SCAP
Security Content Automation Protocol
IPAセキュリティーセンタ
が開発した
情報セキュリティ
の
自動化
と
標準化
を目指した技術仕様.
脆弱性
を識別するための
CVE
脆弱性検査ツール
や
JVN
などの多くが利用している.
セキュリティ
設定を識別する
CCE
共通の識別番号である
CCE-ID
を付与し
セキュリティ
に関するシステム設定項目を識別する.
製品
を識別する
CPE
ハードウェア
,
ソフトウェア
など
情報システム
を識別するための共通の名称基準.
脆弱性
の深刻度を評価するための
CVSS
脆弱性
に対するオープンで包括的・汎用的な評価手法.
脆弱性
の深刻度を同一の基準で定量的に比較できるようになる.
次の3点から評価する.
基本評価基準
脆弱性
そのものの特性を評価する視点
現状評価基準
脆弱性
の現在の深刻度を評価する基準
環境評価基準
利用環境等を考慮してなされる最終的な
脆弱性
の深刻度
チェックリスト
を記述するための
XCCDF
セキュリティチェックリスト
や
ベンチマーク
を記述するための仕様言語.
脆弱性
や
セキュリティ
設定をチェックするための
OVAL
セキュリティ
状況を検査するための仕様.