Security Content Automation Protocol は、セキュリティー脆弱性、システム構成、およびセキュリティー遵守性の問題を特定する 各種標準から構成されます。SCAP は、これらの標準を使用する手段を提供します。
Information Security Automation Program (ISAP) 技術仕様は、関連する Security Content Automation Protocol (SCAP) に含まれています。SCAP は、脆弱性管理、測定、およびポリシー・コンプライアンス評価 (FISMA コンプライアンスなど) の自動化を可能にする一連の標準で構成されています。
SCAP 標準は、特に以下の目標に取り組んでいます。
SCAP により、これらの標準の結合方法が定義されます。米国国立標準技術研究所 (NIST) は、National Checklist Program (NCP) を保守し、SCAP 標準を使用するデータ・フィードのリポジトリーを提供します。これは、公式 SCAP 標準データのリポジトリーでもあります。
NIST は、SCAP 標準におけるプロトコルおよびコンテンツのデータ・フィードを定義し、保守します。したがって、NIST によって SCAP コンテキストにおけるオープン・スタンダードの使用方法が定義され、SCAP 列挙標準間のマッピングが定義されます。
Information Security Automation Program (ISAP) は、技術的セキュリティー操作を自動化および標準化します。ISAP は、主に政府機関に重点が置かれており、FISMA や FDCC などの規制に対する技術的コンプライアンス・アクティビティーのセキュリティー検査、修正、および自動化を提供します。
ISAP の目標としては、脆弱性データを標準ベースで伝達できるようにすること、各種 IT 製品の構成ベースラインをカスタマイズおよび管理すること、情報システムを評価し、コンプライアンス状況を報告すること、標準の測定基準を使用して潜在的な脆弱性の影響を重み付けし集計すること、識別された脆弱性を修正すること、などがあります。
SCAP CVE 標準は、公に知られている情報セキュリティーの脆弱性のディクショナリーであり、これによってセキュリティー製品間のデータ交換が可能になり、ツールおよびサービスの範囲を評価するためのベースライン索引ポイントが提供されます。
IBM® Endpoint Manager は、製品のいくつかのバージョンに対して CVE を積極的にサポートしてきており、CVE コンテンツとの十分に練られた製品統合を維持しています。セキュリティー・パッチまたは脆弱性が関連 CVE ID を持ち、かつ SCAP データ・ストリームとして使用可能か、他の Endpoint Manager 開発プロセスを通じて使用可能である場合は、その関連 CVE ID が Endpoint Manager コンソール内に表示されます。
CVE について詳しくは、http://cve.mitre.org/ を参照してください。
SCAP CCE 標準は、システム構成の問題に対して固有の識別子を提供することで、複数の情報源やツールにまたがる構成データの迅速かつ正確な関連付けを促進します。例えば、CCE 識別子は、構成評価ツールのチェック項目と、構成のベスト・プラクティス文書における記述を関連付けることができます。IBM Endpoint Manager プラットフォームには、ワークステーション、ラップトップ、サーバー、およびモバイル・コンピューティング・デバイスを共通構成設定に対して評価し、多様なコンピューティング環境において不適切な構成の状態を識別する機能が組み込まれています。Endpoint Manager は、Endpoint Manager コンソール内に、CCE ID が存在する不適切な構成ごとに CCE ID を表示します。不適切な構成が複数の CCE ID に関連付けられている場合は、すべての ID が相互参照され、表示されます。
CPE について詳しくは、http://cce.mitre.org/ を参照してください。
SCAP CPE 標準は、情報技術のシステム、プラットフォーム、およびパッケージに関する、構造化された命名体系です。Uniform Resource Identifier (URI) の一般構文に基づき、CPE には、正式な名前形式、複雑なプラットフォームを記述するための言語、システムに対して名前を検査する方法、テキストとテストを名前にバインドするための記述形式が含まれています。Endpoint Manager は CPE を使用して、構成設定が正しいシステムで評価されるようにします。オペレーティング・システムにかかわらず、CPE ID はプラットフォームを識別し、評価を確実に実行することができます。
システム構成を評価および修正する際には、他の対象指定方法に加えて、プラットフォームによって対象システムを指定することができます。特定のプラットフォームを対象として指定することで、システム・スキャンを適切に実行し、適用可能な構成チェック項目と比較検討できるようになります。チェック項目がプラットフォームに基づいてリアルタイムに評価され、ポリシーを適用することができます。これにより、管理者は分散または非分散コンピューティング環境でプラットフォームの現在の表示および制御ができるようになります。
CPE について詳しくは、http://cpe.mitre.org/ を参照してください。
SCAP CVSS 標準は、IT 脆弱性の特性を伝達するためのオープン・フレームワークを提供します。この数量モデルにより、反復可能で正確な測定が実現されるとともに、値の生成に使用された脆弱性特性が表示されます。したがって、CVSS は、正確で一貫性のある脆弱性影響の値を必要とする業界、組織、および関係機関向けの標準測定システムとして適しています。
Endpoint Manager は、複数のコンピューティング・プラットフォームにおける脆弱性について評価および報告し、その影響を定量化します。Endpoint Manager は、 該当する脆弱性ごとの CVSS 基本値と、その基本値を生成するために使用された CVSS 基本値ベクトルの両方を表示します。
Endpoint Manager 管理者は、コンソール内から、CVSS 値および関連ベクトル文字列にアクセスできます。さらに詳細を確認する場合、管理者は Fixlet 内から脆弱性定義にナビゲートできます。Endpoint Manager には、管理者が NVD Web サイトにある CVSS 定義に接続するためのリンクが用意されています。Endpoint Manager では、個々のエンドポイント・システムに関する詳細レポートや、総計として報告される大規模なシステム・グループに対して、この共通の測定基準を表示することにより、CVSS の価値が高まります。
CVSS について詳しくは、http://www.first.org/cvss/cvss-guide.html を参照してください。
SCAP XCCDF 標準は、セキュリティー・チェックリスト、ベンチマーク、および関連文書を記述するための仕様言語です。XCCDF 文書は、いくつかの対象システム・セットに対するセキュリティー構成ルールを構造化した集合体を表しており、SCAP データ・ストリームのコア・エレメントとなります。この仕様により、チェックリスト・コンプライアンス・テストの結果を保管するためのデータ・モデルおよび形式も定義されます。
SCAP データ・ストリームは XCCDF 形式を使用して、Endpoint Manager Fixlet に定義されている基本の構成チェック項目を変換します。管理者は、作成された SCAP ベースの構成 Fixlet を使用して、SCAP 定義の構成ルールに対して、 コンピューティング資産を評価できます。管理者は構成チェックの結果を表示し、個々のシステムまたは大規模なシステム・グループについての 詳細なレポートを生成できます。
また、IBM Endpoint Manager は、構成チェック項目の結果を定義済みの XCCDF レポート形式にエクスポートして、組織がそれらのレポートを別のツールに保管、送信、またはインポートできるようにします。
XCCDF について詳しくは、http://scap.nist.gov/specifications/xccdf/ を参照してください。
SCAP OVAL 標準は、セキュリティー・ツールおよびサービスの範囲全体にわたってセキュリティー・コンテンツをプロモートし、この情報の転送を標準化する、国際的な情報セキュリティー・コミュニティー標準です。OVAL 言語は、システム情報を表現し、特定のマシン状態を表し、評価の結果を報告するための XML スキーマの集合体です。
脆弱性評価ポリシーのリポジトリーを通じて、Endpoint Manager は、各定義のデータ・エレメントに基づくリアルタイム・データ・トラッキングを使用することにより、管理対象コンピューターを OVAL 脆弱性定義に対して評価します。これらのポリシーは、組織のネットワーク内にある Endpoint Manager 製品によって自動的に取得されます。ポリシーは、確実性が検証されると、各管理対象コンピューターにインストールされている Endpoint Manager クライアントで使用できるようになり、それらのローカルな構成ポリシー・ライブラリーに追加されます。エージェントは継続的にマシンの状態を各ポリシーに対して評価し、非準拠インスタンスがあれば Endpoint Manager Server に報告して、管理者が検討できるようにします。管理者が事前に許可した場合は、不適切な構成が検出されるとすぐに、該当する修正アクションがコンピューターに適用され、組織のネットワークに接続していないリモート・ユーザーやモバイル・ユーザーにも適用されます。
OVAL について詳しくは、http://oval.mitre.org/ を参照してください。