1 SCAPについて

Security Content Automation Protocol (SCAP)は、セキュリティ標準に対するシステムのコンプライアンスを評価するための自動化および標準化された方法を提供します。SCAPは、システムの脆弱性の監視を自動化し、システムが連邦情報セキュリティ・マネジメント法(FISMA)などのセキュリティ・ポリシーに準拠していることを確認するのに役立ちます。SCAP標準の米国政府のコンテンツ・リポジトリは、アメリカ国立標準技術研究所(NIST)によって管理される脆弱性情報データベース(NVD)です。

すべてのSCAPファイルはXML形式でリリースされるため、簡単に解析でき、カスタム要件に対して変更できます。

OpenSCAP (OSCAP)は、セキュリティ・コンプライアンスのテストの基礎としてSCAP Security Guide (SSG)プロファイルを使用できるオープンソース・ユーティリティです。OSCAPユーティリティをOracle Linuxとともに使用して、コンプライアンス・テストを自動化できます。

OSCAPは、通常、セキュリティ設定チェックリスト記述形式(XCCDF)ファイルまたはSCAPデータ・ストリーム・ファイル内で使用可能なSCAP Security Guideプロファイルに対するシステムのスキャンを容易にします。XCCDFファイルには、特定のセキュリティ推奨事項または要件を満たすために適用できるセキュリティ構成ルールの構造化コレクションが含まれています。各XCCDFファイルには、様々なユースケースに適用される複数のプロファイルを含めることができます。プロファイルには、すべてのOracle Linuxインストールに適用される汎用セキュリティ推奨事項および特定のシステムの意図した使用方法に固有の追加セキュリティ推奨事項が含まれています。Oracle Linuxでの使用を意図した、一般的に使用されるXCCDFファイルはSCAPパッケージに含まれており、インストール後すぐに使用できます。XCCDFプロファイルは、システムのセキュリティ構成が、国防情報システム局(DISA)によってリリースされたセキュリティ技術導入ガイド(STIG)と一致しているかどうかを評価し、特定の推奨事項に従ってシステムを導入するのに役立つ修正ステップを提供するために使用されることがよくあります。

Oracle Linuxインストーラには、scap-security-guideパッケージで使用可能なXCCDFプロファイルで定義されている特定のセキュリティ・プロファイルまたはポリシーと一致するようにオペレーティング・システムをインストールするオプションも用意されています。インストール時にポリシーを適用することで、準拠したシステムが実行を開始することが可能です。詳細は、『Oracle Linux 8: Oracle Linuxのインストール』を参照してください。

OSCAPを使用すると、公開されている脆弱性または構成の問題に対してシステムが脆弱である可能性があるかどうかをテストするために使用されるOpen Vulnerability and Assessment Language (OVAL)定義ファイルに対してシステムを監査できます。Oracleは、Unbreakable Linux Network (ULN)上のすべての更新情報のOVAL定義をリリースします。

XCCDFプロファイルなどのSCAPアーティファクトは、単一のSCAPデータ・ストリーム・ファイルにバンドルできます。通常、ファイル名接尾辞.dsを使用して名前が付けられます。OSCAPは、XCCDFファイルと同様にデータ・ストリーム・ファイルを処理できます。Oracleでは、オーバーヘッドを削減し、最新の状態を維持できる外部リソースへの参照を含めることができるため、可能なかぎりデータ・ストリーム・ファイルを使用することをお薦めします。