SCAP の説明
Information Security Automation Program (ISAP)
Information Security Automation Program (ISAP) は技術的なセキュリティー操作の自動化と標準化を行います。ISAP は、主に行政に重点を置き、FISMA や FDCC などの規制に対する技術コンプライアンス活動のセキュリティー・チェック、修復、自動化を提供します。
ISAP の目標には、標準に基づいた脆弱性データの通信の有効化、さまざまな IT 製品に対する構成ベースラインのカスタマイズと管理、情報システムとレポート作成コンプライアンス・ステータスの評価、標準メトリックを使用した潜在的な脆弱性による影響の重み付けと集計、識別された脆弱性の修復などがあります。
SCAP 標準
- 共通脆弱性と暴露 (CVE)
SCAP CVE 標準はセキュリティー製品間でデータを交換可能にする、公に知られている情報セキュリティーの脆弱性のディクショナリ―であり、ツールとサービスの範囲を評価するベースライン索引ポイントを提供します。
HCL BigFix は複数の製品バージョンで CVE を積極的にサポートしており、CVE コンテンツとの十分に練られた製品統合を維持しています。セキュリティー・パッチまたは脆弱性に CVE ID が関連付けられており、SCAP データ・ストリームとして使用可能か、HCL BigFix が開発したその他のプロセスを通じて使用可能である場合は、その関連 CVE ID が HCL BigFix コンソールに表示されます。
この ID は指定したセキュリティー・パッチまたは脆弱性に関連付けられており、HCL BigFix コンソールを開いてパッチまたは脆弱性 Fixlet サイトに移動して、関連する Fixlet をダブルクリックし、「詳細」タブを選択して CVE ID を表示することにより、見つけることができます。CVE ID はその他のビューからアクセスして、個別のエンドポイント・システムまたは集計でレポートされる大規模なシステム・グループに対する詳細なサマリー・レポートのレポート作成基準の一部として使用することもできます。
- Common Configuration Enumeration (CCE)
SCAP CCE 標準はシステム構成の問題に対して固有 ID を提供し、複数の情報源やツールにまたがる構成データの迅速で正確な相関付けを促します。例えば、CCE ID は、構成評価ツールのチェック項目を構成のベスト・プラクティス文書の記述と関連付けることができます。HCL BigFix プラットフォームには、ワークステーション、ラップトップ、サーバー、モバイル・コンピューティング・デバイスを共通構成設定に対して評価し、多様なコンピューティング環境において不適切な構成の状態を識別する機能が含まれています。HCL BigFix で CCE は完全にサポートされており、HCL BigFix コンソール内に CCE ID が存在する不適切な構成ごとに CCE ID が表示されます。不適切な構成が複数の CCE ID に関連付けられている場合は、すべての ID が相互参照され、表示されます。
構成設定に関連付けられている CCE ID を見つけるには、HCL BigFix コンソールを開き、SCAP データ・ストリームで使用される構成設定に移動します。構成設定を表す Fixlet をクリックし、「ソース ID」列を表示します。「ソース ID」に CCE ID が表示されます。CCE ID はその他のビューからアクセスして、個別のエンドポイント・システムまたは集計でレポートされる大規模なシステム・グループに対する詳細なサマリー・レポートのレポート作成基準の一部として使用することもできます。
- Common Platform Enumeration (CPE)
SCAP CPE 標準は、情報技術システム、プラットフォーム、パッケージに関する、構造化された命名体系です。Uniform Resource Identifiers (URI) の汎用構文に基づき、CPE には正式な名前形式、複雑なプラットフォームを記述する言語、システムに対して名前をチェックする方法、テキストとテストを名前にバインドする記述形式が含まれています。HCL BigFix は CPE を使用して構成設定が正しいシステムで評価されるようにします。オペレーティング・システムにかかわらず、CPE ID はプラットフォームを識別し、評価を確実に実行できます。
その他の対象指定メカニズムに加えて、プラットフォームによって対象システムを指定することにより、システム構成を評価および修復できます。特定のプラットフォームを対象として指定することで、システム・スキャンが適切に実行され、適用可能な構成チェック項目に対する重み付けを確実に行うことができます。チェック項目がプラットフォームに基づいてリアルタイムに評価され、ポリシーを適用できるため、管理者は分散または非分散コンピューティング環境でプラットフォームの現在の状態を表示し、制御できます。
- Common Vulnerability Scoring System (CVSS)
SCAP CVSS 標準は、IT 脆弱性の特性を伝達するためのオープン・フレームワークを提供します。この定量モデルにより、反復可能で正確な測定が実現し、スコアの生成に使用された脆弱性特性が表示されます。したがって、CVSS は正確で一貫性のある脆弱性影響のスコアを必要とする業界、組織、機関向けの標準測定システムとして適しています。
HCL BigFix は複数のコンピューティング・プラットフォームの脆弱性を評価して報告し、その影響を定量化します。HCL BigFix は CVSS 標準を完全にサポートしており、該当する脆弱性ごとの CVSS 基本スコアと、そのスコアの生成に使用された CVSS 基本スコア・ベクトルの両方が表示されます。
HCL BigFix 管理者は、HCL BigFix コンソール内から CVSS スコアと関連付けられているベクトル文字列にアクセスできます。管理者は Fixlet 内から脆弱性定義に移動して、追加の詳細を確認できます。HCL BigFix には管理者が NVD Web サイトの CVSS 定義に接続するためのリンクが用意されています。HCL BigFix では、個々のエンドポイント・システムに関する詳細レポートや、集計でレポートされる大規模なシステム・グループに対して、この共通の測定基準を表示することにより、CVSS の価値を強化しています。
- Extensible Configuration Checklist Description Format (XCCDF)
SCAP XCCDF 標準は、セキュリティー・チェックリスト、ベンチマーク、関連文書を記述するための仕様言語です。XCCDF 文書は、いくつかの対象システム・セットに対するセキュリティー構成ルールを構造化した集合体を表しており、SCAP データ・ストリームのコア・エレメントとなります。この仕様により、チェックリスト・コンプライアンス・テストの結果を保管するデータ・モデルおよび形式も定義されます。
SCAP データ・ストリームは XCCDF 形式を使用して、HCL BigFix Fixlet に定義されている基本の構成チェック項目を変換します。作成されると、これらの SCAP ベースの構成 Fixlet により、管理者はグローバルな範囲でリアルタイムに SCAP で定義された構成ルールに対して各コンピューティング・アセットを評価できます。
SCAP 構成ルールが HCL BigFix にインポートされると、定義された構成ルールに対して任意のシステムで即時評価できます。これらの構成チェック項目の結果は HCL BigFix コンソールに中継され、管理者は個々のシステムまたは大規模なシステム・グループに関する結果を表示して詳細なレポートを生成できます。
また、HCL BigFixでは、構成チェック項目の結果を定義済みの XCCDF レポート形式にエクスポートして、組織がそれらのレポートを別のツールに保管、送信、またはインポートできるようにします。
- Open Vulnerability and Assessment Language (OVAL)
SCAP OVAL 標準は、セキュリティー・ツールおよびサービスの範囲全体にわたってセキュリティー・コンテンツをプロモートし、この情報の転送を標準化する、国際的な情報セキュリティー・コミュニティー標準です。OVAL 言語は、システム情報を表現し、特定のマシン状態を表し、評価の結果を報告する XML スキーマの集合体です。
脆弱性評価ポリシーのリポジトリーを通じて、HCL BigFix は各定義のデータ・エレメントに基づくリアルタイムのデータ・トラッキングを使用することにより、管理対象コンピューターを OVAL 脆弱性定義に対して評価します。これらのポリシーは、組織のネットワーク内にある HCL BigFix 製品によって自動的に取得されます。確実性が検証されると、各管理対象コンピューターにインストールされている HCL BigFix クライアントで使用できるようになり、構成ポリシーのローカル・ライブラリーに追加されます。エージェントは継続的にマシンの状態を各ポリシーに対して評価し、非準拠インスタンスがあれば管理者がレビューできるように HCL BigFix Server にレポートします。管理者が事前に許可した場合は、不適切な構成が検出されるとすぐに、該当する修正アクションがコンピューターに適用され、組織のネットワークに接続していないリモート・ユーザーやモバイル・ユーザーにも適用されます。
- Asset Reporting Format (ARF)
- Asset Reporting Format (ARF) は、レポート要求、レポート、アセット、その関係を取得できる標準化されたデータ・モデルです。HCL BigFix では、その他の標準 ARF レポートを生成し、詳細な分析や、サード・パーティー製アプリケーションへのインポートに使用できます。