1 SCAPについて
Security Content Automation Protocol (SCAP)は、セキュリティ標準に対するシステムのコンプライアンスを評価するための自動化および標準化された方法を提供します。 SCAPは、脆弱性に対するシステムの監視を自動化し、連邦情報セキュリティ管理法(FISMA)などのセキュリティ・ポリシーに準拠していることを確認するのに役立ちます。 SCAP標準の米国政府のコンテンツ・リポジトリは、アメリカ国立標準技術研究所(NIST)によって管理される脆弱性情報データベース(NVD)です。
すべてのSCAPファイルはXML形式でリリースされるため、カスタム要件の解析と変更が容易になります。
OpenSCAP (OSCAP)はオープン・ソース・ユーティリティで、SCAPセキュリティ・ガイド(SSG)プロファイルをセキュリティ・コンプライアンスのテストの基礎として使用できます。 OSCAPユーティリティをOracle Linuxとともに使用して、コンプライアンス・テストを自動化できます。
OSCAPは、SCAPセキュリティ・ガイド・プロファイルに対してシステムをスキャンします。SCAPセキュリティ・ガイド・プロファイルは、通常、XCCDFファイルまたはSCAPデータ・ストリーム・ファイル内で使用できます。 XCCDFファイルには、特定のセキュリティ推奨事項または要件を満たすために適用できるセキュリティ構成ルールの構造化コレクションが含まれています。 各XCCDFファイルには、様々なユースケースに適用される複数のプロファイルを含めることができます。 プロファイルには、すべてのOracle Linuxインストールに適用される一般的なセキュリティ推奨事項と、特定のシステムの意図した使用に固有の追加のセキュリティ推奨事項が含まれています。 Oracle Linuxでの使用を意図した、一般的に使用されるXCCDFファイルはSCAPパッケージに含まれており、インストール後すぐに使用できます。 XCCDFプロファイルは、システムのセキュリティ構成が、国防情報システム機関(DISA)によってリリースされたセキュリティ技術導入ガイド(STIG)と一致しているかどうかを評価し、特定の推奨事項を実装するための修正ステップを提供するために使用されます。
Oracle Linuxインストーラには、scap-security-guideパッケージで使用可能なXCCDFプロファイルで定義されている特定のセキュリティ・プロファイルまたはポリシーと一致するようにOSをインストールするオプションもあります。 インストール中にポリシーを適用することで、システムが動作開始時に準拠していることを確認できます。 詳細は、『Oracle Linux 9: Oracle Linuxのインストール』を参照してください。
OSCAPを使用して、Open Vulnerability and Assessment Language (OVAL)定義ファイルに対してシステムを監査し、システムが既知の脆弱性や構成の問題に対して脆弱であるかどうかをテストできます。 Oracleは、Unbreakable Linux Network (ULN)上のすべての更新情報のOVAL定義をリリースします。
XCCDFプロファイルなどのSCAPアーティファクトは、通常、ファイル名接尾辞.dsを持つ単一のSCAPデータ・ストリーム・ファイルにバンドルできます。 OSCAPは、XCCDFファイルと同様にデータ・ストリーム・ファイルを処理できます。 データ・ストリーム・ファイルは、オーバーヘッドを削減し、最新の状態に保つことができる外部リソースへの参照を含めることができるため、可能なかぎり使用することをお薦めします。
Oracle Linux 9以降では、scap-security-guideパッケージは、評価の実行に必要なすべてのアーティファクトを含むデータ・ストリーム・ファイルを優先して、冗長OVALおよびXCCDFファイルを除外します。