脆弱性対策の標準仕様SCAPの仕組み - IPA 独立行政法人情報処理

by user

on 28 марта 2017

Category: Documents

>> Downloads: 0

views

Report

Comments

Description

Download 脆弱性対策の標準仕様SCAPの仕組み - IPA 独立行政法人情報処理

Transcript

脆弱性対策の標準仕様SCAPの仕組み - IPA 独立行政法人情報処理

脆弱性対策の標準仕様SCAPの仕組み
～MyJVNバージョンチェッカのカスタマイズ入門～
独立行政法人情報処理推進機構 (IPA)
技術本部セキュリティセンター
2012年2月28日
Copyright © 2012 独立行政法人情報処理推進機構
講義内容
 脆弱性対策の標準仕様SCAP概要
 オフライン版MyJVNバージョンチェッカのカスタマイズ
 IPAの脆弱性対策に関する取り組み紹介
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
2
脆弱性対策の標準仕様ＳＣＡＰ概要
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
3
2011年に起こったサイバー攻撃：
 2011年は、サイバー攻撃に関する報道が目立った
時期
報道
2011/2
中国から欧米エネルギー５社攻撃（毎日新聞等）
2011/3
韓国で大規模ハッカー攻撃大統領府や銀行など４０機関（朝日新聞等）
2011/3
仏財務省にサイバー攻撃、Ｇ２０情報盗まれる（読売新聞等）
2011/4-5
Ａ社にサイバー攻撃、個人情報流出１億件超（朝日新聞等）
2011/6
米Ｂ社：中国からサイバー攻撃米韓政府関係者ら被害（毎日新聞等）
2011/9
Ｃ社にサイバー攻撃、８０台感染…防衛関連も（読売新聞等）
2011/9
Ｄ社にもサイバー攻撃日本の防衛・原発産業に狙いか（産経新聞等）
2011/10
衆議院にサイバー攻撃議員のパスワード盗まれる（朝日新聞等）
2011/11
サイバー攻撃：参議院会館のＰＣ、ウイルス感染は数十台に（毎日新聞等）
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
4
攻撃の変容
２０００～
不正侵入・改竄
昔と今のサイバー攻撃の絵姿変化...
２００６～
２００６～
２００４～
体系化（Botnet)
多段化
２００９～
２０１０～１１
正規サービスの
（Botnet技術基盤利用）攻撃基盤利用
組織を跨った新し
いタイプの攻撃
正規サイト・
サービス利用
ウイルス亜種の大量出現
シーケンシャルマルウエア（多段型攻撃）
0-Day脆弱性利用
toolによるウイルス生産
情報システムがターゲット
１脆弱性＝１攻撃の時代
PCとホームページ改竄がターゲット
攻撃組織間連携
攻撃者ひとり
攻撃組織基盤化
戦術的攻撃
多様な意図性（情報窃取攻撃）
影響（業務インパクト）の変化
PCの破壊・HP改竄
情報窃取等
e-マーケットビジネス、決済等への影響
決済関連情報窃取等、サプライチェーン
対象：PC、サーバ
対象：情報システム（組織・ビジネス）
？
国家安全保障問題
製造業者における死活問題
対象：制御システム・社会インフラ
出展：亀山社中
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
5
増え続ける脆弱性対策情報
～ PCで使用するソフトウェアの脆弱性が増加～
500
400
300
件
数 200
100
461
一太郎
Adobe Flash Player
Adobe Acrobat
Adobe Reader
JDK
JRE
Microsoft Internet Explorer
Mozilla Firefox
1
17
29
24
450
355
271
73
84
133
152
0
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
（出典）IPA：脆弱性対策情報データベースJVN
iPediaの登録状況 2011第4四半期
図2. PCで広く利用されている定番ソフトウェアの登録件数の年別推移
 2007年頃からAcrobat Reader、JRE、Adobe Flash Playerの脆
弱性対策情報が飛躍的に増加
 一般利用者において、常にセキュリティパッチを適用し続けなけれ
ばならない状況
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
6
管理対象機器の増大
ＰＣだけではなく、あらゆるものが、ネットワークにつながり、
機器の管理が困難
PDA（Personal Digital Assistants）
Copyright © 2012 独立行政法人情報処理推進機構
HDD（Hard Disk Drive）
LAN（Local Area Network）
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
7
まとめ
どのように対策
すればよいのだろうか？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
8
米国における脆弱性対策
増大する脆弱性、管理
対象システム。次に、
米国での取組みを見て
みよう
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
9
米国における脆弱性対策の歩み
 1999年iCAT(脆弱性対策メタデータベース)構築からはじまり、2002年
のFISMA (Federal Information Security Management Act：連邦情報セ
キュリティマネジメント法) の施行以降、各種活動が統合されはじめた。
2010年
2006年
2004年
2002年
1999年
Copyright © 2012 独立行政法人情報処理推進機構
FDCC
連邦政府システムの共通のデスクトップ基準
SCAP
脆弱性対策管理やコンプライアンス管理
⇒情報セキュリティ管理の技術面での
機械化(自動化)と標準化
NCP
NVD
プログラムが稼動するための
設定に内在するセキュリティ問題
⇒チェックリスト
プログラム自身に内在する
コード上のセキュリティ問題
⇒脆弱性対策メタデータベース
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
10
米国での脆弱性対策の取組み
【背景】
 米国では、 2002年のFISMA(Federal Information Security Management Act：
連邦情報セキュリティマネジメント法)の施行以降、セキュリティ規格やガイドライン
に従い、情報システムにセキュリティ要件を反映する活動を推進している。
【課題】
セキュリティ設定に関する作業を手作業
で行なうと、設定ミスや設定者のセキュ
リティ知識の程度や判断の相違などによ
りセキュリティ要件を損なう可能性
【解決策】
連邦政府システムのベースラインのセ
キュリティを確保しつつ、ヘルプデスクお
よびパッチ検証にかかる費用を削減
コンプライアンス対応に膨大な時間とリソース
の消費
作業の機械化(自動化)による対処
共通のデスクトップ基準制定による対処
共通基準制定による(自動化)の普及
共通の基準制定による対処
⇒SCAP (Security Content Automation Protocol)
⇒Making Security Measurable
Copyright © 2012 独立行政法人情報処理推進機構
⇒ FDCC(Federal Desktop Core Configuration)
⇒ USGCB(United States Government
Configuration Baseline)
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
11
SCAP
＝FDCC推進を支援するための技術仕様
 2007年、米OMB(Office of Management and Budget：行政予算管理局)では、
Windowsソフトウエアを『共通セキュリティ設定』に準拠させるFDCC（Federal
Desktop Core Configuration：連邦政府共通デスクトップ基準)を定めた。
 NISTでは、FDCC推進にあたり、FDCC準拠の確認手段の一つとしてSCAPを普及
展開している。
ポリシー・・・
FISMA
スタンダード・・・
FDCC などの共通セキュリティ設定
共通技術仕様・・・
SCAP、Making Security Measurable
IPA提供ツール
注意喚起など緊急時対応
基盤を普及させるための先行実装
JVN脆弱性対策機械処理基盤
(MyJVN API、MyJVN XMLフォーマットなど
ツール・・・
NVD、SCAP準拠ツール
(米国には民間で開発されたSCAPツール有)
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
12
米国政府の推進するSCAPとは
SCAP（Security Content Automation Protocol）
 脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情
報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の
両立を目的とした仕様群である。6つの標準仕様から構成されている。
プログラム自身に内在する
プログラム上のセキュリティ問題に
一意の番号を付与する
脆弱性管理
脆弱性自体の特性、パッチの提供状況、
ユーザ環境での影響度などを
考慮し影響度を評価する仕様
プログラム上のセキュリティ問題や
設定上のセキュリティ問題をチェック
するための手続き仕様
情報システムを構成する、
ハードウェア、ソフトウェアなどに
一意の名称を付与する
プログラムが稼働するための設定上の
セキュリティ問題に一意の番号を付与する
セキュリティチェックリストやベンチマークなどの
文書を記述するための仕様
資産管理
Copyright © 2012 独立行政法人情報処理推進機構
構成管理
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
13
MyJVNバージョンチェッカとSCAPの関係
 MyJVNバージョンチェッカではSCAPの要素のうち、OVAL、
XCCDF、CPEを利用しています。
プログラム自身に内在する
プログラム上のセキュリティ問題に
一意の番号を付与する
脆弱性管理
脆弱性自体の特性、パッチの提供状況、
ユーザ環境での影響度などを
考慮し影響度を評価する仕様
プログラム上のセキュリティ問題や
設定上のセキュリティ問題をチェック
するための手続き仕様
情報システムを構成する、
ハードウェア、ソフトウェアなどに
一意の名称を付与する
プログラムが稼働するための設定上の
セキュリティ問題に一意の番号を付与する
セキュリティチェックリストやベンチマークなどの
文書を記述するための仕様
資産管理
構成管理
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
14
何故MyJVNを利用するのか？（その１）
 脆弱性対策情報を追い続けることは大変
稼働中のシステムに対して「影響のある脆弱性が存在するか」を追い
続けることにはユーザ企業にとって必要不可欠
文書による脆弱性対策情報だけで影響有無を判定する手法は抜け
漏れが発生する可能性がある
文書による
脆弱性の注意喚起
稼動中の
システム
文書による
影響有無の確認
文書による
指示で修正
問題あり
検査
問題有無?
修正・変更の
実施
問題なし
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
15
何故MyJVNを利用するのか？（その２）
 作業漏れ防止、早期対応、負荷軽減といったことを実現する
ためには手作業ではなく機械処理が有効
011010
111101
110101
手順データによる
脆弱性の注意喚起
手順データ
手順データによる
影響有無の確認
手順データによる
指示で修正
問題あり
稼動中の
システム
検査
問題有無?
修正・変更の
実施
問題なし
MyJVNによる機械処理の部分
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
16
オフライン版MyJVNバージョンチェッカの
カスタマイズ
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
17
本章の流れ
本章では下記の流れで説明を進めます。
１．MyJVNバージョンチェッカとは
２．カスタマイズの概要
３．カスタマイズ実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
18
本章の流れ
本章では下記の流れで説明を進めます。
１．MyJVNバージョンチェッカとは
２．カスタマイズの概要
３．カスタマイズ実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
19
MyJVNバージョンチェッカとは
PCにインストールされているソフトウェア製品（Adobe Flash Player、Adobe
Reader、JRE等）が最新かを簡単な操作で確認するツール
最新バージョンでない
場合には「×」と表示
します
MyJVNはSCAPの要素
OVAL、CPE、XCCDFを
利用しています。
サービス開始は2009年11月末。チェック対象アプリは随時追加中。
（2009/11時点のアプリ数は8 → 2011/8時点のアプリ数は17）
公開URL
http://jvndb.jvn.jp/apis/myjvn/index.html （クイック起動）または
http://jvndb.jvn.jp/apis/myjvn/vccheck.html
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
20
MyJVNバージョンチェッカの仕組み
 MyJVNバージョンチェッカの仕組み
IPA内でバージョン判定用定義データを作成する
MyJVNバージョンチェッカでバージョン判定用の定義デー
タとシステムの情報を対比させる
ユーザ側
IPA側
バージョン判定用
の定義データ
ダウンロード
判定用の定
義データ
MyJVNの管理ツールで作成
した判定用の定義データ
定義ファイルと
システムと対比
MyJVNバージョンチェッカ
インターネット
Copyright © 2012 独立行政法人情報処理推進機構
結果表示
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
21
バージョン判定用の定義データとは
 バージョン判定用定義データは主に2種類のデータ
で構成されます。
ユーザ側
IPA側
バージョン判定用
の定義データ
ダウンロード
判定用定義
データ
定義ファイルと
システムと対比
MyJVNバージョンチェッカ
インターネット
MyJVNの管理ツールで作成
した判定用の定義データ
結果表示
・セキュリティ検査言語OVALのデータ
・セキュリティチェックリストXCCDFのデータ
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
22
セキュリティ検査言語OVAL
 ソフトウェアのバージョンチェック用OVALには、チェック対象のアプリケーション毎に、
インベントリとバルネラビリティの２種類のファイルが存在する
OVAL種別
インベントリ
(Inventory)
説明
チェック対象のソフトウェア製品がインストールされている
かを検査する方法を記述
バルネラビリティ
(Vulnerability)
チェック対象のソフトウェア製品が、最新のバージョンであ
るかを検査する方法を記述
 MyJVNバージョンチェッカでは、インベントリとバルネラビリティのOVALを読込んで処
理を行う
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
23
セキュリティ設定チェックリストXCCDFとは
 XCCDFとは？
・英名：eXtensible Configuration Checklist Description Format
・和名：セキュリティ設定チェックリスト記述形式
・意味：セキュリティチェックリストなどを記述するための仕様言語のこと
XCCDF定義データ
チェックリスト
No
チェック項目
1
ソフトウェアAのバージョンチェック
2
ソフトウェアＢのバージョンチェック
3
PCのセキュリティ設定Ｘの設定状況
…
… …… …… ……… …
OVAL定義データ
ソフトウェアAの
バージョンチェックを行う
OVALファイル
ソフトウェアＢの
バージョンチェックを行う
OVALファイル
セキュリティ設定Ｘの
設定状況を確認する
OVALファイル
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
24
アプリケーションのバージョン確認方法
○○○○
○○○○
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
25
アプリケーションのバージョン確認方法
（その１）
 Windowsのアプリケーションはレジストリでバージョンを
管理していることが多い
MyJVNでは
レジストリを確認すればインストールの有無 /
最新バージョンかどうかが確認可能
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
26
アプリケーションのバージョン確認方法
（その２）
 レジストリでアプリケーションのバージョンを管理していな
い場合
ファイルハッシュ：
EADCE51C・・・・
ファイルプロパティの
バージョン：
8.0.0・・・
MyJVNでは
アプリケーションを構成しているファイルの情報を
確認すればイントールの有無 / 最新版バージョ
ンかどうかが確認可能
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
27
MyJVNバージョンチェッカをカスタマイズ
オフライン版MyJVNバージョンチェッカ
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
28
オフライン版MyJVNバージョンチェッカとは
 オフライン環境で動作可能なMyJVNバージョンチェッカのこと
利用者側ではオフライン版ダウンロードのパッケージを使用することでオフ
ライン環境でもバージョンチェックの実施が可能
URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html
実行例
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
29
オフライン版MyJVNバージョンチェッカとは
 オフライン版MyJVNバージョンチェッカ配布パッケージ内容
URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html
配布パッケージの展開例）
バージョン判定用の
定義データを格納
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
30
オフライン版MyJVNバージョンチェッカとは
オフライン版MyJVNバージョン
チェッカを実行してみよう
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
31
オフライン版MyJVNバージョンチェッカと
オンライン版MyJVNバージョンチェッカの違い
 オフライン版MyJVNバージョンチェッカ
ユーザ側
判定用の
定義データ
バージョン判定
用の定義データ
ダウンロード
定義ファイルと
システムと対比
MyJVNの管理ツールで作成
した判定用の定義データ

【オフライン】結果表示
データは
オンライン版MyJVNバージョンチェッカ
ローカル
MyJVNバージョンチェッカ
【オンライン】
データは
ネットワーク
ユーザ側
IPA側
バージョン判定
用の定義データ
ダウンロード
定義ファイルと
システムと対比
判定用の
定義データ
MyJVNの管理ツールで作成
した判定用の定義データ
インターネット
Copyright © 2012 独立行政法人情報処理推進機構
MyJVNバージョンチェッカ
結果表示
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
32
MyJVNのカスタマイズ
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
33
本章の流れ
本章では下記の流れで説明を進めます。
１．MyJVNバージョンチェッカとは
２．カスタマイズの概要
３．カスタマイズ実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
34
カスタマイズの流れ
１．対象のアプリケー
ションの情報を確認
アプリケーションはどこに
バージョン情報を管理し
ているのだろう
２．チェック方法の決定
どの情報でチェックしたら
いいだろうか
３．定義データの設定
判定用
定義データ
実際に動かしてみよう
４．動作確認
Copyright © 2012 独立行政法人情報処理推進機構
定義データを変更してみ
よう
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
35
カスタマイズの流れ
1.対象のアプリケーションの情報を確認
 対象のアプリケーションがどこにバージョン情報を持
っているかを確認します。
・レジストリのバージョン値
例）
HIVE：「HKEY_LOCAL_MACHINE」
KEY：「SOFTWARE¥IPA」
NAME：「Version」
⇒ 1.2.3.4
・ファイルのプロパティのバージョン値
例） 1.2.3.4
・特定のファイルのハッシュ値
例） C5051FE22・・・(全40字)
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
36
カスタマイズの流れ
2.チェック方法の決定
 アプリケーションのバージョンチェックの方法を決定します。
レジストリ
• 推奨するチェック方
法
ファイルプロ
パティ
ファイルハッ
シュ
【制限事項】
【制限事項】
• アプリケーションのイ
ンストール場所に依
存
• アプリケーションのイ
ンストール場所に依
存
• バージョン情報の取
得不可
■チェック方法の決定例（異なるチェック方法でも判定可能）
インストールの有無（インベントリ）はファイルハッシュ
最新バージョンの判定（バルネラビリティ）はレジストリ
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
37
カスタマイズの流れ
3.バージョン判定用定義データの設定
判定用定義データの４つのファイルを変更して
いきます。
※変更方法の詳細はこのあとの
実演時に説明します。
Copyright © 2012 独立行政法人情報処理推進機構
・OVALファイル(インベントリ)
・OVALファイル(バルネラビリティ)
・XCCDFファイル
・oval_indexファイル
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
38
カスタマイズの流れ
4.動作確認
カスタマイズしたオフライン版MyJVNバージョ
ンチェッカを起動し、動作を確認します。
アプリケーションのバージョンに応じて判定結果が出力されます。
○：最新のバージョンがインストールされている
×：古いバージョンがインストールされている
―：対象のアプリケーションがインストールされていない
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
39
本章の流れ
本章では下記の流れで説明を進めます。
１．MyJVNバージョンチェッカとは
２．カスタマイズの概要
３．カスタマイズ実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
40
オフライン版MyJVNバージョンチェッカ
-カスタマイズ実演について Windows上で動作する独自アプリをバージョンチェックする場合
の具体的な設定方法例について講師側PCの実演とあわせて
概説します。
 概説内容の一覧
1. レジストリによるチェック
2. ファイルプロパティ（バージョン情報）によるチェック
3. ファイルハッシュによるチェック
事例1
事例2
事例3
独自アプリのバージョンチェックをする
41
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
41
オフライン版MyJVNバージョンチェッカ
-カスタマイズ実演について Windows上で動作する独自アプリをバージョンチェックする場合
の具体的な設定方法例について講師側PCの実演とあわせて
概説します。
 概説内容の一覧
1. レジストリによるチェック
2. ファイルプロパティ（バージョン情報）によるチェック
3. ファイルハッシュによるチェック
事例1
事例2
事例3
独自アプリのバージョンチェックをする
42
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
42
カスタマイズ実演
【事例1】レジストリによるチェック
レジストリによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
独自アプリのバージョンチェックをする
43
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
（調査）
（修正準備）
（設定）
実演
参考
説明
43
カスタマイズ実演
【事例1】レジストリによるチェック
レジストリによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
44
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
44
【事例1】レジストリによるチェック
[手順1]バージョン確認方法の調査
レジストリによるチェック
調査
修正準備
設定
 チェック対象アプリのバージョン確認方法を調査します。
調査方法その1）
・ regedit コマンド等を使用してレジストリ情報にバージョン情報が存在するかを
確認してください。
参考） HKEY_LOCAL_MACHINE¥SOFTWARE¥ベンダ名¥アプリ名等
の配下にバージョン情報が格納されていることがあります。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
45
【事例1】レジストリによるチェック
[手順1]バージョン確認方法の調査
レジストリによるチェック
調査
修正準備
設定
 チェック対象アプリのバージョン確認方法を調査します。
調査方法その2）
・ファイルプロパティにバージョン情報が存在するかを確認してください。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
46
【事例1】レジストリによるチェック
[手順1]バージョン確認方法の調査
レジストリによるチェック
調査
修正準備
設定
 チェック対象アプリのバージョン確認方法を調査します。
調査方法その3）
・バージョン更新と同じタイミングで更新がされるファイルが存在するか確認
してください。更新ファイルが存在する場合にはハッシュ値を確認してください。
参考）
ハッシュ値を確認
するためのフリー
ソフトウェアを使
用しています。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
47
【事例1】レジストリによるチェック
[手順1]バージョン確認方法の調査
レジストリによるチェック
調査
修正準備
設定
 調査結果のまとめ例
対象OS
チェック方法
HIVE：「HKEY_LOCAL_MACHINE」
KEY：「SOFTWARE¥IPA」
NAME：「Version」
値のデータ型：文字列(REG_SZ)
Windows系レジストリ
ファイル
情報
ファイルプロファイルパス：C:¥IPA
パティ（バーファイル名：IPA.exe
ジョン情報）
ファイル
ハッシュ値
Copyright © 2012 独立行政法人情報処理推進機構
チェック場所
ファイルパス：C:¥IPA
ファイル名：IPA.exe
ハッシュタイプ： SHA-1
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
値
1.2.3.4
1.2.3.4
C5051FE22
・・・
(全40字)
48
【事例1】レジストリによるチェック
[手順1]バージョン確認方法の決定
レジストリによるチェック
調査
修正準備
設定
 調査結果のまとめ例
対象OS
チェック方法
HIVE：「HKEY_LOCAL_MACHINE」
KEY：「SOFTWARE¥IPA」
NAME：「Version」
値のデータ型：文字列(REG_SZ)
Windows系レジストリ
ファイル
情報
チェック場所
ファイルプロファイルパス：C:¥IPA
パティ（バーファイル名：IPA.exe
ジョン情報）
ファイル
ファイルパス：C:¥IPA
値
1.2.3.4
1.2.3.4
C5051FE22
インストール有無確認、最新バージョン確認、
・・・
ハッシュ値ファイル名：IPA.exe
のそれぞれのチェック方法をレジストリと決定し
(全40字)
ハッシュタイプ： SHA-1
た場合の例です。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
49
【事例1】レジストリによるチェック
[手順2]テンプレートファイルのコピー
レジストリによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
50
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
50
【事例1】レジストリによるチェック
[手順2]テンプレートファイルのコピー
実演
説明
レジストリによるチェック
調査
修正準備
設定
 IPAでは、独自のアプリケーションの追加を容易にするためのテ
ンプレートを用意しています。（近日Webで配布予定）
セミナー向けテンプレート
オフライン版MyJVN（webで公開済）
1-1-before-registry （レジ
ストリチェック用）のテンプ
レートファイルをコピーします。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
51
【事例1】レジストリによるチェック
[手順2]コピーファイルの一覧
レジストリによるチェック
調査
修正準備
設定
 コピーをしたテンプレートは以下①～④の４ファイルです。
6_Reference
① 修正は不要
CONF
oval_index
OVAL
INVENTORY
OVAL_INV_APP_A.xml
VULNERABILITY
OVAL_VUL_APP_A.xml
XCCDF
TEST-IPA.xml
③ 修正必要
④ 修正必要
②修正必要
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
52
【事例1】レジストリによるチェック
[手順3]バージョン判定の設定
レジストリによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
53
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
53
【事例1】レジストリによるチェック
[手順3]「①定義ファイル」の修正
レジストリによるチェック
調査
修正準備
設定
 コピー後の修正は不要です。
① oval_index （定義ファイルのマッピングを記載）
OVALファイルとOVAL IDのマッピングが記載
されています。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
54
【事例1】レジストリによるチェック
[手順3]「②チェックリスト」の修正
レジストリによるチェック
調査
修正準備
設定
 修正後のファイル内容例
② TEST-IPA.xml （チェックリストを記載したファイル）
アプリケーションの名称を設定します。
実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
説明
55
【事例1】レジストリによるチェック
[手順3]「③インストール有無」の修正
レジストリによるチェック
調査
修正準備
設定
 修正後のファイル内容例
③ OVAL_INV_APP_A.xml （インストール有無の判定）
レジストリのチェック場所を設定します。
実演
説明
インストール有無を判定する条件を設定します。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
56
【事例1】レジストリによるチェック
[手順3]「④最新バージョン判定」の修正
レジストリによるチェック
調査
修正準備
設定
 修正後のファイル内容例
④ OVAL_VUL_APP_A.xml （最新バージョンの判定）
最新のバージョン情報を設定します。
レジストリのチェック場所を
設定します。
最新バージョンを判定する条件
を設定します。
実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
説明
57
【事例1】レジストリによるチェック
[手順3]参考：修正後のファイル例
レジストリによるチェック
調査
修正準備
設定
セミナー向けテンプレート（後日Webで配布予定）
1-2-after-registry （レジストリチェック用）
は修正後の事例です。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
58
【事例1】レジストリによるチェック
動作確認その1
レジストリによるチェック
調査
修正準備
設定
講師側PCでは以下のファイルを修正してツールを実行します。
1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat
ベンチマークIDに「TEST-IPA」を
指定します。
チェック結果が「○ 最新のバージョンです」に
なります。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
実演
説明
59
【事例1】レジストリによるチェック
動作確認その2
レジストリによるチェック
調査
修正準備
設定
レジストリ内容を旧バージョンの値に設定して、チェック結果を
確認します。
チェック結果が
「× 最新のバージョンではありません」
になります。
実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
説明
60
オフライン版MyJVNバージョンチェッカ
-カスタマイズ実演について Windows上で動作する独自アプリをバージョンチェックする場合
の具体的な設定方法例について講師側PCの実演とあわせて
概説します。
 概説内容の一覧
1. レジストリによるチェック
2. ファイルプロパティ（バージョン情報）によるチェック
3. ファイルハッシュによるチェック
事例1
事例2
事例3
独自アプリのバージョンチェックをする
61
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
61
カスタマイズ実演
【事例2】ファイルプロパティによるチェック
ファイルプロパティによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
62
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
62
【事例2】ファイルプロパティによるチェック
[手順1]バージョン確認方法の決定
ファイルプロパティによるチェック
調査
修正準備
設定
 調査結果のまとめ例
対象OS
チェック方法
HIVE：「HKEY_LOCAL_MACHINE」
KEY：「SOFTWARE¥IPA」
NAME：「Version」
値のデータ型：文字列(REG_SZ)
Windows系レジストリ
ファイル
情報
チェック場所
ファイルプロファイルパス：C:¥IPA
パティ（バーファイル名：IPA.exe
ジョン情報）
値
1.2.3.4
1.2.3.4
C5051FE22
ファイルパス：C:¥IPA
ファイル名：IPA.exe
・・・
(全40字)
ハッシュタイプ： SHA-1
インストール有無確認、最新バージョン確認、
ファイル
ハッシュ値
のそれぞれのチェック方法をファイルプロパティ
（バージョン情報）と決定した場合の例です。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
63
【事例2】ファイルプロパティによるチェック
[手順2]テンプレートファイルのコピー
ファイルプロパティによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
64
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
64
【事例2】ファイルプロパティによるチェック
[手順2]テンプレートファイルのコピー
実演
説明
ファイルプロパティによるチェック
調査
修正準備
設定
 IPAでは、独自のアプリケーションの追加を容易にするためのテ
ンプレートを用意しています。（近日Webで配布予定）
セミナー向けテンプレート
オフライン版MyJVN（webで公開済）
2-1-before-fileversion
（ファイルプロパティのバージョ
ン情報のチェック用）のテン
プレートファイルをコピーします。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
65
【事例2】ファイルプロパティによるチェック
[手順2]コピーファイルの一覧
ファイルプロパティによるチェック
調査
修正準備
設定
 コピーをしたテンプレートは以下①～④の４ファイルです。
6_Reference
① 修正は不要
CONF
oval_index
OVAL
INVENTORY
OVAL_INV_APP_B.xml
VULNERABILITY
OVAL_VUL_APP_B.xml
XCCDF
TEST-IPA.xml
③ 修正必要
④ 修正必要
②修正必要
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
66
【事例2】ファイルプロパティによるチェック
[手順3]バージョン判定の設定
ファイルプロパティによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
67
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
67
【事例2】ファイルプロパティによるチェック
[手順3]「②チェックリスト」の修正
ファイルプロパティによるチェック
調査
修正準備
設定
 修正後のファイル内容例
② TEST-IPA.xml （チェックリストを記載したファイル）
アプリケーションの名称を設定します。
実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
説明
68
【事例2】ファイルプロパティによるチェック
[手順3]「③インストール有無」の修正
ファイルプロパティによるチェック
調査
修正準備
設定
 修正後のファイル内容例
③ OVAL_INV_APP_B.xml （インストール有無の判定）
ファイルプロパティのチェック場所を設定します。
実演
説明
インストール有無を判定する条件を設定します。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
69
【事例2】ファイルプロパティによるチェック
[手順3]「④最新バージョン判定」の修正
ファイルプロパティによるチェック
調査
修正準備
設定
 修正後のファイル内容例
④ OVAL_VUL_APP_B.xml （最新バージョンの判定）
最新のバージョン情報を設定します。
ファイルプロパティのチェック場
所を設定します。
最新バージョンを判定する条件
を設定します。
実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
説明
70
【事例2】ファイルプロパティによるチェック
[手順3]参考：修正後のファイル例
ファイルプロパティによるチェック
調査
修正準備
設定
セミナー向けテンプレート（後日Webで配布予定）
2-2-after-fileversion （ファイルプ
ロパティのバージョン情報のチェック
用）は修正後の事例です。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
71
【事例2】ファイルプロパティによるチェック
動作確認その1
ファイルプロパティによるチェック
調査
修正準備
設定
講師側PCでは以下のファイルを修正してツールを実行します。
1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat
ベンチマークIDに「TEST-IPA」を
指定します。
チェック結果が「○ 最新のバージョンです」に
なります。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
実演
説明
72
【事例2】ファイルプロパティによるチェック
動作確認その2
ファイルプロパティによるチェック
調査
修正準備
設定
ファイルプロパティのバージョン値が古いものに入れ替えて、チェ
ック結果を確認します。
チェック結果が
「× 最新のバージョンではありません」
になります。
実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
説明
73
オフライン版MyJVNバージョンチェッカ
-カスタマイズ実演について Windows上で動作する独自アプリをバージョンチェックする場合
の具体的な設定方法例について講師側PCの実演とあわせて
概説します。
 概説内容の一覧
1. レジストリによるチェック
2. ファイルプロパティ（バージョン情報）によるチェック
3. ファイルハッシュによるチェック
事例1
事例2
事例3
独自アプリのバージョンチェックをする
74
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
74
カスタマイズ実演
【事例3】ファイルハッシュによるチェック
ファイルハッシュによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
75
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
75
【事例3】ファイルハッシュによるチェック
[手順1]バージョン確認方法の決定
ファイルハッシュによるチェック
調査
修正準備
設定
 調査結果のまとめ例
対象OS
チェック方法
Windows系レジストリ
ファイル
情報
チェック場所
値
HIVE：「HKEY_LOCAL_MACHINE」
KEY：「SOFTWARE¥IPA」
NAME：「Version」
値のデータ型：文字列(REG_SZ)
1.2.3.4
ファイルパス：C:¥IPA
ファイル名：IPA.exe
ハッシュタイプ： SHA-1
C5051FE22
・・・
(全40字)
インストール有無確認、最新バージョン確認、
のそれぞれのチェック方法をファイルハッシュ
ファイルプロファイルパス：C:¥IPA
1.2.3.4
と決定した場合の例です。
パティ（バーファイル名：IPA.exe
ジョン情報）
ファイル
ハッシュ値
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
76
【事例3】ファイルハッシュによるチェック
[手順2]テンプレートファイルのコピー
ファイルハッシュによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
77
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
77
【事例3】ファイルハッシュによるチェック
[手順2]テンプレートファイルのコピー
実演
説明
ファイルハッシュによるチェック
調査
修正準備
設定
 IPAでは、独自のアプリケーションの追加を容易にするためのテ
ンプレートを用意しています。（近日Webで配布予定）
セミナー向けテンプレート
オフライン版MyJVN（webで公開済）
3-1-before-filehash
（ファイルハッシュのチェッ
ク用）のテンプレートファ
イルをコピーします。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
78
【事例3】ファイルハッシュによるチェック
[手順2]コピーファイルの一覧
ファイルハッシュによるチェック
調査
修正準備
設定
 コピーをしたテンプレートは以下①～④の４ファイルです。
6_Reference
① 修正は不要
CONF
oval_index
OVAL
INVENTORY
OVAL_INV_APP_C.xml
VULNERABILITY
OVAL_VUL_APP_C.xml
XCCDF
TEST-IPA.xml
③ 修正必要
④ 修正必要
②修正必要
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
79
【事例3】ファイルハッシュによるチェック
[手順3]バージョン判定の設定
ファイルハッシュによるチェック
調査
修正準備
設定
 作業の流れ
1. バージョン確認方法の調査
2. テンプレートファイルのコピー
3. バージョン判定の設定
（調査）
（修正準備）
（設定）
独自アプリのバージョンチェックをする
80
にはどうしたらいいんだろう？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
80
【事例3】ファイルハッシュによるチェック
[手順3]「②チェックリスト」の修正
ファイルハッシュによるチェック
調査
修正準備
設定
 修正後のファイル内容例
② TEST-IPA.xml （チェックリストを記載したファイル）
アプリケーションの名称を設定します。
実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
説明
81
【事例3】ファイルハッシュによるチェック
[手順3]「③インストール有無」の修正
ファイルハッシュによるチェック
調査
修正準備
設定
 修正後のファイル内容例
③ OVAL_INV_APP_C.xml （インストール有無の判定）
ファイルハッシュのチェック場所とハッシュタイ
プを設定します。
実演
説明
インストール有無を判定する条件を設定します。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
82
【事例3】ファイルハッシュによるチェック
[手順3]「④最新バージョン判定」の修正
ファイルハッシュによるチェック
調査
修正準備
設定
 修正後のファイル内容例
④ OVAL_VUL_APP_C.xml （最新バージョンの判定）
最新のバージョン情報を設定します。
ファイルハッシュのチェック場所とハッシュタイ
プを設定します。
実演
説明
最新バージョンを判定する条件
を設定します。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
83
【事例3】ファイルハッシュによるチェック
[手順3]参考：修正後のファイル例
ファイルハッシュによるチェック
調査
修正準備
設定
セミナー向けテンプレート（後日Webで配布予定）
3-2-after-fileversion （ファイルハッシュの
チェック用）は修正後の事例です。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
84
【事例3】ファイルハッシュによるチェック
動作確認その1
ファイルハッシュによるチェック
調査
修正準備
設定
講師側PCでは以下のファイルを修正してツールを実行します。
1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat
ベンチマークIDに「TEST-IPA」を
指定します。
チェック結果が「○ 最新のバージョンです」に
なります。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
実演
説明
85
【事例3】ファイルハッシュによるチェック
動作確認その2
ファイルハッシュによるチェック
調査
修正準備
設定
ファイルハッシュ値が異なるファイルに入れ替えて、チェック結果
を確認します。
チェック結果が
「× 最新のバージョンではありません」
になります。
実演
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
説明
86
【おまけ】 3アプリの一括チェック
実演
説明
 IPAでは、独自のアプリケーションの追加を容易にするためのテ
ンプレートを用意しています。（近日Webで配布予定）
セミナー向けテンプレート
オフライン版MyJVN（webで公開済）
4-2-after-3type-check
（3種類のチェック用）は修
正後のテンプレート例です。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
87
まとめ
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
88
脆弱性対策の機械処理のために
 オフライン版MyJVNバージョンチェッカではカスタマイ
ズによる独自アプリのチェックが実現可能です
 セミナー向けテンプレート（※後日Webで配布予定）
を使用することで容易なカスタマイズが可能です
※配布予定 http://www.ipa.go.jp/security/vuln/index.html#seminar
オフライン版MyJVNバージョンチェッ
カでOVALを使ってみませんか？
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
89
補足
（セミナー参加者の方へのお知らせ）
 OVALカスタマイズマニュアルを以下のURLで提供し
ています。オフライン版MyJVNバージョンチェッカと合
わせてご利用ください。
http://jvndb.jvn.jp/apis/myjvn/ovaltool.html
 ご意見、ご要望等は以下のメールアドレスで受け付
けております。適用事例などの情報があればぜひお
寄せください。
メールアドレス：[email protected]
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
90
補足（OVALカスタマイズマニュアル）
～さらにカスタマイズを行う方のために～
 OVALカスタマイズマニュアル一式配布内容
http://jvndb.jvn.jp/apis/myjvn/ovaltool.html
（ovalmanual.zipをダウンロードして使用してください。）
・「OVALカスタマイズマニュアル（PDF版）」
・修正例（本セミナー内容とは異なります）
を同梱しています。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
91
IPAの脆弱性対策に関する
取り組み紹介
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
92
脆弱性対策の取り組み
IPAでは、脆弱性対策の取組みとして、脆弱性対策情報提
供および脆弱性対策を有効に活用される仕組みを推進
第1期
対策情報
充実期
2004年 7月
2004年7月
2007年 4月
2008年 5月
情報セキュリティ早期警戒パートナーシップの開始
脆弱性対策情報ポータルサイト JVN 開設
脆弱性対策情報データベース JVN iPedia 開設
JVN 英語サイト、JVN iPedia 英語サイトの開設
2008年10月
2009年 4月
脆弱性対策情報共有フレームワーク “MyJVN” の開始
第2期
製品開発者の発信する
利活用
脆弱性対策情報の自動収集の試行開始
基盤整備
2009年11月
MyJVNバージョンチェッカのリリース
・
2009年12月
MyJVNセキュリティ設定チェッカのリリース
共通基準
2010年 2月
MyJVN API 公開
導入期
2011年 8月
MyJVN バージョンチェッカのリリース
2011年11月
サイバーセキュリティ注意喚起サービス「icat」開始
現在は、脆弱性対策情報を有効に活用される為の利活用基盤の整備に注力
脆弱性対策を機械処理的に行うSCAPの仕組みを取り入れた対応
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
93
脆弱性対策についての活動概念
• ＩＰＡではセキュリティ情報の収集、対策手段の提供、情報の発
信等の活動を行っています。
NVD
製品ベンダ
公開情報
新たな攻撃の
情報
予兆
セキュリティ情報
/対策情報の集約
サイバーセキュリティ
注意喚起サービス
「icat」
MyJVN API モジュール
連携
脆弱性対策
情報収集ツール
バージョン
チェッカ
セキュリティ設定
チェッカ
MyJVN
ツールボックス
Twitter発信
サービス
独自開発のシステム・
プログラム
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
94
脆弱性対策情報ＤＢ JVN iPedia
http://jvndb.jvn.jp/
• 日本国内の地域性を考慮した脆弱性対策情報を蓄積するデータベースを
整備する。
– 日本国内で利用されている製品に対する脆弱性対策情報を掲載
– 日本語版の公開件数は、13,000件以上（2012年2月）
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
95
MyJVN API
http://jvndb.jvn.jp/apis/
• 脆弱性対策情報データベース（JVN iPedia）の
情報を、Webを通じて利用するためのソフトウェアインタフェース
IPA
API
MyJVN APIモジュール
XML
データ
開発者
プログラム
利用者
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
96
MyJVN API
http://jvndb.jvn.jp/apis/
• 以下のAPIを公開しています。
脆弱性対策情報関連API
統計関連API
OVAL関連API
ＡＰＩ名
メソッド名
概要
ベンダ一覧の取得
getVendorList
フィルタリング条件にあてはまるベンダ名リストを
取得します。
製品一覧の取得
getProductList
フィルタリング条件にあてはまる製品名リストを取
得します。
脆弱性対策概要情報 getVulnOverviewList
一覧の取得
フィルタリング条件にあてはまる脆弱性対策の概
要情報リストを取得します。
脆弱性対策詳細情報 getVulnDetailInfo
の取得
フィルタリング条件にあてはまる脆弱性対策の詳
細情報を取得します。
統計データの取得
getStatics
脆弱性対策情報を、登録件数(脆弱性統計情
報)、深刻度(CVSS統計情報)、脆弱性種別
(CWE統計情報)で集計したデータを取得します。
OVAL定義データの取
得
getOvalData
フィルタリング条件にあてはまるOVAL定義データ
を取得します。(2012年3月公開予定)
OVAL定義データ一覧
の取得
getOvalList
フィルタリング条件にあてはまるOVAL定義データ
一覧を取得します。(2012年3月公開予定)
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
97
MyJVNセキュリティ設定チェッカ
http://jvndb.jvn.jp/apis/myjvn/sccheck.html
• 設定に関する脆弱性対策チェックのフレームワークを整備する。
– 利用者のPCの設定を簡単な操作で確認するツール
– チェックリストに基づき、設定が適切かどうかのチェックを手作業ではなく、ツールに
より作業を自動化する。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
98
MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/
• マルチベンダ環境において、ソフトウェア製品の脆弱性対策チェックの
フレームワークを整備する。
– 利用者のPCにインストールされているソフトウェア製品のバージョンが最新で
あるかを、簡単な操作で確認するツール
– チェックリストに基づき、バージョンが最新であるかどうかの
チェックを手作業ではなく、ツールにより作業を自動化する。
– サーバーソフトやサーバOS(Windows,Linux)でも動作可能
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
99
MyJVN脆弱性対策情報収集ツール
http://jvndb.jvn.jp/apis/myjvn/mjcheck.html
• 製品視点から脆弱性対策情報を選別可能なフレームワークを整備する。
– JVN iPediaの情報を、利用者が効率的に活用できるように、製品視点のフィ
ルタリング条件設定機能を有した脆弱性対策情報収集ツール
– 利用者に関係する製品視点の脆弱性対策情報のみの表示する。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
100
MyJVN API 活用事例
http://jvndb.jvn.jp/apis/
• ＭｙＪＶＮＡＰＩを活用しているサービスの事例を紹介します。
■株式会社リクルート様「SEfeed（エス・イー・フィード）」の事例
システム管理者などが自社で
利用するソフトウェア製品につ
いて、ベンダ名や製品名で脆
弱性対策情報を検索・閲覧で
きるサービス。
MyJVN API を利用して「脆弱
性対策情報データベース JVN
iPedia」に登録されている情報
を「SEfeed」の利用者に提供し
ています。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
101
MyJVN API まとめ
http://jvndb.jvn.jp/apis/
• ＭｙＪＶＮＡＰＩを利用することで・・・
13,000件以上（※）の脆弱性対策情報を活用することが
できます。
MyJVN API を使って
開発してみませんか？
※2012年2月末時点
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
102
サイバーセキュリティ注意喚起サービス icat
http://www.ipa.go.jp/security/vuln/icat.html
迅速なセキュリティ対策情報の入手により、ユーザへの対策適用を促進します。
IPAから発信する緊急対策情報を、
リアルタイムで企業や団体のウェブサイト上に表示します。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
103
サイバーセキュリティ注意喚起サービス icat
http://www.ipa.go.jp/security/vuln/icat.html
利用方法
ウェブサイトに下記の HTML タグを挿入してください。
<script type="text/javascript"
src="http://www.ipa.go.jp/security/announce/ICATalerts.js">
</script>
表示サイズ：幅 190ピクセル高さ 350ピクセル
重要な注意喚起については、オレンジの背景色で強調されます。
IPAの注意喚起情報と同期して自動更新します。
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
104
最後に
ＩＰＡでは、今後も共通基準／仕様の導入を進めながら、国際性(イ
ンターネットにおける脆弱性対策情報の情報源)と地域性(日本国
内向けの脆弱性対策情報データベース)とを両立させたグローバル
なＪＶＮ(世界に冠たるＪＶＮ)を実現していく予定です。
http://jvndb.jvn.jp/
http://jvndb.jvn.jp/apis/myjvn/
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
105
Q&A
Copyright © 2012 独立行政法人情報処理推進機構
「脆弱性対策の標準仕様SCAPの仕組み」セミナー
106

脆弱性対策の標準仕様SCAPの仕組み - IPA 独立行政法人 情報処理

Comments

Description

Transcript

脆弱性対策の標準仕様SCAPの仕組み - IPA 独立行政法人情報処理