読み方 : シーシーイー

CCE【Common Configuration Enumeration】共通セキュリティ設定一覧

概要

CCEとは、コンピュータやソフトウェアにおけるセキュリティ上の設定項目を識別するための共通の識別番号。IT資産の設定不備がもたらすリスクを管理し、異なるツール間で情報を共有するための共通言語としての役割を果たす。
CCEのイメージ画像

例えば、パスワードの最小文字数やログイン失敗時のロックアウト条件といったセキュリティ設定は、製品や環境によって表現が異なる場合がある。CCEでは、これらの設定項目に標準化された番号と説明を割り当て、誰がどのツールを使っても同じ設定項目を指し示せるようにする。

CCEによって、システム設定に関する用語や表現のばらつきを解消し、異なる組織やツール間で同じ設定内容を同一の識別子で扱えるようになる。脆弱性識別子であるCVEや、製品識別子であるCPEといった他の共通基準と組み合わせて利用されることで、どの製品の、どのバージョンの、どの設定に問題があるのかという一連の情報を、極めて正確に流通させることができる。ツールを用いたセキュリティ設定のチェックを自動化することも容易になる。

CCEはセキュリティ情報の流通標準を定めたSCAPSecurity Content Automation Protocol)規格の一部である。以前は非営利団体のMITREが管理していたが、米国立標準技術研究所NIST)に移管され、同局のWebサイトなどを通じて番号リストが公開されている。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。