1 明日はじめるはじめる OpenSCAP + SCAP Security Guide レッドハット株式会社株式会社 ソリューションアーキテクト株式会社 森若和雄森若和雄 2018.07.11

2 「セキュリティポリシー遵守してね」「遵守してね」「はいしてね」「はい」」「はい」」 ● システムがが 5 台 – 「ポリシーを遵守しているこ遵守していることをしていることを遵守しているこ確認してください」してください」 → 森若和雄(1 日 1 台チェック、チェック、 1 週間後 ) 森若和雄 「遵守していることをできてました」」 ● システムがが 50 台 – 「ポリシーを遵守しているこ遵守していることをしていることを遵守しているこ確認してください」してください」 → 森若和雄(2.5 ヶ月後月後 ) 森若和雄 「遵守していることをできてました」」 ● システムがが 50 台チェック、 – 「ポリシーを遵守しているこ遵守していることをしていることを遵守しているこ毎月確認してください」してください」 → 森若和雄.oO( 絶対無理だからだから人をを 3 人をに増やして……増やして……やして…… ) ● コンテナやや VM が 200 台 – 「ポリシーを遵守しているこ遵守していることをしていることを遵守しているこ毎月確認してください」してください」 → 森若和雄 .oO(10 人をに増やして……増やして……員してして……いやさすがに無理だよな……無理だからだよな…… ) → 森若和雄 不正 ? 森若和雄 虚偽の報告の報告報告 ?

3 自動実行できるできる チェックリスト株式会社 識別子をつけてを遵守しているこつけて 区別できる Security Content Automation Protocol ● セキュリティポリシーを遵守しているこ遵守していることをしているかチェックする 作業を自動化したいを遵守しているこ自動化したいした」い ! 森若和雄 森若和雄 森若和雄( しないと死ぬからぬから ) ● その報告た」めに無理だよな……作られた」規格群をを遵守しているこ SCAP と呼びますびます – 脆弱性の識別の報告識別 CVE – 設定の識別の報告識別 CCE – プラット株式会社フォームがの報告識別 CPE – 脆弱性の識別の報告分類と識別と識別 CWE – 脆弱性の識別の報告深刻さのスコア付けさの報告スコア付けけ CVSS – チェック手順の記述言語の報告記述言語 OVAL – チェックリスト株式会社記述言語 XCCDF – など

4 SCAP 策定の背景の背景背景 2002 年 森若和雄連邦情報セキュリティマネジメント株式会社法 – 米国の政府省庁で、の報告政府省庁で、で、全情報システムにセキシステムにセキュリティに増やして……セキュリティ 要求事項を反映するを反映するすることが必須にに無理だよな…… 結果として……として…… – 現場が疲弊が疲弊 – ミスや判断の相違によるバの報告相違によるバラつきに無理だよな……よるバラつき – バラバラの報告ツール群による部分的群をに無理だよな……よる部分的な自動化な自動化したい → 森若和雄標準化したいされた」自動化したい規格の報告必要性の識別が高まるまる 2010 年 森若和雄 NIST が SCAP 森若和雄1.0 を遵守しているこリリース

5 OpenSCAP ● SCAP の報告処理だから系 – XCCDF で記述された」チェックリスト株式会社を遵守しているこ実行できるする – 評価結果として……を遵守しているこ出力 ,HTMLHTML の報告レポート株式会社生成 ,HTML 修正スクリプト株式会社 生成 チェック リスト株式会社 OpenSCAP レポート株式会社 / 評価結果として…… システムがの報告 設定の識別や状態 修正 スクリプト株式会社

6 OpenSCAP で既知の脆弱性を既知の脆弱性を確認の背景脆弱性を確認するを確認するする ● チェックリスト株式会社の報告ファイル群による部分的を遵守しているこ取得 – https://www.redhat.com/security/data/metrics/ 森若和雄 から – com.redhat.rhsa-all.xccdf.xml 「導入 rpm に無理だよな……対応したセした」セ キュリティ fix が適用されているか」されているか」の報告チェックリスト株式会社 (XCCDF 形式 ) – com.redhat.rhsa-all.xml 全セキュリティセキュリティ fix の報告メタデータ と導入有無の報告チェック方法 (OVAL 形式 ) ● OpenSCAP で処理だから – oscap 森若和雄xccdf 森若和雄eval 森若和雄 森若和雄--results 森若和雄results-xccdf.xml 森若和雄--report 森若和雄 report-xccdf.html 森若和雄com.redhat.rhsa-all.xccdf.xml ※ 上記コマンド例はファイルにはファイルにファイル群による部分的に無理だよな…… 2003 年以来の全の報告全セキュリティ RHSA の報告情報が含まれているのでまれているの報告で実行できるに無理だよな……時間がかかります。がかかります。 RHEL の報告メジャーバージョン毎や年ごとに分割や年ごとに無理だよな……分割されたファイルされた」ファイル群による部分的も提供しています提供しています。しています。

7 HTML 形式のレポートの背景レポー遵守してね」「ト ● XCCDF 形式での報告結果として……の報告他にに無理だよな…… HTML 形式の報告レポート株式会社も提供しています生成 ● 複数台チェック、の報告結果として……はファイルにまとめられな い

8 複数台の背景スキャンは…… ? ● Spacewalk 森若和雄 森若和雄 https://spacewalkproject.github.io/ ● Foreman 森若和雄OpenSCAP 森若和雄plugin 森若和雄 https://www.theforeman.org/plugins/foreman_openscap/0.4/ – チェックリスト株式会社配布、 puppet での報告定の識別期実行できる、レポー ト株式会社表示

9 脆弱性を確認する以外のチェックもやの背景チェックもやりたいもやりたい」 ● 既知のセキュリティの報告セキュリティ fix があるかどうかだけなら yum 森若和雄security 森若和雄plugin 等でチェックできでチェックできる – OpenSCAP を遵守しているこ使わなくていいのわなくていいの報告ではファイルに…… ? ● それ以外のポリシー遵守の報告ポリシー遵守していることをの報告チェックも提供していますやりた」い – /var パーティションはファイルに別に無理だよな……する – 最小のパスワード長の報告パスワード長設定の識別 – 空パスワード禁止パスワード禁止 – ファイル群による部分的の報告権限変更を監査ログに記を遵守しているこ監査ログに記録するログに記録するに無理だよな……記録するする – ssh での報告 root ログに記録するイン禁止 – suidexec 禁止 – など

10 SCAP Security Guide(SSG) SCAP で記述された」 Linux システムが向けのセキュけの報告セキュ リティーポリシー集 ● 主に設定をチェッに無理だよな……設定の識別を遵守しているこチェック – ソフト株式会社ウェアの報告脆弱性の識別はファイルに扱わないわない ● 各種セキュリティ規セキュリティ規格用されているか」プロファイル群による部分的同梱 – DISA 森若和雄STIG,HTML 森若和雄USGCB,HTML 森若和雄PCI-DSS 森若和雄v3,HTML 森若和雄CIS 森若和雄 benchmark( に無理だよな……似たものた」も提供していますの報告 ) 森若和雄etc. ● 対象ソフトウェアはソフト株式会社ウェアはファイルに各種セキュリティ規ディスト株式会社リビューショ ン ,HTML 森若和雄 ブラウザ ,HTML 森若和雄JRE など多数

11 SCAP Security Guide の背景特徴 ● NSA,HTML 森若和雄DISA,HTML 森若和雄NIST と Red 森若和雄Hat を遵守しているこ中心とするコミュニとするコミュニティで共同開発 – SSG 以前 「政府が規格を遵守しているこ策定の識別→ベンダがが SCAP でチェックリスト株式会社作成」 ~3 年 SSG 以後 「共同で SCAP でチェックリスト株式会社を遵守しているこ作成」 ~1 年 – OVAL での報告チェック手順の記述言語に無理だよな……ついて作成ベンダがーに無理だよな……よる解釈ブレを排除ブレを遵守しているこ排除 ● 修正スクリプト株式会社を遵守しているこ生成 – 一部の報告問題には、に無理だよな……はファイルに、 bash また」はファイルに ansible に無理だよな……よる修正スクリプト株式会社を遵守しているこ同梱 ● カスタマイズして独自プロフして独自プロファイル群による部分的を遵守しているこ作成可 – チェック項目を取捨選択を遵守しているこ取捨選択 – パスワード長などの報告項目を取捨選択はファイルにパラメータを遵守しているこ設定の識別できる

12 SCAP Workbench ● SSG(XCCDF 文書一般 ) の報告プロファイル群による部分的を遵守しているこ作成 – 既存のチェック項目の報告チェック項目を取捨選択を遵守しているこ GUI で取捨選択、指定の識別

13 SSG と OpenSCAP で既知の脆弱性をの背景チェックもやりたい ● SCAP 森若和雄Workbench で SSG から必要な項目を取捨選択を遵守しているこ取捨選択 ● 作成した」プロファイル群による部分的を遵守しているこ利用されているか」して OpenSCAP でチェック OpenSCAP レポート株式会社 / 評価結果として…… システムがの報告 設定の識別や状態 SSG チェックリスト株式会社 プロファイル群による部分的 修正 スクリプト株式会社 SCAP Workbench

14 レポー遵守してね」「ト例 チェックを遵守しているこどの報告ように無理だよな…… 実施したかした」か ? 各種セキュリティ規アドレス 対象ソフトウェアはシステムがの報告 バージョン等でチェックでき (CPE) 適合状況 不適合ル群による部分的ール群による部分的の報告深刻さのスコア付け度 重みつきのスコアみつきの報告スコア 各ル群による部分的ール群による部分的毎や年ごとに分割の報告 pass/fail

15 レポー遵守してね」「ト例 ● 各ル群による部分的ール群による部分的を遵守しているこクリックする と詳細を表示を遵守しているこ表示 – どの報告ようなチェックか – 関係する規格する規格 – 失敗 or 成功した理由した」理だから由 – 対策用されているか」の報告スクリプト株式会社

16 SSG に増やして……ない」独自のチェックはの背景チェックもやりたいは ? ● OVAL でチェック方法を遵守しているこ記述するの報告はファイルにしんどい – OVAL はファイルに XML でチェックを遵守しているこ記述する文法 – 「あるサービスが起動しているか？」だけで 55 行できる…… – やりた」いことが既存のチェック項目の報告 OVAL リポジト株式会社リに無理だよな……ないかを遵守しているこ探すす ● OVAL の報告リポジト株式会社リ 森若和雄 https://oval.cisecurity.org/repository – 独自の報告チェック追加ははファイルに Ansible 等でチェックできで行できるう方が生産性の識別が高まるそう ● XCCDF の報告基本は「名前」「説はファイルに「名前」「説明」「」「 OVAL を遵守しているこ呼びますぶ」くら いなの報告で XCCDF だけ勉強するのはアリするの報告はファイルにアリ ● 専用されているか」エディタを遵守しているこ使わなくていいのう – VMware 森若和雄Modified 森若和雄Enhanced 森若和雄SCAP 森若和雄Content 森若和雄Editor ● https://github.com/vmware/vmware-scap-edit

17 まとめ ● SCAP はファイルに基本は「名前」「説的な自動化なセキュリティチェックを遵守しているこ自動的な自動化に無理だよな……実行できる することを遵守しているこ目を取捨選択的な自動化とした」規格群をです ● OpenSCAP はファイルに OSS の報告 SCAP 処理だから系です ● SCAP 森若和雄Security 森若和雄Guide はファイルに SCAP 規格に無理だよな……も提供していますとづくチェック リスト株式会社の報告ひな型を提供していまを遵守しているこ提供しています。しています ● SCAP 森若和雄Workbench はファイルにチェックリスト株式会社の報告カスタマイズして独自プロフを遵守しているこ行できる いプロファイル群による部分的を遵守しているこ生成します ● 「 SSG から必要なところだけ SCAP 森若和雄Workbench で選択 して OpenSCAP でチェックする」ことで基本は「名前」「説的な自動化な確認してください」作 業を自動化したいの報告多くを遵守しているこ自動化したいできます

18 Appendix

19 oscap コマンド例例 パッケージ導入 # 森若和雄yum 森若和雄install 森若和雄openscap 森若和雄scap-security-guide 森若和雄 森若和雄 森若和雄 森若和雄 森若和雄 チェックリスト株式会社の報告諸元確認してください」 # 森若和雄oscap 森若和雄 森若和雄info 森若和雄/usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml 森若和雄 “common” プロファイル群による部分的での報告チェック実行できる # 森若和雄oscap 森若和雄 森若和雄xccdf 森若和雄 森若和雄eval 森若和雄--profile 森若和雄common 森若和雄\ --results 森若和雄/tmp/results.xml 森若和雄\ /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml remediate スクリプト株式会社の報告生成 # 森若和雄oscap 森若和雄xccdf 森若和雄generate 森若和雄fix 森若和雄--fetch-remote-resources 森若和雄\ --profile 森若和雄common 森若和雄 森若和雄--output 森若和雄/tmp/remediate.sh 森若和雄\ /tmp/results.xml 森若和雄

20 読むといいものむとい」い」もの背景 ● IPA の報告 SCAP 概説 – https://www.ipa.go.jp/security/vuln/SCAP.html ● RHEL ドキュメント株式会社「 Security 森若和雄Guide 」 – http://red.ht/2yb6Zft 森若和雄 森若和雄( 英語 ) – http://red.ht/2zps2yg 森若和雄( 和訳 ) ● OpenSCAP プロジェクト株式会社 – https://www.open-scap.org/ – https://github.org/OpenSCAP/ – 今回紹介以外のポリシー遵守の報告ツール群による部分的、詳しいドキュメント株式会社、各種セキュリティ規チュート株式会社リアル群による部分的 ● OVAL の報告リポジト株式会社リ 森若和雄 https://oval.cisecurity.org/repository ● OpenSCAP 森若和雄Scanning 森若和雄in 森若和雄Satellite 森若和雄6 森若和雄and 森若和雄CloudForms – http://red.ht/2AwBIFk 森若和雄 – Red 森若和雄Hat の報告管理だからツール群による部分的との報告連携について紹介に無理だよな……ついて紹介

21 RHEL で既知の脆弱性をの背景利用 ● oscap-anaconda-plugin – RHEL や Fedora の報告インスト株式会社ーラ用されているか」プラグに記録するイン – インスト株式会社ール群による部分的時に無理だよな……スキャンを遵守しているこ実施したかし、 remediation 森若和雄script を遵守しているこ実行できるする – 規格に無理だよな……対応したセした」環境のデプロイ作業の報告デプロイ作業を自動化したい時間がかかります。を遵守しているこ短縮 ● Red 森若和雄Hat 森若和雄Satellite – Foreman を遵守しているこベースとする管理だからスイート株式会社 – OpenSCAP の報告定の識別期実行できる、結果として……蓄積と表示と表示 ● 同梱 SSG の報告対象ソフトウェアはソフト株式会社ウェア – RHEL6,HTML 森若和雄RHEL7,HTML 森若和雄JRE,HTML 森若和雄Firefox