こんにちは、mokakoです。
今日はセキュリティ設定共通化プロトコルSCAPついてまとめてみました。
SCAPにはCVEやCPEやCCEなど似た言葉も多いので整理したいと思います。
SCAP
そもそもSCAPとは、Security Content Automation Protocol:セキュリティ設定共通化プロトコルの略で、NISTによって定められました。SCAPには標準指標が含まれ、それはバージョンによって変わります。NISTによると現在のv1.3では、
- 言語:XCCDF、OVAL、OCIL、Asset Identification、ARF
- 識別スキーム:CCE、CPE、SWID、CVE
- 指標:CVSS、CCSS
などがあります。今回はこの中から赤字にしているものを整理しました。
CVE
Common Vulnerabilities and Exposure:共通脆弱性識別子
CVE-2023-XXのような形をしていて、脆弱性を一意に識別することができます。
CVSS
Common Vulnerability Scoring System:共通脆弱性評価システム
公開された脆弱性のリスクを計算します。評価の基準は以下の3つです。
– 基本評価基準
– 現状評価基準
– 環境評価基準
CPE
Common Platform Enumeration:共通プラットフォームタイプ
ハードウェア、ソフトウェア、OS等のクラス(種類)を記述および識別することができます。
CCE
Common Configuration Enumeration:共通構成タイプ
コンピュータのセキュリティ設定項目を識別することができます。
XCCDF
eXtensible Checklist Configuration Description Format:拡張可能な構成チェックリスト記述形式
セキュリティチェックリストに関し、システムの設定や基準値などをドキュメントにする際に使用する仕様言語です。
OVAL
Open Vulnerability and Assessment Language:セキュリティ検査言語
システムの設定値やバージョンを自動で検査し、報告できるようにするための仕様言語です。
まとめ
いかがでしたでしょうか。この記事が少しでも皆さまの役に立つことができれば幸いです。
最後までお読みいただき、ありがとうございました!
参考にしたサイト
- セキュリティ設定共通化手順SCAP概説
https://www.ipa.go.jp/security/vuln/SCAP.html - Overview About the CVE Program
https://www.cve.org/About/Overview - Common Vulnerability Scoring System SIG
https://www.first.org/cvss/ - Common Platform Enumeration (CPE)
https://csrc.nist.gov/Projects/Security-Content-Automation-Protocol/Specifications/cpe - Extensible Configuration Checklist Description Format (XCCDF)
https://csrc.nist.gov/projects/security-content-automation-protocol/specifications/xccdf - OVAL
https://oval.mitre.org/
コメント