脆弱性対策のための基礎知識～SCAP規格の徹底解説～

脆弱性管理に必須！セキュリティ対策の自動化と標準化を実現する技術仕様

近年の情報社会化では、脆弱性の脅威からシステムを保護するために継続的に脆弱性管理やセキュリティスキャンを行うことが求められる場面が多くなっています。脆弱性対策のソフトウェアやツールがいくつも開発されていますが、これらの脆弱性情報の管理方法が何に基づいて決められているか、どのように適用されるか、など詳細な部分についてはなかなか理解が難しいのが現状です。

この状況を受けて、情報セキュリティ対策におけるシステム脆弱性測定の標準化・自動化手法の理解を助けるため、SCAP と呼ばれるセキュリティ設定共通化手順、それに関連した言語仕様、ツールなどについて解説したドキュメントを公開しました。

同ドキュメントでは、セキュリティ情報のフォーマットを標準化するための仕様群である SCAP が、どのような思想で、どのように策定されているのかをはじめとして、SCAP が策定するセキュリティ言語仕様のうち、利用されることが多い "OVAL" と "XCCDF" という言語仕様について、サンプルファイルを用いて説明します。
また、SCAP 仕様を用いて実際にシステムへ問い合わせを行なう SCAP スキャナー "OpenSCAP" の紹介・使用方法と実際の使用例や、OVAL および XCCDF を用いたシステムの脆弱性スキャン機能に絞って解説します。

SCAP 解説資料ダウンロードはこちら

本記事では、解説の前提となるSCAPについて要約します。

セキュリティ設定共通化手順 SCAPとは？

SCAP(Security Content Automation Protocol)[1] とは、さまざまな産業技術の標準化を取り扱う米国政府配下の研究所である NIST (National Institute of Standards and Technology) によって仕様が策定されている、セキュリティポリシーの規格群です。ソフトウェアの脆弱性やセキュリティポリシーの形式・命名方法を一連の仕様によって標準化し、自動化による脆弱性・パッチチェックの負荷軽減やセキュリティ製品の運用を促進することを目的としています。

SCAP にはバージョンがいくつか存在していますが、今回は SCAP v1.3 を例に説明します。
SCAP は以下の5つのカテゴリーの仕様（12個のコンポーネント）を含んでいます。

言語

セキュリティポリシーを評価するための標準的な語彙・規約を提供する
"XCCDF"、"OVAL"、"OCIL"

レポート形式

収集された情報を "AID(Asset Identification)" で定義した "ARF" 形式で提供する

識別スキーマ

標準化された脆弱性識別子を用いて、ソフトウェアなどの概要を識別する
"CPE"、"SWID"、"CCE"、"CVE"

スコアリングシステム

脆弱性の特性から重要度を反映するスコアを提供する
"CVSS"、"CCSS"

SCAPの完全性

SCAP コンテンツの整合性を維持するため、"TMSAD" にてコンテツへの信頼を確立する

オープンソースの OpenSCAP

現在、SCAP の仕様に基づいたフォーマットを使って、SCAP を実装したソフトウェアがいくつか提供されています。なかでも、オープンソースのソフトウェアで広く利用されているOpenSCAPがあります。

OpenSCAP はさまざまな利用方法がありますが、以下のように活用することで脆弱性・ポリシーの管理を自動化することができます。

OVAL を用いたシステムの脆弱性チェック
XCCDF (+ OVAL)を用いたセキュリティポリシーチェック
OVAL などのスキャン結果を HTML などの人間が視認しやすいフォーマットで出力
OVAL ファイルなどのスキャン用入力ファイルの整合性確認
RHEL 系 OS のインストール時に、セキュリティポリシーの項目で選択したポリシーに沿った設定をデフォルト値として適用する

これにより、システム上に存在する数々の脆弱性やセキュリティ設定の漏れなどを手動で探す手間を省き、コストを抑えることができます。

RedHat や CentOS のインストールで設定可能なセキュリティポリシーも、この OpenSCAP のアドオンが利用されています。

「脆弱性対策のための基礎知識　SCAP規格・ツール解説」

このたび公開したドキュメントでは、SCAPの言語使用であるOVALやXCCDFがさまざまなソフトウェアの脆弱性やセキュリティ設定をどのように識別するかや、脆弱性・セキュリティ設定の深刻度をスコアリングするしくみを含めた詳細を解説しています。さらに、OpenSCAPを使ってスキャンを実施・結果表示するまでの流れをドキュメント上で紹介しています。

こんな方におススメ

脆弱性対策を検討中の方
手動での脆弱性管理にかかる手間や工数を減らしたい方
SCAP規格について理解を深めたい方

1. 概要
2. SCAPとは
- 2.1 言語
- 2.2 識別スキーマ
- 2.3 スコアリングシステム
3. OVAL とは

3.1 OVALファイルの概要
3.2 ヘッダ部分
3.3 タグ
3.4 実際の判定部分

4. XCCDF とは

4.1 XCCDF ファイルの概要
4.2 Benchmark
4.3 Item
4.3 Profile

5. OpenSCAP とは

5.1 OpenSCAP で出来ること
5.2 OpenSCAP を実際に使用する
5.2.1 OVAL スキャン
5.2.2 XCCDF スキャン
5.3 手動による脆弱性チェックとの比較

SCAP 解説資料ダウンロードはこちら

サイバートラストが提供している脆弱性管理ツール「MIRACLE Vul Hammer」には、この SCAP 規格に基づいた OpenSCAP を利用しており、ベンダからの脆弱性情報をもとにした効率の良い正確な脆弱性管理を実現します。

SCAP規格・ツール解説資料ダウンロード

法人名必須
お名前必須
メールアドレス必須	※入力間違いにご注意ください。プライバシーポリシーに同意します。

MIRACLE Vul Hammer について

CentOS をはじめとする Linux や、 Windows などのソフトウェアと、ネットワークスイッチなどのデバイスの脆弱性を高精度でスキャンし、最新の CVE データベースと照合して各サーバーのパッチ適用状況と事前に設定したポリシーへの違反を一元管理可能にする脆弱性管理ツールです。「MIRACLE Vul Hammer」の活用により脆弱性の有無を自動的に可視化・通知可能にし、企業のソフトウェア管理業務の大幅な省力化と、脆弱性の早期発見や迅速な対応を通じてサイバー攻撃のリスク低減を支援します。