Oracle Solaris は、Solaris と PCI DSS という 2 つの標準のコンプライアンススクリプトを提供します。CIS (Center for Internet Security) は個別に、Oracle Solaris に対するサードパーティーベンチマークを提供しています。また、テーラリングと呼ばれる、セキュリティーベンチマークおよびプロファイルに基づいたカスタマイズされた評価を作成することもできます。
Solaris セキュリティーポリシーベンチマークは、Oracle Solaris の「デフォルトでのセキュリティー強化」 (secure by default、SBD) のデフォルトインストールに基づく標準です。
このベンチマークには、Baseline と Recommended という 2 つのプロファイルが用意されています。
Solaris ベンチマークの Baseline プロファイルは、Oracle Solaris のデフォルトの SBD インストールと厳密に一致します。
Recommended プロファイルは、Baseline プロファイルより厳格なセキュリティー要件を持つ組織を満足させます。Recommended プロファイルに準拠するシステムは、Baseline プロファイルにも準拠します。
SBD を構成する機能については、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の デフォルトでのセキュリティー強化 (Secure By Default) 構成の使用およびOracle Solaris 11 セキュリティーと強化ガイドライン の Oracle Solaris 構成可能セキュリティーで説明されています。
Solaris ベンチマークは、Oracle Solaris 用の PCI DSS、CIS、または DISA-STIG (Defense Information Systems Agency-Security Technical Information Guides) ベンチマークの要件を満たしません。
PCI DSS セキュリティーポリシーベンチマークは、主要なデビットカードやクレジットカードのカード所有者情報を処理する組織のための機密情報セキュリティー標準です。この標準は PCI SSC (Payment Card Industry Security Standards Council) で定義されています。その目的はクレジットカードの不正使用を削減することです。
Oracle Solaris システムでは、構成が PCI DSS 標準に準拠している必要があります。コンプライアンスレポートは失敗したテストと成功したテストを示し、改善する手順を提供します。PCI DSS の要件の中にはこのソフトウェアに直接対応していないものもあるため、コンプライアンスレポートを検査したあと、この標準に準拠するための追加タスクを実行する必要があります。詳細は、Oracle Solaris 11 での PCI DSS コンプライアンス準拠のドキュメントを参照してください。
CIS 標準化機構は、その Oracle Solaris ベンチマークのための自動化されたコンプライアンスチェックツールを提供しています。CIS ツールの使用コストを確認するには、CIS に問い合わせてください。それらのツールを Microsoft Windows システム上で使用して Oracle Solaris コンプライアンスをチェックできます。
セキュリティーポリシーベンチマークおよびプロファイルからテーラリングを作成できます。テーラリングでは、サイトにある特定のシステムのセキュリティーポリシーを検証するために、評価をカスタマイズします。これらのカスタマイズされた評価を作成するには、既存のベンチマーク、プロファイル、またはテーラリングにルールを含めるか、または除外します。テーラリングを使用してシステムを評価するには、ソースベンチマークだけでなくテーラリングもインストールする必要があります。詳細は、セキュリティーベンチマークと Oracle Solarisおよびコンプライアンスベンチマークからのテーラリングの作成を参照してください。