.2.3 10.5.1 10.7 |
グループ・ポリシー・オブジェクトで適用されているセキュリティ設定を列挙します。 |
|
|
2.2.3 |
グループ・ポリシー・オブジェクト(「セキュリティ・オプション」セクション)で設定され、Windows Server 2003に適用されているセキュリティ固有のレジストリ・キーおよびその値を列挙します。 |
|
|
6.1 |
セキュリティ関連のインストール済のホットフィックスをすべて列挙します。 |
|
|
8.1 |
Windows Server 2003上の既存のローカル・ユーザーおよびグループのアカウントを列挙します。 |
|
|
2.2.3 8.5.9-14 10.2-3 10.5.1 10.7 11.5 |
前述のリソース仕様の3つを融合します。 |
PCI_Win32_ComplianceComboのリソース仕様は、次の3つのリソース仕様の組合せになります。
PCI_Win32_FilePermissions
PCI_Win32_RSOP_SecurityInfo
PCI_Win32_RegistryKeys_GPOSecurityOptions
これらは3つの構成からなる1つのアセットを作成し、構成にはそれぞれ、検証対象となる同じ名前の補足的な監査ディクショナリがあります。つまり、コンプライアンスの観点では、それぞれ1つの構成からなる3つのアセットか、3つの構成からなる1つのアセットを作成するというオプションがあります。これは単に好みの問題です。
Windows監査ディクショナリは次の標準ドキュメントに基づいています。
『Payment Card Industry Data Security Standard』リリース1.1
『Windows Server 2003 Hardening Guide』
Center for Internet Securityの『Windows Server 2003 Operating System Legacy, Enterprise, and Specialized Security Benchmark Consensus Security Settings for Domain Member Servers』リリース2.0
Linux用のコマンド・リソース仕様は、セキュリティに関連する各種のオペレーティング・システム設定を抽出します。このカテゴリには4つのリソース仕様があります。
それぞれが補足ディクショナリを保有する8つのコマンド・リソース定義からなる、1つの全目的型のLinux OS仕様
それぞれが単一のコマンド・リソース定義を保有するが補足ディクショナリは保有しない、3つの特化した仕様
これらのコマンド・リソース定義は、アセットの作成時にJavaプロパティ・マッピングを使用します。リモート・スクリプト・パスとコマンドライン引数は事前に定義されています。これらの値は、Oracleテクニカル・サポートやプロフェッショナル・サービスの担当者の指示がないかぎり、編集しないでください。
Linux監査ディクショナリは『Payment Card Industry Data Security Standard』リリース1.1に基づいています。
表2-2は、8つのコマンド・リソース定義および補足的な監査ディクショナリが存在する、PCI_Linuxリソース仕様を示しています。
表2-2 PCI_Linuxのコマンド・リソース定義とサポートされている要件
| リソース定義/監査ディクショナリ | PCIルール | 説明 |
|---|---|---|
|
|
10.5.5 |
権限と、所有者およびグループのステータスを次のようなログに抽出します。 var/log/boot.logvar/log/btmpvar/log/cron |
|
|
7.1 |
権限と、所有者およびグループのステータスを、アクセスをatおよび etc/at.allowetc/cron.allowetc/cron/deny |
|
|
8.5 |
権限と、所有者およびグループのステータスを、ユーザー・アカウントの情報が含まれる次のようなファイルに抽出します。 etc/groupetc/gshadowetc/passwdetc/shadow |
|
|
8.5.9-10 |
次のようなパスワード関連情報を抽出します。 パスワードの最大使用日数 パスワードの有効期限前の警告日数 パスワードの変更にかかる最小日数 |
|
|
8.5.10 |
既存のアカウントにおける空のパスワードについてレポートします。 |
|
|
7.1 |
権限と、所有者およびグループのステータス、その日のメッセージなどのシステム表示情報が含まれるファイルのサイズを抽出します。 |
|
|
2.2.2 |
Telnet、FTPなどのシステム・サービスに対する実行レベル情報をレポートします。 |
|
|
1.3 |
TCPラッパー・サポートによってコンパイルされるサービスについてレポートします。 |
Solaris用のコマンド・リソース仕様は、セキュリティに関連する各種のオペレーティング・システム設定を抽出します。このカテゴリには4つのリソース仕様があります。
それぞれが補足ディクショナリを保有する12のコマンド・リソース定義からなる、1つの全目的型のSolaris OS仕様
それぞれが単一のコマンド・リソース定義を保有するが補足ディクショナリは保有しない、3つの特化した仕様
これらのコマンド・リソース定義は、アセットの作成時にJavaプロパティ・マッピングを使用します。リモート・スクリプト・パスとコマンドライン引数は事前に定義されています。これらの値は、Oracleテクニカル・サポートやプロフェッショナル・サービスの担当者の指示がないかぎり、編集しないでください。
Solaris監査ディクショナリは『Payment Card Industry Data Security Standard』リリース1.1に基づいています。
表2-3は、12のコマンド・リソース定義および補足的な監査ディクショナリが存在する、PCI_Solarisリソース仕様を示しています。
表2-3 PCI_Solarisのコマンド・リソース定義とサポートされている要件
| リソース定義/監査ディクショナリ | PCIルール | 説明 |
|---|---|---|
|
|
7.1 |
権限と、所有者およびグループのステータスを、アクセスをatおよび etc/at.allowetc/cron.allowetc/cron/deny |
|
|
8.5 |
権限と、所有者およびグループのステータスを、ユーザー・アカウントの情報が含まれる次のようなファイルに抽出します。 etc/groupetc/gshadowetc/passwdetc/shadow |
|
|
8.5.10 |
既存のアカウントにおける空のパスワードについてレポートします。 |
|
|
7.1 |
権限と、所有者およびグループのステータス、その日のメッセージなどのシステム表示情報が含まれるファイルのサイズを抽出します。 |
|
|
10.5.5 |
権限と、所有者およびグループのステータスを次のようなログに抽出します。 var/adm/boot.logvar/adm/last.logvar/adm/secure |
|
|
10.5.5 |
権限と、所有者およびグループのステータスを次のようなログに抽出します。 var/cronvar/samba |
|
|
10.5.5 |
権限と、所有者およびグループのステータスを次のようなログに抽出します。 var/log/syslogvar/log/rpmpkgs |
|
|
10.5.5 |
権限と、所有者およびグループのステータスを |
|
|
10.5.5 |
権限と、所有者およびグループのステータスを |
|
|
10.5.5 |
権限と、所有者およびグループのステータスを |
|
|
8.5.9 |
次のようなパスワード関連情報を抽出します。 パスワードが必要かどうか 許可されているログイン再試行の数 使用されている UMASK値 |
|
|
8.5.9-10 |
次のようなパスワード関連情報を抽出します。 パスワードの最短の長さ パスワードの変更にかかる最小時間 パスワードが有効となる最大時間 |
表2-4は、3つの特化したリソース仕様とそのコマンド・リソース定義を示しています。これらの定義のための補足ディクショナリはありません。
表2-4 その他のSolarisのリソース仕様とサポートされている要件
| リソース仕様/リソース定義 | PCIルール | 説明 |
|---|---|---|
|
|
2.1 |
匿名、ゲストなどの制限が必要なデフォルト・ログインについてレポートします。 |
|
|
7.1 |
|
|
|
7.1 |
スティッキ・ビットが設定されていない、全ユーザーが書込み可能なディレクトリについてレポートします。 |
第3章では、指定されたリソース仕様を使用してPCIアセットを作成する方法を説明します。
