SCAPの仕様
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/02/25 02:37 UTC 版)
「Security Content Automation Protocol」の記事における「SCAPの仕様」の解説
SCAPには以下の仕様が含まれている: 略称正式名称解説SCAP version 1.0 (July, 2010)以降 CVE Common Vulnerabilities and Exposures 脆弱性毎に「CVE-西暦-連番」という形のCVE識別番号(CVE-ID)を付与し脆弱性の概要(Description)、参考URL(References)、ステータス(Status、「候補」もしくは「登録」)を記述。 CVE識別番号はベンダーに依存しない共通の脆弱性識別子 米国政府から支援を受けた非営利組織であるMITRE社が中心となり仕様策定 CCE Common Configuration Enumeration ベンダーに依存しないセキュリティ設定項目の識別子 CCE識別番号(CCE ID)、、設定項目の概要(CCE Description)、設定値のタイプ(CCE Parameters)、技術的なチェック機構(CCE Technical Mechanisms)などからなる。 CPE Common Platform Enumeration CWE Common Weakness Enumeration ベンダーに依存しない共通の脆弱性分類方法 脆弱性をツリー構造で分類 CVSS Common Vulnerability Scoring System ベンダーに依存しない共通の脆弱性の評価手法に従い点数化。 脆弱性の技術的な特性を表した「基本評価基準」、現時点での危険度を表した現状評価基準、製品利用者毎に評価が変わる「環境評価基準」に対し脆弱性の危険度を0.0~10.0の評価値(大きいほど危険)で表現。 非営利組織FIRST(Forum of Incident Response and Security Teams)が中心となり仕様策定 PCI DSSでも採用。 XCCDF Extensible Configuration Checklist Description Format OVAL Open Vulnerability and Assessment Language SCAP version 1.1 (February, 2011)以降 OCIL Open Checklist Interactive Language Version 2.0 SCAP version 1.2 (September, 2011)以降 AID Asset Identification ARF Asset Reporting Format CCSS Common Configuration Scoring System TMSAD Trust Model for Security Automation Data
※この「SCAPの仕様」の解説は、「Security Content Automation Protocol」の解説の一部です。
「SCAPの仕様」を含む「Security Content Automation Protocol」の記事については、「Security Content Automation Protocol」の概要を参照ください。
- SCAPの仕様のページへのリンク
