DX推進をきっかけに、あるいは昨今増加・巧妙化する企業へのサイバー攻撃の状況を鑑み、積極的な未来への投資としてサイバーセキュリティの見直しに対する機運が高まっています。そこで参照したいのが、情報セキュリティ自動化や脆弱性管理の標準仕様として、かねてより活用されていたSCAP（エスキャップ）です。
SCAPの意味やメリット、12の構成要素などについて押さえておきましょう。

SCAPは「セキュリティ設定自動化手順」の略

SCAPという名称は、Security Content Automation Protocol（セキュリティ設定自動化手順）の頭文字で構成されており、そのプロトコルは文書化されるとともに、国内外の脆弱性診断やセキュリティマネジメントで用いられています。

開発主体は、米国商務省の一部として計測にまつわる技術開発と標準化を進めるNIST（米国国立標準技術研究所）で、その最新情報は同団体のサイトで確認することができます。また、定期的な内容のアップデートが行われており、2023年1月現在利用可能な最新バージョンは2018年2月にリリースされた「SCAP1.3」です。

SCAP1.3は、以下の5つのカテゴリ、12の要素で構成されています。

【1】Languages（言語）
1-1：XCCDF: The Extensible Configuration Checklist Description Format
1-2：OVAL: Open Vulnerability and Assessment Language
1-3：OCIL: Open Checklist Interactive Language

【2】Reporting formats（レポーティング形式）
2-1：Asset Identification
2-2：ARF: Asset Reporting Format

【3】Identification schemes（識別スキーム）
3-1：CCE: Common Configuration Enumeration
3-2：CPE: Common Platform Enumeration
3-3：Software Identification (SWID) Tags
3-4：CVE: Common Vulnerabilities and Exposures

【4】Measurement and scoring systems（評価＆スコアリングシステム）
4-1：CVSS: Common Vulnerability Scoring System
4-2：CCSS: Common Configuration Scoring System

【5】Integrity（完全性）
5-1：TMSAD: Trust Model for Security Automation Data

SCAPを構成する12の要素、5つのカテゴリを解説

それでは、SCAPを構成するそれぞれのカテゴリについて詳しく見ていきましょう。

【1】言語

「XCCDF」「OVAL」「OCIL」の3種類、セキュリティ強化や脆弱性診断に役立つ語彙やフォーマットです。

「XCCDF」は組織のセキュリティのチェックリストやベンチマークを作成するための言語で、技術的観点、あるいはコンプライアンスなど非技術的観点でも組織のセキュリティ規則を定義し、チェックするために役立ちます。「OVAL」はシステムやコンピュータの脆弱性や構成、パッチ状態を検査するための言語です。そして、「OCIL」はユーザとのやりとりが必要な質問を標準化するための言語です。

【2】レポーティング形式

収集した情報のレポート形式およびそのための準備に関するフォーマットです。

「Asset Identification」は、アセット、すなわち組織内の資産を識別するためのデータモデルを、「ARF」は実際にアセットに関するレポートを作成するにあたって標準となるフォーマットを定義しています。

【3】識別スキーム

セキュリティ項目や製品、脆弱性など、複雑な情報を識別し、管理するための共通スキームです。

「CCE」はCCE識別番号を割り振ることで、コンピュータのセキュリティ設定項目を、「CPE」は情報システムを構成するハードウェアやソフトウエアといった製品を識別します。また、ライセンスやバージョン管理も含めたソフトウエアの識別・管理に特化した「SWID」や、脆弱性の識別子として情報提供や検査ツールの多くで利用されている「CVE」も用意されています。

【4】評価＆スコアリングシステム

脆弱性を評価し、多角的な側面からリスクや優先度をスコアリングするためのシステムです。

「CVSS」は多種多様な情報システムを同じ物差しで評価するための国際的かつ汎用的なフォーマットであり、ソフトウエアの欠陥に由来する脆弱性の深刻度を評価します。一方、「CCSS」はソフトウエアのセキュリティ設定に由来する脆弱性の深刻度を評価します。

【5】完全性

SCAPに代表されるセキュリティ自動化システムの完全性（データの正常かつ最新状態での保存）を確立するための内容です。署名、ハッシュ、鍵情報、ID情報などの表現を定義する「TMSAD」が存在します。

「Open SCAP」とは？

SCAP1.3を構成する要素とその意味について解説してまいりました。CVSSやCVEは情報セキュリティ領域で触れたこともある方も少なくないでしょう。

SCAPを実装したオープンソースプロジェクトにOpen SCAPがあり、公式サイトよりインストールする、もしくはFedora、Debian、Ubuntu、Red HatなどのOSではコマンドで呼び出すことにより使用することができます。

脆弱性検査やシステム設定などを、SCAPと照らし合わせて評価し、要件にそぐわない箇所を修正する、といった形で活用してみるとよいでしょう。

またNISTは公式にて、SCAPコンテンツの検証ツールも公開しています。

SCAPは時代に合わせて、改良され続けていく

情報セキュリティ自動化・共通化の手段として、さまざまな場面で使われているSCAPについて最新の状況・基本事項をお伝えしました。現在、SCAP2.0の構築も進められており、その方向性はホワイトペーパーとして公開されています。SCAP2.0ではIoTネットワークやモバイルについての標準化も検討されているとのこと。
今後のリリース情報にも、引き続き注目していきましょう。