DBシステムのセキュリティ技術導入ガイド(STIG)ツール
この記事では、Oracle Linux 7を使用してプロビジョニングされたDBシステムのSTIGツール(Pythonスクリプト)について説明します。
セキュリティ技術導入ガイド(STIG)は、国防情報システム局(DISA)が記述したドキュメントで、国防総省(DoD)のITネットワーク・システム内での導入に関するサイバーセキュリティ標準を満たすシステムの構成に関するガイダンスを提供します。STIG要件は、インフラストラクチャとネットワークのセキュリティに重点を置いて脆弱性を軽減することで、サイバーセキュリティの脅威からネットワークを保護するのに役立ちます。
PythonスクリプトであるSTIGツールは、DISAのOracle Linux 7 STIGへのセキュリティ・コンプライアンスを保証するために使用されます。このツール:
- DB Systemのベース・イメージをOracle Linux 7 STIGに準拠させます。
- セキュリティ・コンプライアンス要件に対処するために必要な場合、プロビジョニング後にアクティブ化できる特定のSTIGルールをシステムに埋め込みます
-
埋込みルールを分類して、次のカテゴリ別にルールを表示およびモニターできるようにします:
- ベース・イメージに含まれる静的ルール。
- DoD米国を満たすために必要な場合に、プロビジョニング後にオプションでアクティブ化されるルール。国防総省のコンプライアンス標準、および
- ランタイム・ルール。必要に応じてプロビジョニング後にアクティブ化され、DBシステムのセキュリティを強化する必要があるすべてのユーザー(米国外部のユーザーを含む)によって使用されます。国防総省、
- ロールバック機能を提供し、DB Systemをスクリプトにより構成変更されていない状態にロールバックできるようにします
- コンプライアンス・チェック機能を提供し、DB Systemによって正常に渡されたルールの数を確認できるようにします
STIGツールの取得
STIGツールは、新しくプロビジョニングされたすべてのDBシステムに提供されます。STIGツールは、DB Systemノードの次のOSディレクトリの場所にあります: /opt/oracle/dcs/bin/dbcsstig
STIGツールの更新バージョンは、Oracle Technology Network (OTN).からダウンロード可能になりますDB Systemエージェントを更新する場合も、STIGツールの更新バージョンが提供されます。
STIGツールの使用
STIGツールには次の構文を使用します:
dbcsstig --<operation><category>たとえば次のようにします。
dbcsstig --fix dodコマンド・リファレンス
操作
表- 操作
| 操作パラメータ | 定義 |
|---|---|
--check, -c |
指定したカテゴリに含まれるルールへのコンプライアンスをチェックします |
--fix, -f |
指定したカテゴリに含まれるルールの修正を適用します |
--rollback, -rb |
STIGツールによって実装されたシステム構成変更をロールバックします |
--version, -v |
STIGツール・スクリプトのバージョン情報を提供します |
--help, -h |
コマンドライン・ヘルプ情報を提供します。 |
ルールのカテゴリ
表- ルールのカテゴリ
| カテゴリ・パラメータ | 定義 |
|---|---|
static |
DB Systemのベース・イメージに含まれるルールを指定します。 |
dod |
DISAのOracle Linux 7 STIGへのコンプライアンスに必要なルールを指定します。 |
runtime |
一般的なセキュリティの強化のためにプロビジョニング後にアクティブ化されるルールを指定します |
all |
すべてのルールを指定します。 |