OpenSCAPの概要
OpenSCAPとは、アメリカ政府によって策定された"自動化された脆弱性管理を可能にするための標準化された手順"であるSecurity Content Automation Protocol (SCAP)を実装したオープンソースのソフトウェアです。
OpenSCAPの主な特徴
組織はコンピューターシステムをセキュリティの脅威から保護するために、コンピューターシステムとアプリケーションを継続的に監視し、セキュリティに問題のあるソフトウェアをアバージョンアップする必要があります。 セキュリティコンテンツ自動化プロトコル(SCAP)は、ソフトウェアの欠陥やセキュリティに関連する構成の問題を列挙するために広く使用されている多くのオープンスタンダードによって構成されています。
SCAPは、下記の(SCAPコンポーネントと呼ばれる)オープンスタンダードで構成されています。
SCAPコンポーネント
SCAPバージョン1.0以降(2009年11月)
- Common Vulnerabilities and Exposures (CVE)
- Common Configuration Enumeration (CCE) (prior web-site at MITRE)
- Common Platform Enumeration (CPE)
- Common Vulnerability Scoring System (CVSS)
- Extensible Configuration Checklist Description Format (XCCDF)
- Open Vulnerability and Assessment Language (OVAL)
SCAPバージョン1.1以降(2011年2月)
SCAPバージョン1.2以降(2011年9月)
- Asset Identification
- Asset Reporting Format (ARF)
- Common Configuration Scoring System (CCSS)
- Trust Model for Security Automation Data (TMSAD)
SCAPバージョン1.3以降(2018年2月)
OpenSCAPは、システムを測定するときにこれらのオープンスタンダードを使用して脆弱性を見つけ、考えられる影響を評価するためにスコアリングした結果をユーザに提供します。
OpenSCAPからは複数のツールが提供されていますが、OpenSCAP Baseというコマンドラインから実行する脆弱性スキャナーがコアとなるツールです。その他には、下記のツール郡が提供されており、OpenSCAP Baseと組み合わせて使うことで自動化された脆弱性管理の手助けをします。
OpenSCAP Daemon
https://www.open-scap.org/tools/openscap-daemon/
SCAP Workbench
https://www.open-scap.org/tools/scap-workbench/
SCAPTimony
https://www.open-scap.org/tools/scaptimony/
OpenSCAP Anaconda Add-on
https://www.open-scap.org/tools/oscap-anaconda-addon/
OpenSCAPの動作環境
OpenSCAP Base
各種Linux
Windows
https://www.open-scap.org/tools/openscap-base/#download
その他のツールの動作環境はそれぞれのツールの詳細ページにて確認ください。
https://www.open-scap.org/tools/
OpenSCAPのライセンス
OpenSCAPは、LGPL2.1ライセンスの元に提供されているオープンソースのソフトウェアです。ユーザはそのソフトウェアの使用や頒布、修正、派生版の頒布をすることに制限を受けません。
参考情報
公式サイト
https://www.open-scap.org/
リポジトリ
https://github.com/OpenSCAP
IPAによるSCAPの解説
https://www.ipa.go.jp/security/vuln/SCAP.html
OpenSCAPのサポート
NRIではお客様のご要望に応じて様々な支援ができるサービスをご用意しました。
詳細は下記ページをご確認ください。