上記で説明されているInSpecのスキャン項目のカスタマイズ/チューニング方法のやり方を紹介します。
コードのコメントアウト
下記のCIS Red Hat Enterprise Linux 8 Benchmark v2.0.0 の項目1.1.1.1のスキャンや修正をスキップするためにコードを修正していきます。
*cramfsのマウントがdisableになっている必要があるようです。
Progress Chefから提供されるテストコードや自動修正コードは、これらを監査し自動修正するようになってしまっています。次のコードが実行箇所になります。
(一部黒塗りにして隠しているのは、顧客にProgress Chef社が提供するコードであるため一般に公開することができないためです。)
上記のままでは、項目1.1.1.1のスキャンや修正が実行されてしまうため、コメントアウトする必要があります。次にようにコードの先頭に # を入力することでコードをスキップさせることができます。
これで、不必要な項目の監査と自動修正をスキップさせることができるようになりました。
今回は、CISベンチマークを例として使用しましたが、STIGや他のベンチマークに関しても同様の方法で、セキュリティスキャンと自動修正のカスタマイズ/チューニングをすることができます。
InSpec機能を使う場合(Waivers)
よりスマートなスキャン項目の管理はWaiversで行うことができますが、使い方についてはまた別の記事で扱います。