前回の記事でOpenSCAPの概要と、簡単な使い方については理解できたので、 今回は実用的な使い方について調査してみました。 SCAPを利用する上で最も重要なのが、どんなSCAP content(スキャンのポリシ)を利用するかだと思います。 SCAP contentは自分で構築することもできますが、 効果的/網羅的なポリシを自分で作り、メンテナンスし続けるのはなかなか骨の折れる作業だと思います。 ということで、今回はThe SCAP Security Guide project(以下SSG, https://fedorahosted.org/scap-security-guide/)で提供されている SCAP contentを使ってスキャンするときの手順をまとめます。 SCAP contentの取得 SSGが提供するSCAP contentは、RPMでインストールもしくはGitHubから取