セキュリティーコンプライアンス (以降、コンプライアンスと呼びます) を測定するには、セキュリティーベンチマークまたはプロファイルを定義する一連のルール、そのベンチマークに対するコンプライアンスの測定 (評価と呼ばれます)、およびそれらの結果のレポートが必要です。また、レポートはトレーニングやアーカイブ目的でガイド形式で出力することもできます。
Oracle Solaris にはセキュリティーコンプライアンスを測定するための compliance コマンドがあります。このコマンドは、評価とレポートを生成、一覧表示、および削除できます。任意のユーザーがコンプライアンスレポートを表示できますが、評価を管理および生成する権利が必要です。詳細は、compliance コマンドを実行する権利および compliance(1M) のマニュアルページを参照してください。
compliance コマンドは、ローカルファイルのみをチェックします。使用しているシステムでファイルシステムをマウントする場合は、クライアントとサーバーのコンプライアンスを個別にテストする必要があります。たとえば、中央のサーバーからユーザーホームディレクトリをマウントする場合は、このコマンドをそのユーザーシステムとすべてのホームディレクトリサーバー上で実行します。
Oracle Solaris は、コンプライアンス評価とレポート生成を処理する 2 つの権利プロファイルを提供します。
Compliance Assessor 権利プロファイルを使用すると、ユーザーは評価の実行、レポート形式での評価ストアへの評価の格納、およびストアからの評価の削除ができます。
Compliance Reporter 権利プロファイルを使用すると、ユーザーは既存の評価を見つけて表示できます。
コンプライアンスサブコマンドには次の権利が必要です。
compliance assess コマンド – すべての権限と solaris.compliance.assess 承認が必要です。コンプライアンス評価者の権利プロファイルはこれらの権利を提供します。
compliance delete コマンド – 評価ストアへの書き込みアクセス権と solaris.compliance.assess 承認が必要です。コンプライアンス評価者の権利プロファイルはこれらの権利を提供します。
compliance list コマンド – 基本的な権利を持つユーザーであればだれでも実行できます。このコマンドはベンチマークおよび評価に対する完全な可視性を提供します。
compliance report コマンド – だれでも実行できますが、機能の範囲はそのユーザーの権利によって異なります。コンプライアンス評価者またはコンプライアンスレポータのプロファイルに割り当てられたユーザーは新しい評価を生成できます。すべてのユーザーは既存の評価を表示できますが、基本的な権利のみを持つユーザーは新しい評価を生成できません。
compliance tailor コマンド – Compliance Assessor プロファイルが割り当てられているユーザーが実行できます。
コンプライアンスルール、ベンチマーク、プロファイル、およびコマンドは、pkg:/security/compliance パッケージで入手できます。solaris-small-server および solaris-large-server パッケージグループは、このパッケージをインストールします。
パッケージグループについては、Oracle Solaris 11 セキュリティーと強化ガイドライン の Oracle Solaris OS のインストールを参照してください。
パッケージについては、Oracle Solaris 11.3 Package Group Listsを参照してください。
コンプライアンスパッケージの説明を表示するには、pkg info compliance コマンドを発行します。