情報セキュリティ

セキュリティ設定共通化手順SCAP概説

最終更新日:2015年7月22日

独立行政法人 情報処理推進機構
セキュリティセンター

SCAP(Security Content Automation Protocol)
~情報セキュリティ対策の自動化と標準化を実現する技術仕様~

米国では「脆弱性発生件数の増加(*1)」など、社会におけるセキュリティへの関心が高まるなか、政府省庁の情報セキュリティ対策への要求として、情報システムのセキュリティを強化することを義務付けた法律FISMA(Federal Information Security Management Act:連邦情報セキュリティマネジメント法)が2002年に施行されました。

これに伴い政府省庁では、様々な法律(FISMA、SOX法など)や連邦政府情報処理規格(Federal Information Processing Standards:FIPS)、ガイドライン(NIST SP800シリーズ)などからセキュリティ要求事項を洗い出し、あらゆる情報システム(モバイルユーザ向け、エンタープライズ、クライアントなど)に対してセキュリティ要求事項を反映する必要がありました。

その結果、政府省庁では、セキュリティコンプライアンスへの技術的対応に膨大な時間と労力などのリソースを費やし、複雑化したコンプライアンスへの管理に対する負荷は増大しました。また、設定作業を手作業で行うと、設定ミスや設定者のセキュリティ知識の程度、判断の相違などからセキュリティが損なわれる可能性がある事などから、作業を自動化する事が効率牲・有効性の観点から求められるようになりました。

これらの要因からNIST(National Institute of Standards and Technology)(*2)において、情報セキュリティ対策の自動化と標準化を目指したSCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)の開発が行われました。  
現在、SCAPは次の6つの標準仕様から構成されています。

1. 脆弱性を識別するためのCVE

CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)(*3)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(*4)が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。

個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Bの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

CVEは、1999年1月に、アメリカのパーデュ大学で開催された2nd Workshop on Research with Security Vulnerability Databasesにおいて、脆弱性に関する情報共有のための方法としてMITRE社によって提案されました。

MITRE社では、DHS(Department of Homeland Security:国土安全保障省)の資金援助のもと、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のない採番に努めています。

IPAとJPCERT/CCが共同で運営している脆弱性対策情報ポータルサイトJVN(*5)、および脆弱性対策情報データベースJVN iPedia(*6)も、MITRE社と連携してCVE採番の枠組みに参加するため、JVNで公表する脆弱性に対するCVEの割り当てを申請することとし、2008年10月からはMITRE社が公表している「CVE情報源サイト(*7)」の一つとして公示されるようになりました。

CVEにはCVE互換認定の制度があり、脆弱性検査ツールや脆弱性対策情報提供サービス等がCVE識別番号の正確な表示、適切な関連付け、CVE識別番号による情報の検索などの機能要件を満たし、MITRE社へ申請するとCVE互換認定が受けられます。CVE互換認定を受けると、MITRE社のウェブサイトで紹介される、CVEのロゴが使用できる等のメリットがあります。

2. セキュリティ設定を識別するためのCCE

CCE(Common Configuration Enumeration:共通セキュリティ設定一覧)(*9)は、システム設定情報に対して共通の識別番号「CCE識別番号(CCE-ID)」を付与することで、脆弱性対策情報源やセキュリティツール間のデータ連携を実現しています。SCAPでは、セキュリティに関連するシステム設定項目を識別するためにCCEを利用しています。

例えば、パスワード設定に関連した項目にも、パスワードの有効期限、パスワードの長さ(何文字以上など)、パスワードの複雑さ(英数字以外の使用など)、パスワードの履歴管理(同じパスワードを使えない回数)など、いくつか項目があります。CCEでは、これら一つひとつの設定項目に一意のCCE識別番号を付与して管理します。

2008年3月にSun Solaris 10用、2009年1月にWindows Vista, XP, 2000, Server 2008, Server 2003、Office 2007、Internet Explorer 7用、2009年5月にRed Hat Enterprise Linux 5, Linux 4、Sun Solaris 9, Solaris 8、AIX 5.3、HP-UX 11.23用のCCE バージョン5が公開されています。

CCEはDoD(Department of Defense:米国国防総省)の資金援助のもと、MITRE社が管理・運営しています。

3. 製品を識別するためのCPE

CPE(Common Platform Enumeration:共通プラットフォーム一覧)(*10)は、情報システムを構成する、ハードウェア、ソフトウェアなどを識別するための共通の名称基準を目指しています。

 DoDの資金援助のもと、MITRE社が中心となり仕様策定を進められており、2007年1月に最初の原案であるCPEバージョン1.0が公開されました。その後、米国の脆弱性情報データベースであるNISTのNVD(National Vulnerability Database)(*11)、米国政府のデスクトップ基準であるFDCC(Federal Desktop Core Configuration:連邦政府共通デスクトップ基準)(*付録1)の適用を通して、仕様改善が行われ、2009年3月にCPEバージョン2.2が公開されました。

 CPEでは、ハードウェア、オペレーティングシステム、アプリケーションなどのプラットフォームを識別するための、構造化された名称体系を規定しています。また、規定に沿ってプラットフォームに付与した名称の一覧がCPE Dictionaryとして、2008年4月にNISTから公開されています。

 CPEを用いると、ベンダー、セキュリティ専門家、情報システム管理者、ユーザ等の間で、脆弱性の存在する対象となるプラットフォームを共通の言葉で議論できるようになります。また、情報システムの資産管理への適用など、情報システムの全般の管理にも役立てることができます。

 IPAでも、CPE Dictionaryを参考に、脆弱性対策情報データベースJVN iPediaで公開するそれぞれの脆弱性対策情報をCPE名で関連付ける脆弱性対策情報共有ツールMyJVNを2008年10月に公開しました(*12)。

4. 脆弱性の深刻度を評価するためのCVSS

CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)(*13)は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(National Infrastructure Advisory Council:NIAC)のプロジェクトで2004年10月に原案が作成されました。

その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)(*14)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSSバージョン1が、2007年6月にCVSSバージョン2が公開されました。

CVSSは、(1)脆弱性そのものの特性を評価する基本評価基準(Base Metrics)、(2)脆弱性の現在の深刻度を評価する現状評価基準(Temporal Metrics)、(3)製品利用者の利用環境も含め最終的な脆弱性の深刻度を評価する環境評価基準(Environmental Metrics)の3つの視点から評価を行なえます。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できます。

現在、CVSSは、30を超える組織で採用されています(*15)。IPAもCVSS-SIGに参画しており、脆弱性対策情報データベースJVN iPediaや、脆弱性関連情報の調査結果のウェブサイトでCVSS基本値を公表しています(*16)。

5. チェックリストを記述するためのXCCDF

XCCDF(eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式)(*17)は、セキュリティチェックリストやベンチマークなどを記述するための仕様言語です。

ソフトウェアの設定上のセキュリティ問題について、組織としてチェックすべき項目を用意し、例えば、パスワードの有効期限、パスワードの長さ、パスワードの複雑さ、パスワードの履歴管理などの具体的な項目をCCEと共にリストアップし、XCCDFの仕様に沿ってチェックリストを作成します。プログラム自身に内在する脆弱性についても同様で、例えば「セキュリティ修正プログラムの適用」という項目をXCCDF の仕様に沿ってチェックリストを作成します。

XCCDFで記述されたチェックリストは、情報システムに対するセキュリティ設定規則を構造化した集合体です。その仕様は、情報交換、文書生成、組織または状況への適合、整合性のテスト及び評価の自動化をサポートするようデザインされており、データモデルやベンチマーク整合性テスト結果の格納フォーマットを定義します。

XCCDFの主旨は、セキュリティチェックリスト、ベンチマーク、その他設定ガイドの表現に、単一の基盤を提供することであり、適切なセキュリティ対策の幅広い適用を促進するものです。XCCDFは、セキュリティ関連機関の協力により、NSA(National Security Agency:国家安全保障局)が主体となって開発し、NISTにより公表されています。

6. 脆弱性やセキュリティ設定をチェックするためのOVAL

OVAL(Open Vulnerability and Assessment Language:セキュリティ検査言語)(*18)は、コンピュータのセキュリティ設定状況を検査するための仕様です。MITRE社が中心となり仕様策定を進めてきたもので、2002年10月に開催されたSANS Network Security 2002において、脆弱性対策のための確認作業を機械的に実現するための仕様として発表されました。

ソフトウェアに脆弱性が発見されると、製品ベンダー、セキュリティベンダーなどが提供する文書によって作成された脆弱性対策情報に基づき、手作業でその脆弱性がコンピュータに存在するかどうかを確認する場面はまだまだ多く見られます。OVALは、このような文書による脆弱性対策情報を、機械処理可能なXMLベースのOVAL言語で記述します。

OVAL言語で作成された脆弱性対策情報(以降、OVAL定義データ)は、そのOVAL定義データを解釈するプログラム(以降、OVALインタプリタ)を用いて機械的に処理することで脆弱性対策のための確認作業の自動化を可能とします。また、OVAL定義データは、OVALリポジトリとしてデータベース化することにより、利活用の促進が図られています。

OVALを用いると、脆弱性対策のための確認作業の自動化により管理工数の低減ができるようになります。また、文書という脆弱性対策情報と手作業による確認作業で発生しうる漏れを防ぐことができ、情報システムの資産管理への適用など、情報システムの全般の管理にも役立てることができます。

IPAでも、脆弱性対策情報データベース「JVN iPedia」に登録されている製品の中から、ウイルスやボットの感染経路の対象となりやすいソフトウェア製品を中心に、最新のバージョンであるかどうかをチェックするためのバージョンチェックツール「MyJVNバージョンチェッカ」を2009年11月に公開しました(*19)。

付録. その他の標準仕様

(1)連邦政府のデスクトップのセキュリティ基準FDCC

FDCC(Federal Desktop Core Configuration:連邦政府共通デスクトップ基準)(*20)は米国の行政予算管理局(OMB:Office of Management and Budget)が推進している、連邦政府のデスクトップ基準です。

Windowsソフトウェアを連邦政府が定めた「共通セキュリティ設定」に準拠させることにより、ベースラインのセキュリティを確保しつつ、ヘルプデスクおよびパッチ検証にかかる費用を大幅に削減することを目的としています。現在、Windows XP Professional SP2およびWindows Vistaを対象に活動を推進しています。

FDCCでは、Windows XP用として#76:Prose Guide - NIST SP 800-68とマイクロソフトのInternet Explorer 7.0セキュリティガイドを、Windows Vista用として#88:Prose Guide - Windows Vista Security GuideとInternet Explorer 7.0セキュリティガイドをベースとした「共通セキュリティ設定」を作成しています。

FDCCでは、連邦政府のデスクトップ環境がFDCCに沿っているかを自動チェックする手段の一つとしてSCAPを普及展開しています。2008年10月にFDCCサイトからリリースされたFDCC Major Version 1.1のSCAPコンテンツには、Windows XP、Windows Vista、XP firewall、Vista firewall、Internet Explorer 7.0に関連した「プログラム上のセキュリティ問題」や「設定上のセキュリティ問題」をチェックするためのデータが含まれています。

(2)脆弱性の種類を分類するためのCWE

CWE(Common Weakness Enumeration:共通脆弱性タイプ一覧)(*21)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたる脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供しています。

CWEを用いると、ソフトウェア開発者やセキュリティ専門家などが、(1)ソフトウェアのアーキテクチャ、デザイン、コードに内在する脆弱性に関して、共通の言葉で議論できるようになる。(2)脆弱性検査ツールなど、ソフトウェアのセキュリティを向上させるためのツールの標準の評価尺度として使用できる。(3)脆弱性の原因を認識し、脆弱性の低減を行い、再発を防止するための共通の基準として活用できる。などのメリットがあります。

CWEは、NISTのNVD、OWASP(*22)のTop Ten Project(*23)や、いくつかのセキュリティベンダーなどで実際に活用されています。IPAでも、JVN iPediaの情報拡充や国際協力の強化に向けて、2008年9月から脆弱性対策情報の参考情報欄にCWEの脆弱性タイプを掲載しています(*24)。2010年2月にはMITRE社とSANS(*25)がとりまとめた、「2010 CWE/SANS Top 25 Most Dangerous Programming Errors(*26)」が発表されました。

CWEにはCWE互換認定の制度があり、脆弱性検査ツールや脆弱性対策情報提供サービス等がCWE識別子の正確な表示、CWE識別子による情報の検索などの機能要件を満たし、MITRE社へ申請するとCWE互換認定が受けられます。CWE互換認定を受けると、MITRE社のウェブサイトで紹介される、CWEのロゴが使用できる等のメリットがあります。

脚注

  1. (*1)
    米国の脆弱性情報データベースNVD(*11)への登録件数が2000年に年間1,000件を突破。2006年には年間6,600件に達した。
  2. (*2)
    国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
  3. (*3)
  4. (*4)
    MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。
  5. (*5)
    Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内で利用されている製品の脆弱性対策情報を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
  6. (*6)
    Vulnerability Countermeasure Information Database。脆弱性対策情報データベースJVN iPedia(ジェイブイエヌ アイ・ペディア)は、国内で利用されているソフトウェアを対象にした脆弱性対策情報を網羅・蓄積し、公開しています。
  7. (*7)
  8. (*8)
    Filtered Vulnerability Countermeasure Information Tool。脆弱性対策情報収集ツールMyJVN(マイ・ジェイブイエヌ)は、JVN iPediaに登録された脆弱性対策情報の中から、利用者が必要とする情報のみを効率的に収集できます。
  9. (*9)
  10. (*10)
  11. (*11)
    National Vulnerability Database。NISTが運営する脆弱性情報データベース。
  12. (*12)
  13. (*13)
  14. (*14)
    コンピュータセキュリティインシデント対応チームフォーラム。コンピュータセキュリティに関するインシデント(事故)への対応・調整・サポートをするCSIRT(Computer Security Incident Response Team)の連合体。
  15. (*15)
  16. (*16)
  17. (*17)
  18. (*18)
  19. (*19)
  20. (*20)
  21. (*21)
  22. (*22)
    Open Web Application Security Project。ウェブアプリケーションやウェブサービスを安全にするためのオープンソースソフトウェアの開発や、ソフトウェアのセキュリティを高めるための普及・啓発資料などを整備している非営利プロジェクト。
  23. (*23)
    ウェブアプリケーションの脆弱性対策の重要性の啓蒙を目的に、OWASPがウェブアプリケーションにおける深刻な脆弱性に絞り、上位10個の脆弱性をまとめたもの。
  24. (*24)
  25. (*25)
    SANS Institute。政府や企業・団体間における研究、ITセキュリティ教育を行う米国の組織。
  26. (*26)

お問い合わせ先

IPA セキュリティセンター(IPA/ISEC)

  • E-mail

    vuln-inqアットマークipa.go.jp

更新履歴

  • 2015年7月22日

    参考情報を追加

  • 2014年3月20日

    参考情報を追加

  • 2010年6月24日

    参考情報を追加

  • 2010年2月25日

    掲載