SCAPとは
SCAPはSecurity Content Automation Protocol(セキュリティ設定共通化手順)の略で、セキュリティに関する作業負荷を低減するため、自動化や作業の効率化を目的に、
セキュリティ情報を伝達する際のフォーマットや命名を標準化する仕様群です。
なお、SCAPはNIST SP800-126で仕様が策定されています。
SCAPの構成要素
SCAPは次の6つの標準仕様から構成されています。
- 脆弱性を識別するためのCVE
CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。 - セキュリティ設定を識別するためのCCE
CCE(Common Configuration Enumeration:共通セキュリティ設定一覧)は、システム設定情報に対して共通の識別番号「CCE識別番号(CCE-ID)」を付与することで、脆弱性対策情報源やセキュリティツール間のデータ連携を実現しています。SCAPでは、セキュリティに関連するシステム設定項目を識別するためにCCEを利用しています。CCEは、以前はMITREが管理していましたが、現在はNISTが管理しています。 - 製品を識別するためのCPE
CPE(Common Platform Enumeration:共通プラットフォーム一覧)は、ハードウェア、オペレーティングシステム、アプリケーションなどのプラットフォームを識別するための、構造化された名称体系を規定しています。規定に沿ってプラットフォームに付与した名称の一覧がCPE Dictionaryとして、NISTから公開されています。
CPEを用いると、ベンダー、セキュリティ専門家、情報システム管理者、ユーザ等の間で、脆弱性の存在する対象となるプラットフォームを共通の言葉で議論できるようになります。
- 脆弱性の深刻度を評価するためのCVSS
CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)は、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。CVSSは、以下の3つの視点から脆弱性を評価します。
(1)脆弱性そのものの特性を評価する基本評価基準(Base Metrics)
(2)脆弱性の現在の深刻度を評価する現状評価基準(Temporal Metrics)
(3)製品利用者の利用環境も含め最終的な脆弱性の深刻度を評価する環境評価基準(Environmental Metrics)
CVSSにはv2とv3の2つがあります。v2は2007年にリリースされましたが、仮想化やサンドボックス化などが進んできていることから、v3ではコンポーネント単位で評価が行えるように仕様が変更されています。 - チェックリストを記述するためのXCCDF
XCCDF(eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式)は、セキュリティチェックリストやベンチマークなどを記述するための仕様言語です。 - 脆弱性やセキュリティ設定をチェックするためのOVAL
OVAL(Open Vulnerability and Assessment Language:セキュリティ検査言語)は、システムのセキュリティに関する設定のチェックやパッケージのバージョン情報など、セキュリティに関する検査を自動的に実行するために策定された仕様です。
発見された脆弱性について、機械処理可能なXMLベースのOVAL言語で脆弱性情報を記述することで、OVALインタプリタを用いて機械的に処理することができます。
参考にさせていただいたサイト
