セキュリティ対策の自動化と標準化[OpenSCAP]
今月の気になるオープンソース情報(2018年3月号)
OSS研究室 大野 公善
システムを安全に運用するためには、以下のようなチェックが必要です。
- 使用しているソフトウェアに脆弱性がない?
- セキュリティ上の問題になるような設定がない?
これらは日々どのようにチェックすればいいでしょうか?
そこで今回は OpenSCAP をご紹介します。
OpenSCAPはSCAPを実装するためのオープンソースソフトウェアです。チェックリストに従ってシステムを検証して、そのレポートを作成します。SCAPとはセキュリティ対策の自動化と標準化を行うために作成された仕様です。
標準的なセキュリティ対策をすぐにチェック
SCAP Security Guide という標準的なチェックリストのセットが公開されています。これを利用すれば標準的なシステム検証をすぐに実施することができます。
例えば、
- SELinuxが有効になっているか?
- rootのSSHログインが禁止されているか?
- パスワードの最小文字数が設定されているか?
等のチェックを行うことができます。
標準的なセキュリティ設定が実施されているか確認ができるので安心です。
組織に合わせたセキュリティ検証
OpenCAPのチェックリストは以下の様なカスタマイズをすることができます。
- 標準チェックリストから実施したい項目だけを抜粋して検証
- 組織特有の特別なチェック項目を作成して検証
自分の組織に合わせた柔軟なセキュリティ対策を行えます。
RHSA(Red Hat Security Advisory)の対応状況の把握
レッドハット社はRHSAに対応したOpenSCAPのルールセットを公開しています。RHSAに対応したルールセットを入手し、OpenSCAPにてシステム検証を行うことができます。CensOSでも利用することができ、RHSAの対応状況がわかりやすくなります。
わかりやすい検証結果
OpenSCAPの検証結果はHTML型式で出力することができます。ウェブブラウザで検証結果を参照すれば、視覚的にわかりやすく結果を確認することが可能です。
デージーネットでは、システム構築の品質確保のためにOpenSCAPを利することを検討しています。
- デージーネット標準セキュリティ設定のOpenSACAPルールセットを作成
- サーバ構築時にこのルールセットでシステム検証
上記の処理を行えば確実なセキュリティ対策が期待できます。
セキュリティチェックにOpenSCAPを使ってみてはいかがでしょうか?