セキュリティ監査比較：OpenSCAP vs Wazuh vs Lynis でコンプライアンスを監査する

🔍 サーバーのセキュリティ設定を自動チェックするコンプライアンス監査ツール。OpenSCAP・Wazuh・Lynisの特徴と使い分けを徹底解説します。

セキュリティ監査・コンプライアンスとは

CIS Benchmarks・NIST・PCI DSS・SOC2等の基準に沿ってサーバー設定を自動検証するプロセスです。手動チェックを自動化し、継続的なセキュリティ維持を実現します。

主要ツール比較表

項目	OpenSCAP	Wazuh	Lynis
ライセンス	LGPL	GPL v2	GPL v3
主な用途	SCAP標準準拠監査	SIEM+コンプライアンス	ローカルセキュリティ監査
エージェント	ローカル実行	エージェント型	ローカル実行
対応基準	CIS/DISA STIG/HIPAA	CIS/PCI DSS/GDPR	汎用ベストプラクティス
ダッシュボード	OpenSCAP Workbench	Wazuh Dashboard（Kibana）	CLIレポート
リアルタイム監視	×	◎	×
エージェントレス	◎	△	◎
セットアップ難度	中	高	低

各ツールの特徴

OpenSCAP

NIST策定のSCAP（Security Content Automation Protocol）標準に完全準拠した監査ツール。政府機関・医療機関でのコンプライアンス要件に対応します。

主な特徴:

• XCCDF/OVAL形式のセキュリティポリシーを使用
• CIS Benchmarks・DISA STIG・PCI DSS対応コンテンツを公式提供
• Remediation Script（修正スクリプト）の自動生成
• HTML/XMLレポートの出力

# OpenSCAPのインストール（RHEL/CentOS）
sudo yum install scap-security-guide openscap-scanner

# CIS Benchmarkでスキャン
sudo oscap xccdf eval   --profile xccdf_org.ssgproject.content_profile_cis   --results /tmp/results.xml   --report /tmp/report.html   /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

# レポートをブラウザで確認
open /tmp/report.html

# 修正スクリプトの生成
sudo oscap xccdf generate fix   --profile xccdf_org.ssgproject.content_profile_cis   --fix-type bash   --output /tmp/fix.sh   /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

# Ansible Playbookとして生成
sudo oscap xccdf generate fix   --fix-type ansible   --output /tmp/fix.yml   /tmp/results.xml

向いているケース: 政府機関・医療・金融のコンプライアンス要件

Wazuh

OSSEC後継のSIEMプラットフォーム。リアルタイムのセキュリティ監視とコンプライアンスチェックを統合しています。

主な特徴:

• エージェントでのリアルタイムログ監視・脅威検出
• CIS Benchmarks・PCI DSS・GDPR・HIPAA準拠チェック
• FIM（ファイル完全性監視）
• OpenSearch/Kibanaベースの高機能ダッシュボード
• クラウド環境（AWS/Azure/GCP）の設定監視

# wazuh-agent の設定（/var/ossec/etc/ossec.conf）
<ossec_config>
  <sca>
    <enabled>yes</enabled>
    <interval>12h</interval>
    <scan_on_start>yes</scan_on_start>
  </sca>

  <rootcheck>
    <disabled>no</disabled>
    <check_files>yes</check_files>
    <check_pids>yes</check_pids>
  </rootcheck>

  <file_integrity_monitoring>
    <enabled>yes</enabled>
    <directories>/etc,/usr/bin,/usr/sbin</directories>
    <directories>/var/www/html</directories>
  </file_integrity_monitoring>
</ossec_config>

# Docker Composeでデプロイ
curl -sO https://packages.wazuh.com/4.7/docker/docker-compose.yml
docker compose up -d

# ダッシュボードアクセス
# https://localhost (admin/SecretPassword)

向いているケース: 継続的セキュリティ監視・SIEM統合・大規模環境

Lynis

ローカルで即座に実行できるシンプルなセキュリティ監査ツール。インストール不要でsshでサーバーに入って即スキャンできます。

主な特徴:

• シェルスクリプトで動作（依存関係なし）
• 200以上のセキュリティチェック項目
• Linux・macOS・BSD対応
• CI/CD統合でDevSecOpsに活用

# インストール（パッケージ管理）
sudo apt install lynis    # Debian/Ubuntu
sudo yum install lynis    # RHEL/CentOS
brew install lynis        # macOS

# システム監査の実行
sudo lynis audit system

# 出力例
# [+] Checking SSH
#     - SSH configured properly:          PASS
#     - PermitRootLogin:                  FAIL (set to yes)
# [+] Checking file permissions
#     - /etc/crontab permissions:         OK

# CI/CD向け（スコアのみ出力）
sudo lynis audit system --no-colors | grep "Hardening index"
# → Hardening index : 72 [##############      ]

# DevSecOpsでの使い方
sudo lynis audit system --quick --no-log
echo "Exit code: $?"  # 0=問題なし、非0=要確認

向いているケース: ローカル監査・手軽なチェック・CI統合

選択ガイド

状況	推奨
規制準拠（SCAP/STIG/HIPAA）	OpenSCAP
継続的監視・SIEM統合	Wazuh
クイックチェック・CI統合	Lynis

内部リンク

• データ匿名化ツール比較
• OSSのコンテナセキュリティ比較

外部リソース

• OpenSCAP 公式サイト↗
• Wazuh 公式ドキュメント↗
• Lynis GitHub↗
• CIS Benchmarks（無料ダウンロード）↗

FAQ

Q. CIS Benchmarksとは何ですか？

Center for Internet Security（CIS）が公開する、OSやアプリケーションのセキュリティ設定のベストプラクティス集です。無料でダウンロードできます。

Q. LynisのスコアはいくつあればOKですか？

明確な合格基準はありませんが、70以上を目指すのが一般的です。本番サーバーは80以上を推奨します。

Q. Wazuhのエージェントはどのくらいリソースを使いますか？

メモリ35〜50MB程度、CPU 1〜3%程度（通常時）です。ログ量が多い環境ではより高くなります。

Q. これらのツールはWindowsサーバーでも使えますか？

WazuhのエージェントはWindows対応です。OpenSCAPもWindowsコンテンツが一部あります。LynisはUnix系専用です。