SCAP

SCAPとは

SCAP(Security Content Automation Protocol)とは、NIST(National Institute of Standards and Technology)において、情報セキュリティ対策の自動化と標準化のための仕様です。

製品で脆弱性が発生した際には、脆弱性が公開され、脆弱性対策するように促されます。

SCAPの構成要素

  • CVE(Common Vulnerabilities and Exposures)とは、脆弱性に対する識別子です。
  • CCE(Common Configuration Enumeration)とは、パスワード有効期限やパスワード長さなどシステム設定に対するセキュリティ設定の識別子です。
  • CPE(Common Platform Enumeration)とは、製品に対する識別子です。
  • CVSS(Common Vulnerability Scoring System)とは、脆弱性の深刻度を評価するため項目です。
  • XCCDF(eXtensible Configuration Checklist Description Format)とは、セキュリティチェックリストやベンチマーク(数量化されたテスト)などを記述するための仕様言語です。
  • OVAL(Open Vulnerability and Assessment Language)とは、コンピュータのセキュリティ設定状況を検査するための仕様です。製品ベンダ、セキュリティベンダなどが提供する文書による脆弱性対策情報を記載します。