情報セキュリティ
最終更新日:2018年5月31日
独立行政法人 情報処理推進機構
セキュリティセンター
OVAL(Open Vulnerability and Assessment Language)
~コンピュータのセキュリティ設定状態を検査するための仕様~
セキュリティ検査言語OVAL(Open Vulnerability and Assessment Language)(*1)は、コンピュータのセキュリティ設定状況を検査するための仕様です。
OVALは、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*2)の構成要素のひとつです。
米国政府の支援を受けた非営利団体のMITRE社(*3)が中心となり仕様策定を進めてきたもので、2002年10月に開催されたSANS Network Security 2002において、脆弱性対策のための確認作業を機械的に実現するための仕様として発表されました。
2007年からは、米国政府のデスクトップ基準であるFDCC(Federal Desktop Core Configuration)(*4)での適用などを通して仕様改善が行われています。
ソフトウェアに脆弱性が発見されると、製品ベンダ、セキュリティベンダなどが提供する文書によって作成された脆弱性対策情報に基づき、手作業でその脆弱性がコンピュータに存在するかどうかを確認する場面はまだまだ多く見られます。OVALは、このような文書による脆弱性対策情報を、機械処理可能なXMLベースのOVAL言語で記述します。
OVAL言語で作成された脆弱性対策情報(以降、OVAL定義データ)は、そのOVAL定義データを解釈するプログラム(以降、OVALインタプリタ)を用いて機械的に処理することで脆弱性対策のための確認作業の自動化を可能とします。また、OVAL定義データは、OVALリポジトリとしてデータベース化することにより、利活用の促進が図られています。
OVALを用いると、脆弱性対策のための確認作業の自動化により管理工数の低減ができるようになります。また、文書という脆弱性対策情報と手作業による確認作業で発生しうる漏れを防ぐことができ、情報システムの資産管理への適用など、情報システムの全般の管理にも役立てることができます。
本資料はMITRE社から2009年9月11日に公開されたOVAL言語バージョン5.6の仕様書と、MITRE社が提供しているOVALリポジトリを基に作成しました。詳細は、MITRE社のOVAL言語の仕様書とOVALリポジトリを参照して下さい。
OVALを利用するためには、OVAL言語で検査方法を記述した定義データと、その定義データに記述された検査方法に従って検査するOVALインタプリタが必要になります。
OVAL言語は、プログラム上や設定上のセキュリティ問題の検査方法をXMLで記述するための仕様です。OVAL言語で記述する定義データは、テスト、オブジェクト、ステータスの3つのフィールドから構成されています(図1)。
オブジェクト・フィールドはファイルやレジストリなどの検査項目を記述する場所で、ステータス・フィールドは検査項目に格納されているであろう値を記述する場所です。テスト・フィールドでは、チェックに使用するオブジェクトとステータス・フィールドを指定します。
OVALインタプリタは、オブジェクト・フィールドで指定された検査項目の値を参照し、ステータス・フィールドで指定されている値と比較することで、プログラム上のセキュリティ問題や設定上のセキュリティ問題の存在有無の判定を行ないます。
また、OSやアプリケーション毎に検査方法が異なることを考慮し、OVAL言語では、システムに依存した個別記述をサポートすることで、OSやアプリケーション毎に異なる検査方法を実現しています。
OVAL言語バージョン5.6では、OS系としてApple Macintosh、Cisco CatOS、Cisco IOS、Cisco PixOS、FreeBSD、HP-UX、IBM AIX、Linux、Microsoft Windows、Sun Solaris、UNIXを対象とした個別仕様を規定しています。また、アプリケーションとしてApache、SharePoint、仮想マシン環境としてVMware ESXの個別仕様を規定しています。
MITRE社で運用しているOVALリポジトリは、OVAL関係者から構成されたコミュニティによって運用されているOVAL定義データのデータベースです。2013年5月末日現在、脆弱性チェックに関連するOVAL定義データは1万4千件近く登録されています。
MITRE社では、OVAL定義データを、脆弱性を識別するための共通の識別子であるCVE(*5)、製品を識別するための共通のプラットフォーム名の一覧であるCPE(*6)と関連付けて、OVALリポジトリ管理サイト( http://oval.mitre.org/repository/ )から提供しています(図2)。 また、2006年からは、Red Hat社が自社のセキュリティアドバイザリに対応したパッチ適用チェックのためのOVAL定義データ( http://www.redhat.com/oval )の提供を開始しています。
2007年には、NIST(*7)がSCAP推進のために、ソフトウェア製品のセキュリティ設定に関するチェックと、脆弱性対策のためのチェックを目的としたOVAL定義データ( http://nvd.nist.gov/scap/scap.cfm )の提供を開始しています。
ウイルスやボットの感染経路が多様化する中、OSやアプリケーション、ActiveXなどのプラグイン、ウイルス対策プログラムの定義データを随時最新の状態にするなどの対策が有効です。
IPAでは、NISTが公開しているFDCCを参考に、脆弱性対策情報データベース「JVN iPedia(*8)」に登録されている製品の中から、ウイルスやボットの感染経路の対象となりやすいソフトウェア製品を中心に、最新のバージョンであるかどうかをチェックするためのバージョンチェックツール「MyJVN(マイ・ジェイブイエヌ)バージョンチェッカ」を開発しました(*9)。
MyJVNバージョンチェッカはOVALインタプリタとして動作し、コンピュータにインストールされているソフトウェア製品のインストール有無、インストールされているバージョン情報をOVAL言語で作成したOVAL定義データに基づき検査することにより、マルチベンダ環境でのソフトウェア製品のバージョンチェックを実現しています。
また、MyJVNバージョンチェッカでは、製品識別子としてCPE名を利用することで、脆弱性対策情報データベース「JVN iPedia」で公開するそれぞれの脆弱性対策情報との関連付けを可能としています。
今後、NIST、MITRE社などが整備するOVALリポジトリとの連携を図り、OVAL言語を用いて作成したOVAL定義データを充実していくことで、脆弱性対策情報の提供ならびに流通基盤の整備を図っていくなど、検討を行っていきます。
OVALを利用した脆弱性対策を進めていく上で、OVAL言語で作成された脆弱性対策情報(OVAL定義データ)やOVAL定義データを解釈するプログラム(OVALインタプリタ)が、共通仕様に基づき相互利用できるよう適切に運用されることが重要になります。
このため、OVAL定義データの取り扱い関する互換性確保、ベストプラクティスの共有などを目的としたOVAL Adoption Program(OVAL準拠)という認定制度があります。この認定制度では、オーサリングツール、OVAL定義データを使った検査ツール(OVALインタプリタ)などの製品だけではなく、OVAL定義データのリポジトリなどのサービスも対象となっています。
OVAL準拠として認定されるためには、共通要件と機能種別毎に用意された個別要件を満たす必要があります。なお、MyJVNバージョンチェッカおよびMyJVNセキュリティ設定チェッカの機能種別は『OVAL定義データを使った検査ツール』となります。また、MyJVN APIの機能種別は『OVAL定義データのリポジトリ』となります。
2013年5月末日時点で、OVAL Adoption (OVAL準拠)の認定を受けた組織数は16、製品/サービス数は22、OVAL Adoption (OVAL準拠)の認定手続き中の組織数は42、製品/サービス数は57となっています。
OVAL Adoption (OVAL準拠)の認定プロセスは、おおきく「宣言」「評価」の2つのステップから構成されています。
OVAL準拠の認定を希望する組織が、ツールやサービスがOVAL準拠の認定要件を満たすよう対応していくという意思表示のフェーズで、ツールやサービスの機能種別、用途種別とサービス状態(利用可、計画中、プロトタイプ)を提示します。ステップ1では、次のような手続きを行う必要があります。
審査機関であるMITRE社から、OVAL準拠の認定を受けるための評価フェーズで、ツールやサービスが要件をどのように満たしているのかを提示することになります。ステップ2では、OVAL準拠の認定を希望する組織から提出された「OVAL準拠質問表」(要件をどのように満たしているのかを詳細に記載した申請書)を元に、審査が行なわれます。
IPAでは、MyJVNバージョンチェッカおよび、MyJVNセキュリティ設定チェッカを対象に、OVAL準拠の認定を受けるための文書整備作業を進め、2011年2月2日、OVAL準拠を宣言し、2011年3月15日、MyJVNバージョンチェッカ、MyJVNセキュリティ設定チェッカがOVAL定義データを使った検査ツールとしてOVAL Adoption(OVAL準拠)の認定を受けました。また、MyJVN API については、2013年5月6日、OVAL定義データのリポジトリとしてOVAL Adoption(OVAL準拠)の認定を受けました。
MyJVNバージョンチェッカ |
|
---|---|
MyJVNセキュリティ設定チェッカ |
|
MyJVN API |
|
MyJVNバージョンチェッカ、 |
|
---|
今後もOVAL等の共通基準の導入を進めることで、グローバルなJVN、JVN iPedia、MyJVNの実現ならびに、国内外の脆弱性対策情報流通の促進を図ると共に、利用者側での効率的な脆弱性対策を実現する利活用基盤を整備していきます。
IPA セキュリティセンター(IPA/ISEC)
2018年5月31日
お問合せ先を更新
2015年7月22日
参考情報を追加
2014年3月20日
参考情報を追加
2013年6月10日
「4.OVAL Adoption (OVAL準拠)」にMyJVN APIの記述を追記しました。
2011年9月28日
「4.OVAL Adoption (OVAL準拠)」の記述を追記しました。
2010年6月24日
参考情報を追加しました。
2010年2月25日
参考情報を追加しました。
2009年11月30日
掲載