Security Content Automation Protocol

Security Content Automation Protocol (SCAP、エスキャップと発音[1])とは、「脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の両立を目的とした仕様群」[2]である。 アメリカ国立標準技術研究所(NIST)により仕様が策定され(NIST 800-126,NIST 800-117,NISTIR 7511 rev2)、米国のNational Vulnerability Database英語版を始めとした各種脆弱性情報データベースで利用されており、日本でもJPCERT/CC情報処理推進機構(IPA)が共同管理している脆弱性情報データベースのJapan Vulnerability Notes (JVN)やJVN iPediaで利用されている[2]

SCAPの仕様

SCAPには以下の仕様が含まれている:

略称 正式名称 解説
SCAP version 1.0 (July, 2010)以降 CVE Common Vulnerabilities and Exposures
  • 脆弱性毎に「CVE-西暦-連番」という形のCVE識別番号(CVE-ID)を付与し脆弱性の概要(Description)、参考URL(References)、ステータス(Status、「候補」もしくは「登録」)を記述[2]
  • CVE識別番号はベンダーに依存しない共通の脆弱性識別子[2]
  • 米国政府から支援を受けた非営利組織であるMITRE社が中心となり仕様策定[2]
CCE Common Configuration Enumeration
  • ベンダーに依存しないセキュリティ設定項目の識別子[2]
  • CCE識別番号(CCE ID)、設定項目の概要(CCE Description)、設定値のタイプ(CCE Parameters)、技術的なチェック機構(CCE Technical Mechanisms)などからなる[2]
CPE Common Platform Enumeration
CWE Common Weakness Enumeration
  • ベンダーに依存しない共通の脆弱性分類方法[2]
  • 脆弱性をツリー構造で分類[2]
CVSS Common Vulnerability Scoring System
  • ベンダーに依存しない共通の脆弱性の評価手法に従い点数化[2]
  • 脆弱性の技術的な特性を表した「基本評価基準」、現時点での危険度を表した現状評価基準、製品利用者毎に評価が変わる「環境評価基準」に対し脆弱性の危険度を0.0~10.0の評価値(大きいほど危険)で表現[2]
  • 非営利組織FIRST(Forum of Incident Response and Security Teams)が中心となり仕様策定[2]
  • PCI DSSでも採用[2]
XCCDF Extensible Configuration Checklist Description Format
OVAL Open Vulnerability and Assessment Language
SCAP version 1.1 (February, 2011)以降 OCIL Open Checklist Interactive Language Version 2.0
SCAP version 1.2 (September, 2011)以降 AID Asset Identification
ARF Asset Reporting Format
CCSS Common Configuration Scoring System
TMSAD Trust Model for Security Automation Data

CVSSv3のフォーマット

基本評価基準

CVSSのバーション3.0の基本評価基準は例えば

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

というフォーマットで記述できる[3]。その意味は下記のとおりである[3][4]

略号 名称 意味 評価値とその意味
攻撃難易度 AV Attack Vector どこから攻撃可能か P L A N
物理 ローカル 隣接 ネットワーク
AC Attack Complexity 攻撃条件の複雑さ H L
PR Priviledges Required 攻撃に必要な特権レベル H L N
不要
UI User Interaction 攻撃に必要なユーザ関与のレベル R N
必要 不要
S Scope 影響範囲が脆弱性のあるコンポーネントの帰属するオーソリゼーションスコープに留まるか否か[4] C N
変更あり 変更なし
攻撃の影響 C Confidentiality Impact 機密性への影響 H L N
なし
I Integrity Impact 完全性への影響 H L N
なし
A Availavility Impact 可用性への影響 H L N
なし

現状評価基準

現状評価基準は下記の項目を評価する[4]

略号 名称 意味
E Exploit Code Maturity 攻撃される可能性 H F P U ND
常に使える攻撃コードが存在 or そもそも攻撃コードを必要としない ほとんどの状況で使える攻撃コードが存在 実証コードが存在 or 完成度の低い攻撃コードが存在 理論上攻撃可能だが実証コードや攻撃コードが存在しない 未評価
RL Remediation Level 利用可能な対策レベル U WF TF OF ND
利用可能な対策なし 製品開発者以外からの非公式な対策が利用可能 製品開発者の暫定的な対策が利用不能 製品開発者の正式な対策が利用可能 未評価
RC Report Confidence 脆弱性情報の信頼性 C UR UC ND
確認済(=製品開発者の確認、ソースコードレベルの脆弱性、実証コード、攻撃コードの存在確認) 未確証(=セキュリティベンダー等からの複数の非公式情報の存在、ソースコードレベルでの脆弱性の存在が確認できない、脆弱性の原因・検証が不十分) 未確認(=未確認情報のみの存在、相反する情報の存在) 未評価

環境評価基準

環境評価基準は下記の項目を評価する[4]

略号 名称 意味 評価値とその意味
環境条件を加味した基本評価の再評価 MAV Modified Attack Vector 緩和策を施した後、どこから攻撃可能か X(未評価)が増えた以外は基本評価基準の攻撃難易度の対応箇所と同一
MAC Modified Attack Complexity 緩和策を施した後、攻撃条件の複雑さ
MPR Modified Priviledges Required 緩和策を施した後、攻撃に必要な特権レベル
MUI Modified User Interaction 緩和策を施した後、攻撃に必要なユーザ関与のレベル
MS Modified Scope 緩和策を施した後、影響範囲が脆弱性のあるコンポーネントの帰属するオーソリゼーションスコープに留まるか否か[4]
対象システムのセキュリティ要求度 CR Confidentiality Requirement 機密性の要求度 H M L N
なし
IR Integrity Requirement 完全性の要求度 H M L N
なし
AR Availavility Requirement 可用性の要求度 H M L N
なし

mSCAP Checklists

Security Content Automation Protocol (SCAP) checklists standardize and enable automation of the linkage between computer security configurations and the NIST Special Publication 800-53 (SP 800-53) controls framework. The current[いつ?] version of SCAP is meant to perform initial measurement and continuous monitoring of security settings and corresponding SP 800-53 controls. Future versions will likely standardize and enable automation for implementing and changing security settings of corresponding SP 800-53 controls. In this way, SCAP contributes to the implementation, assessment, and monitoring steps of the NIST Risk Management Framework. Accordingly, SCAP forms an integral part of the NIST FISMA implementation project.

SCAP Validation Program

Security programs overseen by NIST focus on working with government and industry to establish more secure systems and networks by developing, managing and promoting security assessment tools, techniques, services, and supporting programs for testing, evaluation and validation; and addresses such areas as: development and maintenance of security metrics, security evaluation criteria and evaluation methodologies, tests and test methods; security-specific criteria for laboratory accreditation; guidance on the use of evaluated and tested products; research to address assurance methods and system-wide security and assessment methodologies; security protocol validation activities; and appropriate coordination with assessment-related activities of voluntary industry standards bodies and other assessment regimes.

Independent third party testing assures the customer/user that the product meets the NIST specifications. The SCAP standards can be complex and several configurations must be tested for each component and capability to ensure that the product meets the requirements. A third-party lab (accredited by National Voluntary Laboratory Accreditation Program (NVLAP)) provides assurance that the product has been thoroughly tested and has been found to meet all of the requirements. A vendor seeking validation of a product should contact an NVLAP accredited SCAP validation laboratory for assistance in the validation process.

A customer who is subject to the FISMA requirements, or wants to use security products that have been tested and validated to the SCAP standard by an independent third party laboratory should visit the SCAP validated products web page to verify the status of the product(s) being considered.

外部リンク

出典

[脚注の使い方]
  1. ^ Standards in reporting Software Flaws: SCAP, CVE and CWE”. Robin A. Gandhi, Ph.D.University of Nebraska at Omaha (UNO),College of Information Science and Technology (IS&T),School of Interdisciplinary Informatics (Si2),Nebraska University Center on Information Assurance (NUCIA). 2016年7月25日閲覧。
  2. ^ a b c d e f g h i j k l m 脆弱性対策の標準仕様SCAPの仕組み
  3. ^ a b IPA 2017 脆弱性対策の効果的な進め方 p47-48
  4. ^ a b c d e 共通脆弱性評価システムCVSS v3概説
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya