« 官民連携による「情報セキュリティ啓発活動」 | トップページ | セキュリティ業界 Twitterおすすめフォローリスト »

2010年2月26日 (金)

セキュリティ設定共通化手順「SCAP」

IPAセキュリティセンターのHP「セキュリティ設定共通化手順SCAP概説」からです。

さて、まず「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」とは、米NIST(National Institute of Standards and Technology)で開発された、情報セキュリティ対策の自動化と標準化を目指したプロトコルです。

現在、SCAPは次の6つの標準仕様から構成されています。

・脆弱性を識別するためのCVE
(Common Vulnerabilities and Exposures:共通脆弱性識別子)
・セキュリティ設定を識別するためのCCE
(Common Configuration Enumeration:共通セキュリティ設定一覧)
・製品を識別するためのCPE
(Common Platform Enumeration:共通プラットフォーム一覧)
・脆弱性の深刻度を評価するためのCVSS
(Common Vulnerability Scoring System:共通脆弱性評価システム)
・チェックリストを記述するためのXCCDF
(eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式)
・脆弱性やセキュリティ設定をチェックするためのOVAL
(Open Vulnerability and Assessment Language:セキュリティ検査言語)

脆弱性情報は、収集・提供・共有が(グローバルで)できることが重要です。
そのために、SCAPの利活用が促進されることが望まれるわけです。

しかし、これを理解し、使えるようになるまでは大変そうですね。
その障壁を取り除いていかなければ・・・

また、同時に脆弱性対策情報データベースのソフトウェアインタフェース「MyJVN API」も公開されています

<参考情報>
共通脆弱性識別子CVE概説(2009年1月26日公開)

共通プラットフォーム一覧CPE概説(2008年10月23日公開)

共通脆弱性評価システムCVSS概説(2006年12月26日公開)

セキュリティ検査言語OVAL概説(2009年11月30日公開)

共通脆弱性タイプ一覧CWE概説(2008年9月10日公開)

脆弱性対策情報データベースのソフトウェアインタフェースを公開~さまざまなソフトウェアが脆弱性対策情報を取得できる「MyJVN API」~

MyJVN API とは

|

« 官民連携による「情報セキュリティ啓発活動」 | トップページ | セキュリティ業界 Twitterおすすめフォローリスト »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/33532237

この記事へのトラックバック一覧です: セキュリティ設定共通化手順「SCAP」:

« 官民連携による「情報セキュリティ啓発活動」 | トップページ | セキュリティ業界 Twitterおすすめフォローリスト »