1 OpenSCAP + SCAP Security Guide で ポリシー遵守をらくにし遵守をらくにしようをらくにしよう レッドハット株式会社株式会社 ソリューションアーキテクト株式会社 森若和雄森若和雄 2018.09.10

2 「セキュリティポリシー遵守をらくにし遵守をらくにしようしてね」「はい」」「はい」」 ● システムがが 5 台 – 「ポリシーを遵守しているこ遵守していることをしていることを遵守しているこ確認してください」してください」 → 森若和雄(1 日 1 台チェック、チェック、 1 週間後 ) 森若和雄 「遵守していることをできてました」」 ● システムがが 50 台 – 「ポリシーを遵守しているこ遵守していることをしていることを遵守しているこ確認してください」してください」 → 森若和雄(2.5 ヶ月後月後 ) 森若和雄 「遵守していることをできてました」」 ● システムがが 50 台チェック、 – 「ポリシーを遵守しているこ遵守していることをしていることを遵守しているこ毎月確認してください」してください」 → 森若和雄.oO( 絶対無理だからだから人をを 3 人をに増やして……やして…… ) ● コンテナやや VM が 200 台 – 「ポリシーを遵守しているこ遵守していることをしていることを遵守しているこ毎月確認してください」してください」 → 森若和雄 .oO(10 人をに増やして……員してして……いやさすがに無理だよな……無理だからだよな…… ) → 森若和雄 あきらめる ? 森若和雄 虚偽の報告の報告報告 ? 自動化するする ?

3 チェック項目の例項目の例の例例 ● パスワードの報告ハッシュ関数はは SHA512 ● 空のパスワードをの報告パスワードを遵守しているこ許可しないしない ● chmod, 森若和雄chown などの報告システムがコールやファイル削除やファイルやファイル削除削除 は監査ログに記録するログに記録するに無理だよな……記録するする ● 15 分以上何もしないで経過もしないで経過するとすると ssh の報告セッション を遵守しているこタイムがアウト株式会社させる ● パッケージのの報告 GPG 鍵チェックを必須チェックを遵守しているこ必須にするに無理だよな……する ● bluetooth の報告カーネルやファイル削除モジのュールやファイル削除を遵守しているこ無効にするに無理だよな……する …… などなど

4 脅威を数値化できるを遵守しているこ数は値化するできる 自動実行できるできる チェックリスト株式会社 識別子をつけてを遵守しているこつけて 区別できる Security Content Automation Protocol ● セキュリティポリシーを遵守しているこ遵守していることをしているかチェックする 作業を自動化したいを遵守しているこ自動化するした」い ! 森若和雄 森若和雄 森若和雄( 手動では無理だから ) ● その報告た」めに無理だよな……作られた」規格群をを遵守しているこ SCAP と呼びますびます – 脆弱性の識別の報告識別 CVE – 設定の識別の報告識別 CCE – プラット株式会社フォームがの報告識別 CPE – 脆弱性の識別の報告分類と識別と識別 CWE – 脆弱性の識別の報告深刻さのスコア付けさの報告スコア付けけ CVSS – チェック手順の記述言語の報告記述言語 OVAL – チェックリスト株式会社記述言語 XCCDF – など

5 SCAP 策定の背景の例背景 2002 年 森若和雄連邦情報セキュリティマネジのメント株式会社法 – 米国の政府省庁で、の報告政府省庁で、で、全情報システムにセキシステムにセキュリティにセキュリティ 要求事項を反映するすることが必須にするに無理だよな…… 結果として……として…… – 現場が疲弊が疲弊 – ミスや判断の相違によるバの報告相違によるバラつきに無理だよな……よるバラつき – バラバラの報告ツールやファイル削除群をに無理だよな……よる部分的な自動化な自動化する → 森若和雄標準化するされた」自動化する規格の報告必要性の識別が高まるまる 2010 年 森若和雄 NIST が SCAP 森若和雄1.0 を遵守しているこリリース

6 OpenSCAP ● SCAP の報告処理だから系 – XCCDF で記述された」チェックリスト株式会社を遵守しているこ実行できるする – 評価結果として……を遵守しているこ出力 ,HTML の報告レポート株式会社生成 , 修正スクリプトスクリプト株式会社 生成 チェック リスト株式会社 OpenSCAP レポート株式会社 / 評価結果として…… システムがの報告 設定の識別や状態 修正スクリプト スクリプト株式会社

7 アンチウイルスや改竄検知等ではないではない」 ● OpenSCAP はセキュリティの報告維持に役立ちますがに無理だよな……役立ちますが何ちますが何もしないで経過 でもできるわけではありません ● 代表的な自動化なできないこと : – イベント株式会社ドリブンな動作 ( 「常駐してして xx を遵守しているこ監視しつづけしつづけ る」の報告ような動作 ) 全般 – ポリシーを遵守しているこ強制することすること ( チェックが主な仕事な仕事 ) – 過すると去レポートや他ホレポート株式会社や他ホストのレポーホスト株式会社の報告レポート株式会社と比較などのレポーなどの報告レポー ト株式会社操作 – ウイルやファイル削除スやマルやファイル削除ウェアの報告検出 ( チェックリスト株式会社が開発ささ れれば部分的には可能部分的な自動化に無理だよな……は可しない能 )

8 OpenSCAP で既知の例脆弱性を確認するを確認するする ● チェックリスト株式会社を遵守しているこ取得 – https://www.redhat.com/security/data/metrics/ 森若和雄 に無理だよな……て OVAL および XCCDF 形式で配布 – 「セキュリティ fix が出荷される前の古いされる前の古いバージョの報告古いバージョいバージのョ ンの報告 rpm が適用されているか」されているか」を遵守しているこチェックする ● OpenSCAP でチェックを遵守しているこ実施 – oscap xccdf eval \ --results results-xccdf.xml \ --report report-xccdf.html \ com.redhat.rhsa-RHEL7.ds.xml

9 SCAP Security Guide(SSG) SCAP で記述された」 Linux システムが向けのチェックリけの報告チェックリスト株式会社 ● システムが構成や各種設定の識別を遵守しているこチェック – ソフト株式会社ウェアの報告脆弱性の識別は扱わないわない ● 各種セキュリティ規格用されているか」プロファイルやファイル削除同梱 – DISA 森若和雄STIG, 森若和雄USGCB, 森若和雄PCI-DSS 森若和雄v3, 森若和雄CIS 森若和雄benchmark( に無理だよな……似たもた」も の報告 ) 森若和雄etc. ● 対象ソフトウェアはソフト株式会社ウェアは Fedora, 森若和雄RHEL, 森若和雄CentOS, 森若和雄Debian, 森若和雄 Ubuntu, 森若和雄Firefox, 森若和雄Chromium, 森若和雄JRE, 森若和雄OpenStack など多数は

10 SCAP Security Guide の例特徴 ● NSA, 森若和雄DISA, 森若和雄NIST と Red 森若和雄Hat を遵守しているこ中心とするコミュニとするコミュニティで共同開発さ – SSG 以前の古いバージョ 「政府が規格を遵守しているこ策定の識別→ベンダがが SCAP でチェックリスト株式会社作成」 ~3 年 – SSG 以後 「共同で SCAP でチェックリスト株式会社を遵守しているこ作成」 ~1 年 – OVAL での報告チェック手順の記述言語に無理だよな……ついて作成ベンダがーに無理だよな……よる解釈ブレを排除ブレを遵守しているこ排除 ● 修正スクリプトスクリプト株式会社を遵守しているこ同梱 – 一部の報告問題には、に無理だよな……は、 bash また」は ansible に無理だよな……よる修正スクリプトスクリプト株式会社を遵守しているこ同梱 ● カスタマイズして独自プロフして独自プロファイルやファイル削除を遵守しているこ作成可しない – チェック項目を取捨選択を遵守しているこ取捨選択 – パスワード長などの項目はパなどの報告項目を取捨選択はパラメータを遵守しているこ設定の識別できる

11 SCAP Workbench ● SSG(XCCDF 文書一般 ) の報告プロファイルやファイル削除を遵守しているこ作成 – 既存のチェック項目の報告チェック項目を取捨選択を遵守しているこ GUI で取捨選択、指定の識別

12 SSG と OpenSCAP での例チェック項目の例 ● SCAP 森若和雄Workbench で SSG から必要な項目を取捨選択を遵守しているこ取捨選択 ● 作成した」プロファイルやファイル削除を遵守しているこ利用されているか」して OpenSCAP でチェック OpenSCAP レポート株式会社 / 評価結果として…… システムがの報告 設定の識別や状態 SSG チェックリスト株式会社 プロファイルやファイル削除 修正スクリプト スクリプト株式会社 SCAP Workbench

13 レポー遵守をらくにしト例例 チェックを遵守しているこどの報告ように無理だよな…… 実施した」か ? 各種アドレス 対象ソフトウェアはシステムがの報告 バージのョン等 (CPE) 適合状況 不適合ルやファイル削除ールやファイル削除の報告深刻さのスコア付け度 重みつきのスコアみつきの報告スコア 各ルやファイル削除ールやファイル削除毎のの報告 pass/fail ● OpenSCAP は XCCDF 形式で の報告結果として……の報告他ホストのレポーに無理だよな…… HTML 形式の報告 レポート株式会社も生 成 レポート株式会社 / 評価結果として……

14 レポー遵守をらくにしト例例 ● 各ルやファイル削除ールやファイル削除を遵守しているこクリックする と詳細を表示を遵守しているこ表示 – チェック内容 – 関係する規格する規格 – 失敗 or 成功した理由した」理だから由 – 対策用されているか」の報告スクリプト株式会社 (bash, 森若和雄ansible) レポート株式会社 / 評価結果として……

15 oscap コマンド例例 パッケージの導入 # yum install openscap scap-security-guide チェックリスト株式会社の報告諸元確認してください」 # oscap info /usr/share/xml/scap/ssg/content/ssg- rhel7-xccdf.xml “common” プロファイルやファイル削除での報告チェック実行できる # 森若和雄oscap xccdf eval --profile common \ --results /tmp/results.xml \ /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml remediate スクリプト株式会社の報告生成 # 森若和雄oscap xccdf generate fix --fetch-remote-resources \ --profile common --output /tmp/remediate.sh \ /tmp/results.xml

16 SSG にない」独自のチェックはの例チェック項目の例は ? ● OVAL でチェック方法を遵守しているこ記述するの報告は大変 – OVAL は XML でチェックを遵守しているこ記述する文法 – 「あるサービスが起動しているか？」だけで 55 行できる…… – やりた」いことが既存のチェック項目の報告 OVAL リポジのト株式会社リに無理だよな……ないかを遵守しているこ探すす ● OVAL の報告リポジのト株式会社リ 森若和雄 https://oval.cisecurity.org/repository – 独自の報告チェック追加や変更はや変更はは Ansible 等で行できるう方が生産性の識別が高まるそう ● XCCDF の報告基本は「名前」「説は「名前の古いバージョ」「説明」「」「 OVAL を遵守しているこ呼びますぶ」くらい なの報告で XCCDF だけ勉強するの報告はアリ ● 専用されているか」エディタを遵守しているこ使う う 森若和雄 – VMware 森若和雄Modified 森若和雄Enhanced 森若和雄SCAP 森若和雄Content 森若和雄Editor ● https://github.com/vmware/vmware-scap-edit

17 複数台の例スキャンは…… ? ● Spacewalk 森若和雄 森若和雄 https://spacewalkproject.github.io/ ● Foreman 森若和雄OpenSCAP 森若和雄plugin 森若和雄 https://www.theforeman.org/plugins/foreman_openscap/0.9/ – チェックリスト株式会社配布、 puppet で定の識別期実行できる、レポート株式会社表示

18 まとめ ● SCAP: 森若和雄 基本は「名前」「説的な自動化なセキュリティチェックを遵守しているこ自動的な自動化に無理だよな……実行できる することを遵守しているこ目を取捨選択的な自動化とした」規格群を ● OpenSCAP: 森若和雄OSS の報告 SCAP 処理だから系 ● SCAP 森若和雄Security 森若和雄Guide: 森若和雄SCAP 規格に無理だよな……もとづくチェック リスト株式会社の報告ひな型 ● SCAP 森若和雄Workbench: 森若和雄 チェックリスト株式会社の報告カスタマイズして独自プロフを遵守しているこ 行できるいプロファイルやファイル削除を遵守しているこ生成 「 SSG から必要なところだけ SCAP 森若和雄Workbench で選択して OpenSCAP でチェックする」ことで基本は「名前」「説的な自動化な確認してください」作業を自動化したいの報告多くを遵守しているこ自 動化するできる

19 Appendix

20 SCAP 関連リンクリンク項目の例 ● IPA の報告 SCAP 概説 – https://www.ipa.go.jp/security/vuln/SCAP.html ● RHEL ドキュメント株式会社「 Security 森若和雄Guide 」 – http://red.ht/2yb6Zft 森若和雄 森若和雄( 英語 ) – http://red.ht/2zps2yg 森若和雄( 和訳 ) ● OpenSCAP プロジのェクト株式会社 – https://www.open-scap.org/ – https://github.org/OpenSCAP/ – 今回紹介以外のツール、詳しの報告ツールやファイル削除、詳しいドキュメント株式会社、各種チュート株式会社リアルやファイル削除 ● OVAL の報告リポジのト株式会社リ 森若和雄 https://oval.cisecurity.org/repository ● OpenSCAP 森若和雄Scanning 森若和雄in 森若和雄Satellite 森若和雄6 森若和雄and 森若和雄CloudForms – http://red.ht/2AwBIFk 森若和雄 – Red 森若和雄Hat の報告管理だからツールやファイル削除との報告連携について紹介に無理だよな……ついて紹介

21 RHEL 特有の話題の例話題 ● oscap-anaconda-plugin – RHEL や Fedora の報告インスト株式会社ーラ 森若和雄 anaconda 用されているか」プラグに記録するイン – インスト株式会社ールやファイル削除時にスキャンを実に無理だよな……スキャンを遵守しているこ実施し remediation 森若和雄script を遵守しているこ 実行できるする ● Red 森若和雄Hat 森若和雄Satellite – Foreman を遵守しているこベースとする管理だからスイート株式会社 – OpenSCAP の報告定の識別期実行できる、結果として……を遵守しているこ収集・蓄積・表示 ● RHEL 同梱 SSG の報告対象ソフトウェアはソフト株式会社ウェア – RHEL6, 森若和雄RHEL7, 森若和雄JRE, 森若和雄Firefox