SCAP 【Security Content Automation Protocol】
概要
SCAP(Security Content Automation Protocol)とは、情報システムの脆弱性対策や管理をソフトウェアによって自動化、効率化できるよう、関連する情報のデータ形式などを定めた標準規格。米国立標準技術研究所(NIST)が仕様を策定している。
企業などが運用する情報システムは様々なソフトウェアで構成されるため、システム管理者は日々発表される新たな脆弱性や対応策についての情報を収集し、自社システムへの影響を評価して迅速に対処するという負荷の重い業務に悩まされている。
SCAPは脆弱性の識別番号、分類や深刻度、システムのセキュリティ設定などの情報の記述形式を定義する。これにより、脆弱性に関する情報の収集や評価、システム内のソフトウェアの脆弱性チェック、セキュリティ設定の管理などをソフトウェアによってある程度自動化することができ、セキュリティ管理業務の効率化を進めることができる。
SCAPはいくつもの個別のデータ形式や記述言語の集合として定義されている。主な仕様として、脆弱性の識別番号の形式を定めたCVE(Common Vulnerabilities and Exposures)、脆弱性の危険度などの評価指標を定めたCVSS(Common Vulnerability Scoring System)、設定のチェックリストを記述するためのXCCDF(Extensible Configuration Checklist Description Format)、セキュリティ問題の検査方法を記述するためのOVAL(Open Vulnerability and Assessment Language)などがある。
SCAPの仕様に準拠したソフトウェア脆弱性情報は、NISTが運営するNVD(National Vulnerability Database)、日本のIPA(情報処理推進機構)が運営するJVN(Japan Vulnerability Notes)などで配布されており、SCAP対応ソフトウェアは公開情報を収集することで迅速かつ効率的にシステムの脆弱性対応を進めることができる。
共有ボタンをタップ