Security Content Automation Protocol
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/02/25 02:37 UTC 版)
Security Content Automation Protocol (SCAP、エスキャップと発音[1])とは、「脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の両立を目的とした仕様群」[2]である。 アメリカ国立標準技術研究所(NIST)により仕様が策定され(NIST 800-126,NIST 800-117,NISTIR 7511 rev2)、米国のNational Vulnerability Databaseを始めとした各種脆弱性情報データベースで利用されており、日本でもJPCERT/CCと情報処理推進機構(IPA)が共同管理している脆弱性情報データベースのJapan Vulnerability Notes (JVN)やJVN iPediaで利用されている[2]。
- ^ “Standards in reporting Software Flaws: SCAP, CVE and CWE”. Robin A. Gandhi, Ph.D.University of Nebraska at Omaha (UNO),College of Information Science and Technology (IS&T),School of Interdisciplinary Informatics (Si2),Nebraska University Center on Information Assurance (NUCIA). 2016年7月25日閲覧。
- ^ a b c d e f g h i j k l m 脆弱性対策の標準仕様SCAPの仕組み
- ^ a b IPA 2017 脆弱性対策の効果的な進め方 p47-48
- ^ a b c d e 共通脆弱性評価システムCVSS v3概説
- 1 Security Content Automation Protocolとは
- 2 Security Content Automation Protocolの概要
- 3 mSCAP Checklists
- 4 SCAP Validation Program
- 5 外部リンク
Security Content Automation Protocol(SCAP)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「Security Content Automation Protocol(SCAP)」の解説
詳細は「Security Content Automation Protocol」を参照 SCAP(エスキャップと発音)は、アメリカ国立標準技術研究所(NIST)が策定した「脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の両立を目的とした仕様群」である。 2015年現在、SCAPには以下の6つの仕様が規定されている: 略称名称概要CWE Common Weakness Enumeration ベンダーに依存しない共通の脆弱性分類方法。脆弱性をツリー構造で分類 CVE Common Vulnerabilities and Exposures 脆弱性毎に「CVE-西暦-連番」という形のCVE識別番号(CVE-ID)を付与し脆弱性の概要(Description)、参考URL(References)、ステータス(Status、「候補」もしくは「登録」)を記述。CVE識別番号はベンダーに依存しない共通の脆弱性識別子 CVSS Common Vulnerability Scoring System ベンダーに依存しない共通の脆弱性の評価手法に従い点数化。脆弱性の技術的な特性を表した「基本評価基準」、現時点での危険度を表した「現状評価基準」、製品利用者毎に評価が変わる「環境評価基準」に対し脆弱性の危険度を0.0~10.0の評価値(大きいほど危険)で表現。 CCE Common Configuration Enumeration 「設定上のセキュリティ問題」を解決するためにコンピュータのセキュリティ設定項目に一意の番号(設定項目識別子)を付与する仕様 XCCDF eXtensible Checklist Configuration Description Format プログラム上や設定上のセキュリティ問題のチェック項目をXMLで記述するための仕様 OVAL Open Vulnerability and Assessment Language コンピュータのセキュリティ設定状況を検査するための仕様
※この「Security Content Automation Protocol(SCAP)」の解説は、「サイバーセキュリティ」の解説の一部です。
「Security Content Automation Protocol(SCAP)」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- Security_Content_Automation_Protocolのページへのリンク