Oracle Cloud Infrastructureドキュメント

Oracle Linux STIGイメージ

Oracle Linux STIGイメージは、セキュリティ技術導入ガイド(STIG)に従ったOracle Linuxの実装です。

Oracle Linux STIGイメージはOracle Cloud Marketplaceから起動されます。マーケットプレイスで、Oracle Linux STIGリストを検索し、ビジネス要件を満たすプロファイルを持つOracle Linux STIGイメージを選択します。

STIGイメージを使用すると、米国国防情報システム局(DISA)が設定したセキュリティ標準と要件に準拠するように、Oracle Cloud InfrastructureのOracle Linuxインスタンスが構成されます。

ノート

Oracle Linux STIGイメージは最新のセキュリティ更新情報を使用して定期的に更新されています。このドキュメントは、STIGベンチマークが変更されると常に更新されます。またセキュリティ・ガイダンスの変更のためにイメージの手動構成が必要になったときにも更新されます。各リリースで行われた特定の変更については、Oracle Linux STIG画像の改訂履歴を参照してください。
重要

Oracle Linux STIGイメージ・インスタンスに加えられた変更(他のアプリケーションのインストールや構成設定の変更など)は、コンプライアンス・スコアに影響する可能性があります。変更を行った後、インスタンスを再スキャンしてコンプライアンスを確認します。

STIGについて

セキュリティ技術導入ガイド(STIG)は、米国国防情報システム局(DISA)によって記述されたドキュメントです。これは、米国国防総省(DoD)のITネットワーク・システム内のデプロイメントに対するサイバーセキュリティ要件を満たすシステムの構成に関するガイダンスを提供します。STIG要件は、インフラストラクチャとネットワーク・セキュリティに重点を置いて脆弱性を軽減することで、サイバーセキュリティの脅威からネットワークを保護します。STIGに準拠することは、DoD機関(DoD情報ネットワーク(DoDIN)の一部である任意の組織)の要件です。

Oracle Linux STIGイメージは、STIGガイドラインに従った標準のOracle Linuxイメージの強化されたバージョンを提供することで、コンプライアンスを自動化します。ただし、選択したイメージでは、すべてのSTIG要件を満たすために追加の手動修正が必要になる場合があります。

最新のSTIGのダウンロード

DISAでは、STIGドキュメントを四半期ごとに更新しています。Oracleが提供するコンテンツは、公開時に入手可能な最新のSTIGドキュメントに従います。デプロイされたシステムをコンプライアンスのために評価する場合は、最新のSTIG zipファイルをダウンロードして従うことをお薦めします。

最新のSTIGドキュメントをダウンロードするには、https://public.cyber.mil/stigs/downloads/を参照してください。Oracle Linuxを検索し、適切なzipファイルをダウンロードします。

オプションで、https://public.cyber.mil/stigs/srg-stig-tools/にあるDISA STIG Viewerを使用します。その後、STIGのxccdf.xmlファイルをインポートしてSTIGルールを表示します。

STIGコンプライアンスの評価

コンプライアンス評価は、多くの場合、システムのセキュリティを分析するためにSTIG (SCAP形式でアップロード)を使用するセキュリティ・コンテンツ自動化プロトコル(SCAP)コンプライアンス・チェッカ・ツールを使用したスキャンから始まります。SCAPツールは常にSTIG内のすべてのルールをテストするわけではなく、一部のSTIGがSCAP形式で公開されていない可能性があるため、完全なコンプライアンス・カバレッジにはさらに手動監査が必要です。

コンプライアンス評価の自動化には、次のツールを使用できます。

SCAPコンプライアンス・チェッカ(SCC)

DISA STIGベンチマークまたはOpenSCAPアップストリーム・プロファイルのいずれかを使用して評価を実行できる、DISAによって開発されたツール。通常、DISA STIGベンチマークは、SCCツールを使用する際のコンプライアンス・スキャンに使用されます。

重要

Armアーキテクチャ(aarch64)をスキャンするには、SCCバージョン5.5以上を使用する必要があります。
OpenSCAP

Oracle Linuxソフトウェア・チャネルを介して提供されるオープン・ソース・ユーティリティで、DISA STIGベンチマークまたはOpenSCAPアップストリーム・プロファイルを使用して評価を実行できます。Oracle Linuxは、システム・リリース固有のプロファイルを含むSCAPセキュリティ・ガイド(SSG)パッケージを配布します。たとえば、SSGパッケージによって提供されるSCAPデータストリームのssg-ol7-ds.xmlファイルには、Oracle Linux 7プロファイルのDISA STIGが含まれています。OpenSCAPツールを使用する利点の1つは、SSGによって、修正を自動化し、システムを準拠状態にするためのスクリプトが作成されることです。

注意

スクリプトを使用した自動修正によって、望ましくないシステム構成が発生したり、システムが機能しなくなる可能性があります。修正スクリプトを非本番環境でテストします。

コンプライアンスのツールの実行およびスキャン・レポートの生成の詳細は、コンプライアンスのためのインスタンスの再スキャンを参照してください。

コンプライアンス・ターゲット

Oracle Linux STIGイメージには、DISA STIGベンチマークで対処されていないルールに関する追加の修正が含まれています。DISA STIG for Oracle Linuxと連携したSSG "STIG"プロファイルを使用して、未対応のルールの自動化を拡張し、完全なDISA STIGに対するシステム・コンプライアンスを確認します。

SCCおよびOpenSCAPからのスキャン結果に基づく2つのDISA STIG Viewerチェックリスト・ファイルがイメージとともに提供されます。DISA STIGベンチマークのチェックリストではSCCスキャン結果が使用されますが、SSG "STIG"プロファイルのチェックリストではOpenSCAPスキャン結果が使用されます。これらのチェックリストには、ガイダンスを満たさないイメージの領域に関するOracleによるコメントが含まれています。「チェックリストを使用したその他の構成の表示」を参照してください。

ノート

DISA STIGベンチマークのコンプライアンス・スコアは、完全なDISA STIGと比較して、より限定されたルールの範囲を反映しています。しかし、SSGの「STIG」プロファイルは完全なDISA STIGを説明し、画像のSTIGコンプライアンスをより包括的に評価します。

Oracle Linux 8

Oracle Linux 8 STIGイメージでは、DISAセキュリティ標準に準拠し、Oracle Linux 8 DISA STIGに従って強化されています。最新のOracle Linux 8 STIGイメージ・リリースでは、コンプライアンス・ターゲットはOracle Linux 8 Ver 2 Rel 4のDISA STIGです。Oracle Linuxソフトウェア・チャネルを介して提供されるscap-security-guideパッケージ(最小0.1.76-1.0.3)には、Oracle Linux 8 Ver 2 Rel 4のDISA STIGに合せたSSG "STIG"プロファイルが含まれています。

Oracle Linux 8.10 June 2025 STIGイメージのコンプライアンス情報:

目標: Oracle Linux 8バージョン2リリース4用のDISAS STIGに準拠したSSG "STIG"プロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 79.94%
  • aarch64のチェックリスト・コンプライアンス・スコア: 79.87%

目標: Oracle Linux 8バージョン2リリース4のDISA STIGプロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 84.26%
  • aarch64のチェックリスト・コンプライアンス・スコア: 84.26%

Oracle Linux 7 (拡張サポート)

Oracle Linux 7 STIGイメージは、DISAセキュリティ標準に準拠しており、Oracle Linux 7 DISA STIGに従って強化されています。最新のOracle Linux 7 STIGイメージ・リリースで、コンプライアンス・ターゲットはDISAS STIGバージョン3リリース1に移行しました。Oracle Linuxソフトウェア・チャネルを介して提供されるscap-security-guideパッケージ(最小0.1.73-1.0.3)には、Oracle Linux 7バージョン3リリース1のDISA STIGに合せたSSG "STIG"プロファイルが含まれています。

Oracle Linux 7.9 2025年2月のSTIGイメージのコンプライアンス情報:

目標: Oracle Linux 7バージョン3リリース1用のDISAS STIGに準拠したSSG "STIG"プロファイル

  • チェックリスト・コンプライアンス・スコアx86_64: 81.65%
  • チェックリスト・コンプライアンス・スコアaarch64: 81.65%

目標: DISA STIG for Oracle Linux 7 Ver 3、Rel 1ベンチマークプロファイル

  • チェックリスト・コンプライアンス・スコアx86_64: 91.71%
  • チェックリスト・コンプライアンス・スコアaarch64: 91.71%
ノート

DISAのSTIG標準は、Oracle Linux 7 Ver 3、Rel 1およびOracle Linux 7 Ver 2、Rel 14の間では、文言以外に大きな変更はありませんでした。このため、Oracle Linux 7 Ver 2、Rel 14に準拠しているシステムは、Oracle Linux 7 Ver 3、Rel 1にも準拠しています。