Oracle Linux STIGイメージ
Oracle Linux STIGイメージは、セキュリティ技術導入ガイド(STIG)に従ったOracle Linuxの実装です。
Oracle Linux STIGイメージはOracle Cloud Marketplaceから起動されます。マーケットプレイスで、Oracle Linux STIGリストを検索し、目的のプロファイルを含むOracle Linux STIGイメージを選択します。
STIGイメージを使用すると、米国国防情報システム局(DISA)によって定められた特定のセキュリティ標準と要件に準拠するOracle LinuxインスタンスをOracle Cloud Infrastructureに構成できます。
- STIGとは何ですか?
- STIGコンプライアンスの評価方法
- コンプライアンス・ターゲット
- 改善の適用
- コンプライアンスのためのインスタンスの再スキャン
- Oracle Linux STIG画像の改訂履歴
Oracle Linux STIGイメージは最新のセキュリティ更新情報を使用して定期的に更新されています。このドキュメントは、STIGベンチマークが変更されると常に更新されます。またセキュリティ・ガイダンスの変更のためにイメージの手動構成が必要になったときにも更新されます。各リリースで行われた特定の変更については、Oracle Linux STIG画像の改訂履歴を参照してください。
Oracle Linux STIGイメージ・インスタンスに対して行う変更(他のアプリケーションのインストールや構成設定の変更など)が、コンプライアンス・スコアに影響を与える可能性があります。変更を行ったら、インスタンスを再スキャンしてコンプライアンスを確認します
STIGとは何ですか?
セキュリティ技術導入ガイド(STIG)は、米国国防情報システム局(DISA)によって記述されたドキュメントです。これは、米国国防総省(DoD)のITネットワーク・システム内のデプロイメントに対するサイバーセキュリティ要件を満たすシステムの構成に関するガイダンスを提供します。STIG要件は、インフラストラクチャとネットワークのセキュリティに重点を置いて脆弱性を軽減することで、サイバーセキュリティの脅威からネットワークを保護するのに役立ちます。STIGに準拠することは、DoD機関(DoD情報ネットワーク(DoDIN)の一部である任意の組織)の要件です。
Oracle Linux STIGイメージは、標準のOracle Linuxイメージの強化されたバージョンを提供することで、コンプライアンスの自動化に役立ちます。このイメージは、STIGガイドラインに準拠するように強化されています。ただし、イメージはすべてのSTIG要件を満たすことができず、追加の手動修正が必要になる場合があります。
最新のSTIGのダウンロード
DISAは、四半期ごとにSTIGの更新を提供します。このドキュメントは、公開時に入手可能な最新のSTIGを使用して作成されました。ただし、システムを評価するときは、常に最新のSTIGを使用する必要があります。
最新のSTIGは、https://public.cyber.mil/stigs/downloads/からダウンロードしてください。Oracle Linuxを検索し、適切なzipファイルをダウンロードします。
オプションで、https://public.cyber.mil/stigs/srg-stig-tools/にあるDISA STIG Viewerを使用します。その後、STIGのxccdf.xmlファイルをインポートしてSTIGルールを表示します。
STIGコンプライアンスの評価方法
多くの場合、コンプライアンス評価は、Security Content Automation Protocol (SCAP)コンプライアンス・チェッカ・ツールを使用したスキャンから開始します。このツールは、(SCAP形式でアップロードされた) STIGを使用して、システムのセキュリティを分析します。ただし、ツールは常にSTIG内のすべてのルールをテストするわけではなく、一部のSTIGにはSCAPバージョンがない場合があります。このような場合、監査人は、ツールでカバーされていないSTIGルールを調査することによって、システムのコンプライアンスを手動で確認する必要がある。
コンプライアンス評価の自動化には、次のツールを使用できます。
-
SCAPコンプライアンス・チェッカ(SCC): DISA STIGベンチマークまたはOpenSCAPアップストリーム・プロファイルのいずれかを使用して評価を実行できる、DISAによって開発されたツール。通常、DISA STIGベンチマークは、SCCツールを使用する際のコンプライアンス・スキャンに使用されます。
重要
Armアーキテクチャ(aarch64)をスキャンするには、SCCバージョン5.5以上を使用する必要があります。 -
OpenSCAP: DISA STIGベンチマークまたはOpenSCAPアップストリーム・プロファイルのいずれかを使用して評価を実行できる、yumを介して使用可能な オープンソース・ユーティリティ。Oracle Linuxは、システム・リリース固有のプロファイルを含むSCAPセキュリティ・ガイド(SSG)パッケージを配布します。たとえば、SSGパッケージによって提供されるSCAPデータストリームの
ssg-ol7-ds.xmlファイルには、DISAS STIG for Oracle Linux 7プロファイルが含まれています。OpenSCAPツールを使用する利点の1つは、SSGによって、修正を自動化し、システムを準拠状態にするためのBashまたはAnsibleスクリプトが提供されることです。注意
スクリプトを使用した自動修正によって、望ましくないシステム構成が発生したり、システムが機能しなくなる可能性があります。修正スクリプトを非本番環境でテストします。
コンプライアンスのツールの実行およびスキャン・レポートの生成の詳細は、コンプライアンスのためのインスタンスの再スキャンを参照してください。
コンプライアンス・ターゲット
Oracle Linux STIGイメージには、DISA STIGベンチマークで対処されていないルールに関する追加の修正が含まれています。DISA STIG for Oracle Linuxと連携したSSG "STIG"プロファイルを使用して、以前に追加されていないルールの自動化を拡張し、完全なDISA STIGに対するコンプライアンスを決定します。
SCCおよびOpenSCAPからのスキャン結果に基づく2つのDISA STIG Viewerチェックリスト・ファイルがイメージとともに提供されます。DISA STIGベンチマークのチェックリストではSCCスキャン結果が使用されますが、SSG "STIG"プロファイルのチェックリストではOpenSCAPスキャン結果が使用されます。これらのチェックリストには、ガイダンスを満たさないイメージの領域に関するOracleによるコメントが含まれています。「チェックリストを使用した追加構成の表示」を参照してください。
DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較して、より限定されたルールの範囲が反映されます。しかし、SSGの「STIG」プロファイルは完全なDISA STIGを占め、画像のコンプライアンスをより包括的に評価します。
Oracle Linux 8
Oracle Linux 8 STIGイメージでは、DISAセキュリティ標準に準拠し、Oracle Linux 8 DISA STIGに従って強化されています。最新のOracle Linux 8 STIGイメージ・リリースでは、コンプライアンス・ターゲットはOracle Linux 8 Ver 2 Rel 4のDISA STIGです。yumを通じて入手可能なscap-security-guideパッケージ(最小0.1.76-1.0.3)には、Oracle Linux 8バージョン2リリース4用のDISAS STIGに準拠したSSG "STIG"プロファイルが含まれています。
- Oracle Linux 8.10 June 2025 STIGイメージのコンプライアンス情報:
-
目標: Oracle Linux 8バージョン2リリース4用のDISAS STIGに準拠したSSG "STIG"プロファイル
- x86_64のチェックリスト・コンプライアンス・スコア: 79.94%
- aarch64のチェックリスト・コンプライアンス・スコア: 79.87%
目標: Oracle Linux 8バージョン2リリース4のDISA STIGプロファイル
- x86_64のチェックリスト・コンプライアンス・スコア: 84.26%
- aarch64のチェックリスト・コンプライアンス・スコア: 84.26%
Oracle Linux 7 (拡張サポート)
Oracle Linux 7 STIGイメージは、DISAセキュリティ標準に準拠しており、Oracle Linux 7 DISA STIGに従って強化されています。最新のOracle Linux 7 STIGイメージ・リリースで、コンプライアンス・ターゲットはDISAS STIGバージョン3リリース1に移行しました。yumで使用可能なscap-security-guideパッケージ(最小0.1.73-1.0.3)には、Oracle Linux 7バージョン3リリース1のDISA STIGに合せたSSG "STIG"プロファイルが含まれています。
- Oracle Linux 7.9 2025年2月のSTIGイメージのコンプライアンス情報:
-
目標: Oracle Linux 7バージョン3リリース1用のDISAS STIGに準拠したSSG "STIG"プロファイル
- チェックリスト・コンプライアンス・スコアx86_64: 81.65%
- チェックリスト・コンプライアンス・スコアaarch64: 81.65%
目標: DISA STIG for Oracle Linux 7 Ver 3、Rel 1ベンチマークプロファイル
- チェックリスト・コンプライアンス・スコアx86_64: 91.71%
- チェックリスト・コンプライアンス・スコアaarch64: 91.71%
ノート
DISAのSTIG標準は、Oracle Linux 7 Ver 3、Rel 1およびOracle Linux 7 Ver 2、Rel 14の間では、文言以外に大きな変更はありませんでした。このため、Oracle Linux 7 Ver 2、Rel 14に準拠しているシステムは、Oracle Linux 7 Ver 3、Rel 1にも準拠しています。
インスタンスの作成および接続
インスタンスの作成およびインスタンスへのアクセスを参照してください。
使用可能なイメージは次のとおりです:
詳細情報
Oracle Linux STIGイメージの追加情報は、次のリソースを参照してください。
-
米国国防総省Webリソース(https://public.cyber.mil/)
-
DISA STIGおよびSCAPのカタログは、次のリソースを参照してください:
-
STIGカタログ(https://public.cyber.mil/stigs/)。
-
SCAPカタログ(https://public.cyber.mil/stigs/scap/)。
-