Comments
Description
Transcript
脆弱性対策の標準仕様SCAPの仕組み - IPA 独立行政法人 情報処理
脆弱性対策の標準仕様SCAPの仕組み ~MyJVNバージョンチェッカのカスタマイズ入門~ 独立行政法人 情報処理推進機構 (IPA) 技術本部 セキュリティセンター 2012年2月28日 Copyright © 2012 独立行政法人 情報処理推進機構 講義内容 脆弱性対策の標準仕様SCAP概要 オフライン版MyJVNバージョンチェッカのカスタマイズ IPAの脆弱性対策に関する取り組み紹介 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 2 脆弱性対策の標準仕様SCAP概要 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 3 2011年に起こったサイバー攻撃: 2011年は、サイバー攻撃に関する報道が目立った 時期 報道 2011/2 中国から欧米エネルギー5社攻撃 (毎日新聞等) 2011/3 韓国で大規模ハッカー攻撃 大統領府や銀行など40機関 (朝日新聞等) 2011/3 仏財務省にサイバー攻撃、G20情報盗まれる (読売新聞等) 2011/4-5 A社にサイバー攻撃、個人情報流出1億件超 (朝日新聞等) 2011/6 米B社:中国からサイバー攻撃 米韓政府関係者ら被害 (毎日新聞等) 2011/9 C社にサイバー攻撃、80台感染…防衛関連も (読売新聞等) 2011/9 D社にもサイバー攻撃 日本の防衛・原発産業に狙いか (産経新聞等) 2011/10 衆議院にサイバー攻撃 議員のパスワード盗まれる (朝日新聞等) 2011/11 サイバー攻撃:参議院会館のPC、ウイルス感染は数十台に (毎日新聞等) Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 4 攻撃の変容 2000~ 不正侵入・改竄 昔と今のサイバー攻撃の絵姿変化... 2006~ 2006~ 2004~ 体系化(Botnet) 多段化 2009~ 2010~11 正規サービスの (Botnet技術基盤利用) 攻撃基盤利用 組織を跨った新し いタイプの攻撃 正規サイト・ サービス利用 ウイルス亜種の大量出現 シーケンシャルマルウエア(多段型攻撃) 0-Day脆弱性利用 toolによるウイルス生産 情報システムがターゲット 1脆弱性=1攻撃の時代 PCとホームページ改竄がターゲット 攻撃組織間連携 攻撃者ひとり 攻撃組織基盤化 戦術的攻撃 多様な意図性(情報窃取攻撃) 影響(業務インパクト)の変化 PCの破壊・HP改竄 情報窃取等 e-マーケットビジネス、決済等への影響 決済関連情報窃取等、サプライチェーン 対象:PC、サーバ 対象:情報システム(組織・ビジネス) ? 国家安全保障問題 製造業者における死活問題 対象:制御システム・社会インフラ 出展:亀山社中 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 5 増え続ける脆弱性対策情報 ~ PCで使用するソフトウェアの脆弱性が増加~ 500 400 300 件 数 200 100 461 一太郎 Adobe Flash Player Adobe Acrobat Adobe Reader JDK JRE Microsoft Internet Explorer Mozilla Firefox 1 17 29 24 450 355 271 73 84 133 152 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 (出典)IPA:脆弱性対策情報データベースJVN iPediaの登録状況 2011第4四半期 図2. PCで広く利用されている定番ソフトウェアの登録件数の年別推移 2007年頃からAcrobat Reader、JRE、Adobe Flash Playerの脆 弱性対策情報が飛躍的に増加 一般利用者において、常にセキュリティパッチを適用し続けなけれ ばならない状況 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 6 管理対象機器の増大 PCだけではなく、あらゆるものが、ネットワークにつながり、 機器の管理が困難 PDA(Personal Digital Assistants) Copyright © 2012 独立行政法人 情報処理推進機構 HDD(Hard Disk Drive) LAN(Local Area Network) 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 7 まとめ どのように対策 すればよいのだろうか? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 8 米国における脆弱性対策 増大する脆弱性、管理 対象システム。次に、 米国での取組みを見て みよう Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 9 米国における脆弱性対策の歩み 1999年iCAT(脆弱性対策メタデータベース)構築からはじまり、2002年 のFISMA (Federal Information Security Management Act: 連邦情報セ キュリティマネジメント法) の施行以降、各種活動が統合されはじめた。 2010年 2006年 2004年 2002年 1999年 Copyright © 2012 独立行政法人 情報処理推進機構 FDCC 連邦政府システムの共通のデスクトップ基準 SCAP 脆弱性対策管理やコンプライアンス管理 ⇒情報セキュリティ管理の技術面での 機械化(自動化)と標準化 NCP NVD プログラムが稼動するための 設定に内在するセキュリティ問題 ⇒チェックリスト プログラム自身に内在する コード上のセキュリティ問題 ⇒脆弱性対策メタデータベース 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 10 米国での脆弱性対策の取組み 【 背景 】 米国では、 2002年のFISMA(Federal Information Security Management Act: 連邦情報セキュリティマネジメント法)の施行以降、セキュリティ規格やガイドライン に従い、情報システムにセキュリティ要件を反映する活動を推進している。 【 課題 】 セキュリティ設定に関する作業を手作業 で行なうと、設定ミスや設定者のセキュ リティ知識の程度や判断の相違などによ りセキュリティ要件を損なう可能性 【 解決策 】 連邦政府システムのベースラインのセ キュリティを確保しつつ、ヘルプデスクお よび パッチ検証にかかる費用を削減 コンプライアンス対応に膨大な時間とリソース の消費 作業の機械化(自動化)による対処 共通のデスクトップ基準制定による対処 共通基準制定による(自動化)の普及 共通の基準制定による対処 ⇒SCAP (Security Content Automation Protocol) ⇒Making Security Measurable Copyright © 2012 独立行政法人 情報処理推進機構 ⇒ FDCC(Federal Desktop Core Configuration) ⇒ USGCB(United States Government Configuration Baseline) 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 11 SCAP =FDCC推進を支援するための技術仕様 2007年、米OMB(Office of Management and Budget:行政予算管理局)では、 Windowsソフトウエアを『共通セキュリティ設定』に準拠させるFDCC(Federal Desktop Core Configuration:連邦政府共通デスクトップ基準)を定めた。 NISTでは、FDCC推進にあたり、FDCC準拠の確認手段の一つとしてSCAPを普及 展開している。 ポリシー・・・ FISMA スタンダード・・・ FDCC などの共通セキュリティ設定 共通技術仕様・・・ SCAP、Making Security Measurable IPA提供ツール 注意喚起など緊急時対応 基盤を普及させるための先行実装 JVN脆弱性対策機械処理基盤 (MyJVN API、MyJVN XMLフォーマットなど ツール・・・ NVD、SCAP準拠ツール (米国には民間で開発されたSCAPツール有) Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 12 米国政府の推進するSCAPとは SCAP(Security Content Automation Protocol) 脆弱性管理、コンプライアンス管理の一部を機械化(自動化)することにより、情 報システムに対するセキュリティ対策の負荷軽減と情報セキュリティ施策の推進の 両立を目的とした仕様群である。6つの標準仕様から構成されている。 プログラム自身に内在する プログラム上のセキュリティ問題に 一意の番号を付与する 脆弱性管理 脆弱性自体の特性、パッチの提供状況、 ユーザ環境での影響度などを 考慮し影響度を評価する仕様 プログラム上のセキュリティ問題や 設定上のセキュリティ問題をチェック するための手続き仕様 情報システムを構成する、 ハードウェア、ソフトウェアなどに 一意の名称を付与する プログラムが稼働するための設定上の セキュリティ問題に一意の番号を付与する セキュリティチェックリストやベンチマークなどの 文書を記述するための仕様 資産管理 Copyright © 2012 独立行政法人 情報処理推進機構 構成管理 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 13 MyJVNバージョンチェッカとSCAPの関係 MyJVNバージョンチェッカではSCAPの要素のうち、OVAL、 XCCDF、CPEを利用しています。 プログラム自身に内在する プログラム上のセキュリティ問題に 一意の番号を付与する 脆弱性管理 脆弱性自体の特性、パッチの提供状況、 ユーザ環境での影響度などを 考慮し影響度を評価する仕様 プログラム上のセキュリティ問題や 設定上のセキュリティ問題をチェック するための手続き仕様 情報システムを構成する、 ハードウェア、ソフトウェアなどに 一意の名称を付与する プログラムが稼働するための設定上の セキュリティ問題に一意の番号を付与する セキュリティチェックリストやベンチマークなどの 文書を記述するための仕様 資産管理 構成管理 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 14 何故MyJVNを利用するのか?(その1) 脆弱性対策情報を追い続けることは大変 稼働中のシステムに対して「影響のある脆弱性が存在するか」を追い 続けることにはユーザ企業にとって必要不可欠 文書による脆弱性対策情報だけで影響有無を判定する手法は抜け 漏れが発生する可能性がある 文書による 脆弱性の注意喚起 稼動中の システム 文書による 影響有無の確認 文書による 指示で修正 問題あり 検査 問題有無? 修正・変更の 実施 問題なし Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 15 何故MyJVNを利用するのか?(その2) 作業漏れ防止、早期対応、負荷軽減といったことを実現する ためには手作業ではなく機械処理が有効 011010 111101 110101 手順データによる 脆弱性の注意喚起 手順データ 手順データによる 影響有無の確認 手順データによる 指示で修正 問題あり 稼動中の システム 検査 問題有無? 修正・変更の 実施 問題なし MyJVNによる機械処理の部分 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 16 オフライン版MyJVNバージョンチェッカの カスタマイズ Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 17 本章の流れ 本章では下記の流れで説明を進めます。 1.MyJVNバージョンチェッカとは 2.カスタマイズの概要 3.カスタマイズ実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 18 本章の流れ 本章では下記の流れで説明を進めます。 1.MyJVNバージョンチェッカとは 2.カスタマイズの概要 3.カスタマイズ実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 19 MyJVNバージョンチェッカとは PCにインストールされているソフトウェア製品(Adobe Flash Player、Adobe Reader、JRE等)が最新かを簡単な操作で確認するツール 最新バージョンでない 場合には「×」と表示 します MyJVNはSCAPの要素 OVAL、CPE、XCCDFを 利用しています。 サービス開始は2009年11月末。チェック対象アプリは随時追加中。 (2009/11時点のアプリ数は8 → 2011/8時点のアプリ数は17) 公開URL http://jvndb.jvn.jp/apis/myjvn/index.html (クイック起動) または http://jvndb.jvn.jp/apis/myjvn/vccheck.html Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 20 MyJVNバージョンチェッカの仕組み MyJVNバージョンチェッカの仕組み IPA内でバージョン判定用定義データを作成する MyJVNバージョンチェッカでバージョン判定用の定義デー タとシステムの情報を対比させる ユーザ側 IPA側 バージョン判定用 の定義データ ダウンロード 判定用の定 義データ MyJVNの管理ツールで作成 した判定用の定義データ 定義ファイルと システムと対比 MyJVNバージョンチェッカ インターネット Copyright © 2012 独立行政法人 情報処理推進機構 結果表示 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 21 バージョン判定用の定義データとは バージョン判定用定義データは主に2種類のデータ で構成されます。 ユーザ側 IPA側 バージョン判定用 の定義データ ダウンロード 判定用定義 データ 定義ファイルと システムと対比 MyJVNバージョンチェッカ インターネット MyJVNの管理ツールで作成 した判定用の定義データ 結果表示 ・セキュリティ検査言語OVALのデータ ・セキュリティチェックリストXCCDFのデータ Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 22 セキュリティ検査言語OVAL ソフトウェアのバージョンチェック用OVALには、チェック対象のアプリケーション毎に、 インベントリとバルネラビリティの2種類のファイルが存在する OVAL種別 インベントリ (Inventory) 説明 チェック対象のソフトウェア製品がインストールされている かを検査する方法を記述 バルネラビリティ (Vulnerability) チェック対象のソフトウェア製品が、最新のバージョンであ るかを検査する方法を記述 MyJVNバージョンチェッカでは、インベントリとバルネラビリティのOVALを読込んで処 理を行う Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 23 セキュリティ設定チェックリストXCCDFとは XCCDFとは? ・英名:eXtensible Configuration Checklist Description Format ・和名:セキュリティ設定チェックリスト記述形式 ・意味:セキュリティチェックリストなどを記述するための仕様言語のこと XCCDF定義データ チェックリスト No チェック項目 1 ソフトウェアAのバージョンチェック 2 ソフトウェアBのバージョンチェック 3 PCのセキュリティ設定Xの設定状況 … … …… …… ……… … OVAL定義データ ソフトウェアAの バージョンチェックを行う OVALファイル ソフトウェアBの バージョンチェックを行う OVALファイル セキュリティ設定Xの 設定状況を確認する OVALファイル Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 24 アプリケーションのバージョン確認方法 ○○○○ ○○○○ Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 25 アプリケーションのバージョン確認方法 (その1) Windowsのアプリケーションはレジストリでバージョンを 管理していることが多い MyJVNでは レジストリを確認すればインストールの有無 / 最新バージョンかどうかが確認可能 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 26 アプリケーションのバージョン確認方法 (その2) レジストリでアプリケーションのバージョンを管理していな い場合 ファイルハッシュ: EADCE51C・・・・ ファイルプロパティの バージョン: 8.0.0・・・ MyJVNでは アプリケーションを構成しているファイルの情報を 確認すれば イントールの有無 / 最新版バージョ ンかどうか が確認可能 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 27 MyJVNバージョンチェッカをカスタマイズ オフライン版MyJVNバージョンチェッカ Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 28 オフライン版MyJVNバージョンチェッカとは オフライン環境で動作可能なMyJVNバージョンチェッカのこと 利用者側ではオフライン版ダウンロードのパッケージを使用することでオフ ライン環境でもバージョンチェックの実施が可能 URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html 実行例 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 29 オフライン版MyJVNバージョンチェッカとは オフライン版MyJVNバージョンチェッカ 配布パッケージ内容 URL http://jvndb.jvn.jp/apis/myjvn/vccheckoffline.html 配布パッケージの展開例) バージョン判定用の 定義データを格納 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 30 オフライン版MyJVNバージョンチェッカとは オフライン版MyJVNバージョン チェッカを実行してみよう Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 31 オフライン版MyJVNバージョンチェッカと オンライン版MyJVNバージョンチェッカの違い オフライン版MyJVNバージョンチェッカ ユーザ側 判定用の 定義データ バージョン判定 用の定義データ ダウンロード 定義ファイルと システムと対比 MyJVNの管理ツールで作成 した判定用の定義データ 【オフライン】結果表示 データは オンライン版MyJVNバージョンチェッカ ローカル MyJVNバージョンチェッカ 【オンライン】 データは ネットワーク ユーザ側 IPA側 バージョン判定 用の定義データ ダウンロード 定義ファイルと システムと対比 判定用の 定義データ MyJVNの管理ツールで作成 した判定用の定義データ インターネット Copyright © 2012 独立行政法人 情報処理推進機構 MyJVNバージョンチェッカ 結果表示 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 32 MyJVNのカスタマイズ Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 33 本章の流れ 本章では下記の流れで説明を進めます。 1.MyJVNバージョンチェッカとは 2.カスタマイズの概要 3.カスタマイズ実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 34 カスタマイズの流れ 1.対象のアプリケー ションの情報を確認 アプリケーションはどこに バージョン情報を管理し ているのだろう 2.チェック方法の決定 どの情報でチェックしたら いいだろうか 3.定義データの設定 判定用 定義データ 実際に動かしてみよう 4.動作確認 Copyright © 2012 独立行政法人 情報処理推進機構 定義データを変更してみ よう 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 35 カスタマイズの流れ 1.対象のアプリケーションの情報を確認 対象のアプリケーションがどこにバージョン情報を持 っているかを確認します。 ・レジストリのバージョン値 例) HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 ⇒ 1.2.3.4 ・ファイルのプロパティのバージョン値 例) 1.2.3.4 ・特定のファイルのハッシュ値 例) C5051FE22・・・(全40字) Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 36 カスタマイズの流れ 2.チェック方法の決定 アプリケーションのバージョンチェックの方法を決定します。 レジストリ • 推奨するチェック方 法 ファイルプロ パティ ファイルハッ シュ 【制限事項】 【制限事項】 • アプリケーションのイ ンストール場所に依 存 • アプリケーションのイ ンストール場所に依 存 • バージョン情報の取 得不可 ■チェック方法の決定例(異なるチェック方法でも判定可能) インストールの有無(インベントリ)は ファイルハッシュ 最新バージョンの判定(バルネラビリティ)は レジストリ Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 37 カスタマイズの流れ 3.バージョン判定用定義データの設定 判定用定義データの4つのファイルを変更して いきます。 ※変更方法の詳細はこのあとの 実演時に説明します。 Copyright © 2012 独立行政法人 情報処理推進機構 ・OVALファイル(インベントリ) ・OVALファイル(バルネラビリティ) ・XCCDFファイル ・oval_indexファイル 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 38 カスタマイズの流れ 4.動作確認 カスタマイズしたオフライン版MyJVNバージョ ンチェッカを起動し、動作を確認します。 アプリケーションのバージョンに応じて判定結果が出力されます。 ○:最新のバージョンがインストールされている ×:古いバージョンがインストールされている ―:対象のアプリケーションがインストールされていない Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 39 本章の流れ 本章では下記の流れで説明を進めます。 1.MyJVNバージョンチェッカとは 2.カスタマイズの概要 3.カスタマイズ実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 40 オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について Windows上で動作する独自アプリをバージョンチェックする場合 の具体的な設定方法例について講師側PCの実演とあわせて 概説します。 概説内容の一覧 1. レジストリによるチェック 2. ファイルプロパティ(バージョン情報)によるチェック 3. ファイルハッシュによるチェック 事例1 事例2 事例3 独自アプリのバージョンチェックをする 41 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 41 オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について Windows上で動作する独自アプリをバージョンチェックする場合 の具体的な設定方法例について講師側PCの実演とあわせて 概説します。 概説内容の一覧 1. レジストリによるチェック 2. ファイルプロパティ(バージョン情報)によるチェック 3. ファイルハッシュによるチェック 事例1 事例2 事例3 独自アプリのバージョンチェックをする 42 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 42 カスタマイズ実演 【事例1】 レジストリによるチェック レジストリによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 独自アプリのバージョンチェックをする 43 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー (調査) (修正準備) (設定) 実演 参考 説明 43 カスタマイズ実演 【事例1】 レジストリによるチェック レジストリによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 44 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 44 【事例1】 レジストリによるチェック [手順1]バージョン確認方法の調査 レジストリによるチェック 調査 修正準備 設定 チェック対象アプリのバージョン確認方法を調査します。 調査方法 その1) ・ regedit コマンド等を使用してレジストリ情報にバージョン情報が存在するかを 確認してください。 参考) HKEY_LOCAL_MACHINE¥SOFTWARE¥ベンダ名¥アプリ名 等 の配下にバージョン情報が格納されていることがあります。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 45 【事例1】 レジストリによるチェック [手順1]バージョン確認方法の調査 レジストリによるチェック 調査 修正準備 設定 チェック対象アプリのバージョン確認方法を調査します。 調査方法 その2) ・ ファイルプロパティにバージョン情報が存在するかを確認してください。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 46 【事例1】 レジストリによるチェック [手順1]バージョン確認方法の調査 レジストリによるチェック 調査 修正準備 設定 チェック対象アプリのバージョン確認方法を調査します。 調査方法 その3) ・ バージョン更新と同じタイミングで更新がされるファイルが存在するか確認 してください。更新ファイルが存在する場合にはハッシュ値を確認してください。 参考) ハッシュ値を確認 するためのフリー ソフトウェアを使 用しています。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 47 【事例1】 レジストリによるチェック [手順1]バージョン確認方法の調査 レジストリによるチェック 調査 修正準備 設定 調査結果のまとめ例 対象OS チェック方法 HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 値のデータ型:文字列(REG_SZ) Windows系 レジストリ ファイル 情報 ファイルプロ ファイルパス:C:¥IPA パティ(バー ファイル名:IPA.exe ジョン情報) ファイル ハッシュ値 Copyright © 2012 独立行政法人 情報処理推進機構 チェック場所 ファイルパス:C:¥IPA ファイル名:IPA.exe ハッシュタイプ: SHA-1 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 値 1.2.3.4 1.2.3.4 C5051FE22 ・・・ (全40字) 48 【事例1】 レジストリによるチェック [手順1]バージョン確認方法の決定 レジストリによるチェック 調査 修正準備 設定 調査結果のまとめ例 対象OS チェック方法 HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 値のデータ型:文字列(REG_SZ) Windows系 レジストリ ファイル 情報 チェック場所 ファイルプロ ファイルパス:C:¥IPA パティ(バー ファイル名:IPA.exe ジョン情報) ファイル ファイルパス:C:¥IPA 値 1.2.3.4 1.2.3.4 C5051FE22 インストール有無確認、最新バージョン確認、 ・・・ ハッシュ値 ファイル名:IPA.exe のそれぞれのチェック方法をレジストリと決定し (全40字) ハッシュタイプ: SHA-1 た場合の例です。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 49 【事例1】 レジストリによるチェック [手順2]テンプレートファイルのコピー レジストリによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 50 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 50 【事例1】 レジストリによるチェック [手順2]テンプレートファイルのコピー 実演 説明 レジストリによるチェック 調査 修正準備 設定 IPAでは、独自のアプリケーションの追加を容易にするためのテ ンプレートを用意しています。(近日Webで配布予定) セミナー向けテンプレート オフライン版MyJVN(webで公開済) 1-1-before-registry (レジ ストリチェック用) のテンプ レートファイルをコピーします。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 51 【事例1】 レジストリによるチェック [手順2]コピーファイルの一覧 レジストリによるチェック 調査 修正準備 設定 コピーをしたテンプレートは以下①~④の4ファイルです。 6_Reference ① 修正は不要 CONF oval_index OVAL INVENTORY OVAL_INV_APP_A.xml VULNERABILITY OVAL_VUL_APP_A.xml XCCDF TEST-IPA.xml ③ 修正必要 ④ 修正必要 ②修正必要 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 52 【事例1】 レジストリによるチェック [手順3]バージョン判定の設定 レジストリによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 53 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 53 【事例1】 レジストリによるチェック [手順3]「①定義ファイル」の修正 レジストリによるチェック 調査 修正準備 設定 コピー後の修正は不要です。 ① oval_index (定義ファイルのマッピングを記載) OVALファイルとOVAL IDのマッピングが記載 されています。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 54 【事例1】 レジストリによるチェック [手順3]「②チェックリスト」の修正 レジストリによるチェック 調査 修正準備 設定 修正後のファイル内容例 ② TEST-IPA.xml (チェックリストを記載したファイル) アプリケーションの名称を設定します。 実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 説明 55 【事例1】 レジストリによるチェック [手順3]「③インストール有無」の修正 レジストリによるチェック 調査 修正準備 設定 修正後のファイル内容例 ③ OVAL_INV_APP_A.xml (インストール有無の判定) レジストリのチェック場所を設定します。 実演 説明 インストール有無を判定する条件を設定します。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 56 【事例1】 レジストリによるチェック [手順3]「④最新バージョン判定」の修正 レジストリによるチェック 調査 修正準備 設定 修正後のファイル内容例 ④ OVAL_VUL_APP_A.xml (最新バージョンの判定) 最新のバージョン情報を設定します。 レジストリのチェック場所を 設定します。 最新バージョンを判定する条件 を設定します。 実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 説明 57 【事例1】 レジストリによるチェック [手順3]参考:修正後のファイル例 レジストリによるチェック 調査 修正準備 設定 セミナー向けテンプレート(後日Webで配布予定) 1-2-after-registry (レジストリチェック用) は修正後の事例です。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 58 【事例1】 レジストリによるチェック 動作確認 その1 レジストリによるチェック 調査 修正準備 設定 講師側PCでは以下のファイルを修正してツールを実行します。 1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat ベンチマークIDに「TEST-IPA」 を 指定します。 チェック結果が「○ 最新のバージョンです」に なります。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 実演 説明 59 【事例1】 レジストリによるチェック 動作確認 その2 レジストリによるチェック 調査 修正準備 設定 レジストリ内容を旧バージョンの値に設定して、チェック結果を 確認します。 チェック結果が 「× 最新のバージョンではありません」 になります。 実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 説明 60 オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について Windows上で動作する独自アプリをバージョンチェックする場合 の具体的な設定方法例について講師側PCの実演とあわせて 概説します。 概説内容の一覧 1. レジストリによるチェック 2. ファイルプロパティ(バージョン情報)によるチェック 3. ファイルハッシュによるチェック 事例1 事例2 事例3 独自アプリのバージョンチェックをする 61 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 61 カスタマイズ実演 【事例2】 ファイルプロパティによるチェック ファイルプロパティによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 62 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 62 【事例2】 ファイルプロパティによるチェック [手順1]バージョン確認方法の決定 ファイルプロパティによるチェック 調査 修正準備 設定 調査結果のまとめ例 対象OS チェック方法 HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 値のデータ型:文字列(REG_SZ) Windows系 レジストリ ファイル 情報 チェック場所 ファイルプロ ファイルパス:C:¥IPA パティ(バー ファイル名:IPA.exe ジョン情報) 値 1.2.3.4 1.2.3.4 C5051FE22 ファイルパス:C:¥IPA ファイル名:IPA.exe ・・・ (全40字) ハッシュタイプ: SHA-1 インストール有無確認、最新バージョン確認、 ファイル ハッシュ値 のそれぞれのチェック方法をファイルプロパティ (バージョン情報)と決定した場合の例です。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 63 【事例2】 ファイルプロパティによるチェック [手順2]テンプレートファイルのコピー ファイルプロパティによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 64 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 64 【事例2】 ファイルプロパティによるチェック [手順2]テンプレートファイルのコピー 実演 説明 ファイルプロパティによるチェック 調査 修正準備 設定 IPAでは、独自のアプリケーションの追加を容易にするためのテ ンプレートを用意しています。(近日Webで配布予定) セミナー向けテンプレート オフライン版MyJVN(webで公開済) 2-1-before-fileversion (ファイルプロパティのバージョ ン情報のチェック用) のテン プレートファイルをコピーします。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 65 【事例2】 ファイルプロパティによるチェック [手順2]コピーファイルの一覧 ファイルプロパティによるチェック 調査 修正準備 設定 コピーをしたテンプレートは以下①~④の4ファイルです。 6_Reference ① 修正は不要 CONF oval_index OVAL INVENTORY OVAL_INV_APP_B.xml VULNERABILITY OVAL_VUL_APP_B.xml XCCDF TEST-IPA.xml ③ 修正必要 ④ 修正必要 ②修正必要 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 66 【事例2】 ファイルプロパティによるチェック [手順3]バージョン判定の設定 ファイルプロパティによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 67 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 67 【事例2】 ファイルプロパティによるチェック [手順3]「②チェックリスト」の修正 ファイルプロパティによるチェック 調査 修正準備 設定 修正後のファイル内容例 ② TEST-IPA.xml (チェックリストを記載したファイル) アプリケーションの名称を設定します。 実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 説明 68 【事例2】 ファイルプロパティによるチェック [手順3]「③インストール有無」の修正 ファイルプロパティによるチェック 調査 修正準備 設定 修正後のファイル内容例 ③ OVAL_INV_APP_B.xml (インストール有無の判定) ファイルプロパティのチェック場所を設定します。 実演 説明 インストール有無を判定する条件を設定します。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 69 【事例2】 ファイルプロパティによるチェック [手順3]「④最新バージョン判定」の修正 ファイルプロパティによるチェック 調査 修正準備 設定 修正後のファイル内容例 ④ OVAL_VUL_APP_B.xml (最新バージョンの判定) 最新のバージョン情報を設定します。 ファイルプロパティのチェック場 所を設定します。 最新バージョンを判定する条件 を設定します。 実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 説明 70 【事例2】 ファイルプロパティによるチェック [手順3]参考:修正後のファイル例 ファイルプロパティによるチェック 調査 修正準備 設定 セミナー向けテンプレート(後日Webで配布予定) 2-2-after-fileversion (ファイルプ ロパティのバージョン情報のチェック 用)は修正後の事例です。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 71 【事例2】 ファイルプロパティによるチェック 動作確認 その1 ファイルプロパティによるチェック 調査 修正準備 設定 講師側PCでは以下のファイルを修正してツールを実行します。 1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat ベンチマークIDに「TEST-IPA」 を 指定します。 チェック結果が「○ 最新のバージョンです」に なります。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 実演 説明 72 【事例2】 ファイルプロパティによるチェック 動作確認 その2 ファイルプロパティによるチェック 調査 修正準備 設定 ファイルプロパティのバージョン値が古いものに入れ替えて、チェ ック結果を確認します。 チェック結果が 「× 最新のバージョンではありません」 になります。 実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 説明 73 オフライン版MyJVNバージョンチェッカ -カスタマイズ実演について Windows上で動作する独自アプリをバージョンチェックする場合 の具体的な設定方法例について講師側PCの実演とあわせて 概説します。 概説内容の一覧 1. レジストリによるチェック 2. ファイルプロパティ(バージョン情報)によるチェック 3. ファイルハッシュによるチェック 事例1 事例2 事例3 独自アプリのバージョンチェックをする 74 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 74 カスタマイズ実演 【事例3】 ファイルハッシュによるチェック ファイルハッシュによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 75 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 75 【事例3】 ファイルハッシュによるチェック [手順1]バージョン確認方法の決定 ファイルハッシュによるチェック 調査 修正準備 設定 調査結果のまとめ例 対象OS チェック方法 Windows系 レジストリ ファイル 情報 チェック場所 値 HIVE: 「HKEY_LOCAL_MACHINE」 KEY: 「SOFTWARE¥IPA」 NAME: 「Version」 値のデータ型:文字列(REG_SZ) 1.2.3.4 ファイルパス:C:¥IPA ファイル名:IPA.exe ハッシュタイプ: SHA-1 C5051FE22 ・・・ (全40字) インストール有無確認、最新バージョン確認、 のそれぞれのチェック方法をファイルハッシュ ファイルプロ ファイルパス:C:¥IPA 1.2.3.4 と決定した場合の例です。 パティ(バー ファイル名:IPA.exe ジョン情報) ファイル ハッシュ値 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 76 【事例3】 ファイルハッシュによるチェック [手順2]テンプレートファイルのコピー ファイルハッシュによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 77 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 77 【事例3】 ファイルハッシュによるチェック [手順2]テンプレートファイルのコピー 実演 説明 ファイルハッシュによるチェック 調査 修正準備 設定 IPAでは、独自のアプリケーションの追加を容易にするためのテ ンプレートを用意しています。(近日Webで配布予定) セミナー向けテンプレート オフライン版MyJVN(webで公開済) 3-1-before-filehash (ファイルハッシュのチェッ ク用) のテンプレートファ イルをコピーします。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 78 【事例3】 ファイルハッシュによるチェック [手順2]コピーファイルの一覧 ファイルハッシュによるチェック 調査 修正準備 設定 コピーをしたテンプレートは以下①~④の4ファイルです。 6_Reference ① 修正は不要 CONF oval_index OVAL INVENTORY OVAL_INV_APP_C.xml VULNERABILITY OVAL_VUL_APP_C.xml XCCDF TEST-IPA.xml ③ 修正必要 ④ 修正必要 ②修正必要 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 79 【事例3】 ファイルハッシュによるチェック [手順3]バージョン判定の設定 ファイルハッシュによるチェック 調査 修正準備 設定 作業の流れ 1. バージョン確認方法の調査 2. テンプレートファイルのコピー 3. バージョン判定の設定 (調査) (修正準備) (設定) 独自アプリのバージョンチェックをする 80 にはどうしたらいいんだろう? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 80 【事例3】 ファイルハッシュによるチェック [手順3]「②チェックリスト」の修正 ファイルハッシュによるチェック 調査 修正準備 設定 修正後のファイル内容例 ② TEST-IPA.xml (チェックリストを記載したファイル) アプリケーションの名称を設定します。 実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 説明 81 【事例3】 ファイルハッシュによるチェック [手順3]「③インストール有無」の修正 ファイルハッシュによるチェック 調査 修正準備 設定 修正後のファイル内容例 ③ OVAL_INV_APP_C.xml (インストール有無の判定) ファイルハッシュのチェック場所とハッシュタイ プを設定します。 実演 説明 インストール有無を判定する条件を設定します。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 82 【事例3】 ファイルハッシュによるチェック [手順3]「④最新バージョン判定」の修正 ファイルハッシュによるチェック 調査 修正準備 設定 修正後のファイル内容例 ④ OVAL_VUL_APP_C.xml (最新バージョンの判定) 最新のバージョン情報を設定します。 ファイルハッシュのチェック場所とハッシュタイ プを設定します。 実演 説明 最新バージョンを判定する条件 を設定します。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 83 【事例3】 ファイルハッシュによるチェック [手順3]参考:修正後のファイル例 ファイルハッシュによるチェック 調査 修正準備 設定 セミナー向けテンプレート(後日Webで配布予定) 3-2-after-fileversion (ファイルハッシュの チェック用) は修正後の事例です。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 84 【事例3】 ファイルハッシュによるチェック 動作確認 その1 ファイルハッシュによるチェック 調査 修正準備 設定 講師側PCでは以下のファイルを修正してツールを実行します。 1_Script_GUI_Client¥MyJVN_GUI_XP_x32.sample.bat ベンチマークIDに「TEST-IPA」 を 指定します。 チェック結果が「○ 最新のバージョンです」に なります。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 実演 説明 85 【事例3】 ファイルハッシュによるチェック 動作確認 その2 ファイルハッシュによるチェック 調査 修正準備 設定 ファイルハッシュ値が異なるファイルに入れ替えて、チェック結果 を確認します。 チェック結果が 「× 最新のバージョンではありません」 になります。 実演 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 説明 86 【おまけ】 3アプリの一括チェック 実演 説明 IPAでは、独自のアプリケーションの追加を容易にするためのテ ンプレートを用意しています。(近日Webで配布予定) セミナー向けテンプレート オフライン版MyJVN(webで公開済) 4-2-after-3type-check (3種類のチェック用) は修 正後のテンプレート例です。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 87 まとめ Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 88 脆弱性対策の機械処理のために オフライン版MyJVNバージョンチェッカではカスタマイ ズによる独自アプリのチェックが実現可能です セミナー向けテンプレート(※後日Webで配布予定) を使用することで容易なカスタマイズが可能です ※配布予定 http://www.ipa.go.jp/security/vuln/index.html#seminar オフライン版MyJVNバージョンチェッ カでOVALを使ってみませんか? Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 89 補足 (セミナー参加者の方へのお知らせ) OVALカスタマイズマニュアルを以下のURLで提供し ています。オフライン版MyJVNバージョンチェッカと合 わせてご利用ください。 http://jvndb.jvn.jp/apis/myjvn/ovaltool.html ご意見、ご要望等は以下のメールアドレスで受け付 けております。適用事例などの情報があればぜひお 寄せください。 メールアドレス:[email protected] Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 90 補足 (OVALカスタマイズマニュアル) ~さらにカスタマイズを行う方のために~ OVALカスタマイズマニュアル一式 配布内容 http://jvndb.jvn.jp/apis/myjvn/ovaltool.html (ovalmanual.zipをダウンロードして使用してください。) ・「OVALカスタマイズマニュアル(PDF版)」 ・修正例(本セミナー内容とは異なります) を同梱しています。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 91 IPAの脆弱性対策に関する 取り組み紹介 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 92 脆弱性対策の取り組み IPAでは、脆弱性対策の取組みとして、脆弱性対策情報提 供および脆弱性対策を有効に活用される仕組みを推進 第1期 対策情報 充実期 2004年 7月 2004年7月 2007年 4月 2008年 5月 情報セキュリティ早期警戒パートナーシップの開始 脆弱性対策情報ポータルサイト JVN 開設 脆弱性対策情報データベース JVN iPedia 開設 JVN 英語サイト、JVN iPedia 英語サイトの開設 2008年10月 2009年 4月 脆弱性対策情報共有フレームワーク “MyJVN” の開始 第2期 製品開発者の発信する 利活用 脆弱性対策情報の自動収集の試行開始 基盤整備 2009年11月 MyJVNバージョンチェッカのリリース ・ 2009年12月 MyJVNセキュリティ設定チェッカのリリース 共通基準 2010年 2月 MyJVN API 公開 導入期 2011年 8月 MyJVN バージョンチェッカのリリース 2011年11月 サイバーセキュリティ注意喚起サービス「icat」開始 現在は、脆弱性対策情報を有効に活用される為の利活用基盤の整備に注力 脆弱性対策を機械処理的に行うSCAPの仕組みを取り入れた対応 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 93 脆弱性対策についての活動概念 • IPAではセキュリティ情報の収集、対策手段の提供、情報の発 信等の活動を行っています。 NVD 製品ベンダ 公開情報 新たな攻撃の 情報 予兆 セキュリティ情報 /対策情報の集約 サイバーセキュリティ 注意喚起サービス 「icat」 MyJVN API モジュール 連携 脆弱性対策 情報収集ツール バージョン チェッカ セキュリティ設定 チェッカ MyJVN ツールボックス Twitter発信 サービス 独自開発のシステム・ プログラム Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 94 脆弱性対策情報DB JVN iPedia http://jvndb.jvn.jp/ • 日本国内の地域性を考慮した脆弱性対策情報を蓄積するデータベースを 整備する。 – 日本国内で利用されている製品に対する脆弱性対策情報を掲載 – 日本語版の公開件数は、13,000件以上(2012年2月) Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 95 MyJVN API http://jvndb.jvn.jp/apis/ • 脆弱性対策情報データベース(JVN iPedia)の 情報を、Webを通じて利用するためのソフトウェアインタフェース IPA API MyJVN APIモジュール XML データ 開発者 プログラム 利用者 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 96 MyJVN API http://jvndb.jvn.jp/apis/ • 以下のAPIを公開しています。 脆弱性対策情報関連API 統計関連API OVAL関連API API名 メソッド名 概要 ベンダ一覧の取得 getVendorList フィルタリング条件にあてはまるベンダ名リストを 取得します。 製品一覧の取得 getProductList フィルタリング条件にあてはまる製品名リストを取 得します。 脆弱性対策概要情報 getVulnOverviewList 一覧の取得 フィルタリング条件にあてはまる脆弱性対策の概 要情報リストを取得します。 脆弱性対策詳細情報 getVulnDetailInfo の取得 フィルタリング条件にあてはまる脆弱性対策の詳 細情報を取得します。 統計データの取得 getStatics 脆弱性対策情報を、登録件数(脆弱性統計情 報)、深刻度(CVSS統計情報)、脆弱性種別 (CWE統計情報)で集計したデータを取得します。 OVAL定義データの取 得 getOvalData フィルタリング条件にあてはまるOVAL定義データ を取得します。(2012年3月公開予定) OVAL定義データ一覧 の取得 getOvalList フィルタリング条件にあてはまるOVAL定義データ 一覧を取得します。(2012年3月公開予定) Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 97 MyJVNセキュリティ設定チェッカ http://jvndb.jvn.jp/apis/myjvn/sccheck.html • 設定に関する脆弱性対策チェックのフレームワークを整備する。 – 利用者のPCの設定を簡単な操作で確認するツール – チェックリストに基づき、設定が適切かどうかのチェックを手作業ではなく、ツールに より作業を自動化する。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 98 MyJVNバージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/ • マルチベンダ環境において、ソフトウェア製品の脆弱性対策チェックの フレームワークを整備する。 – 利用者のPCにインストールされているソフトウェア製品のバージョンが最新で あるかを、 簡単な操作で確認するツール – チェックリストに基づき、バージョンが最新であるかどうかの チェックを手作業ではなく、ツールにより作業を自動化する。 – サーバーソフトやサーバOS(Windows,Linux)でも動作可能 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 99 MyJVN脆弱性対策情報収集ツール http://jvndb.jvn.jp/apis/myjvn/mjcheck.html • 製品視点から脆弱性対策情報を選別可能なフレームワークを整備する。 – JVN iPediaの情報を、利用者が効率的に活用できるように、製品視点のフィ ルタリング条件設定機能を有した脆弱性対策情報収集ツール – 利用者に関係する製品視点の脆弱性対策情報のみの表示する。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 100 MyJVN API 活用事例 http://jvndb.jvn.jp/apis/ • MyJVN APIを活用しているサービスの事例を紹介します。 ■株式会社リクルート様 「SEfeed(エス・イー・フィード)」の事例 システム管理者などが自社で 利用するソフトウェア製品につ いて、ベンダ名や製品名で脆 弱性対策情報を検索・閲覧で きるサービス。 MyJVN API を利用して「脆弱 性対策情報データベース JVN iPedia」に登録されている情報 を「SEfeed」の利用者に提供し ています。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 101 MyJVN API まとめ http://jvndb.jvn.jp/apis/ • MyJVN APIを利用することで・・・ 13,000件以上(※)の脆弱性対策情報を活用することが できます。 MyJVN API を使って 開発してみませんか? ※2012年2月末時点 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 102 サイバーセキュリティ注意喚起サービス icat http://www.ipa.go.jp/security/vuln/icat.html 迅速なセキュリティ対策情報の入手により、ユーザへの対策適用を促進します。 IPAから発信する緊急対策情報を、 リアルタイムで企業や団体のウェブサイト上に表示します。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 103 サイバーセキュリティ注意喚起サービス icat http://www.ipa.go.jp/security/vuln/icat.html 利用方法 ウェブサイトに下記の HTML タグを挿入してください。 <script type="text/javascript" src="http://www.ipa.go.jp/security/announce/ICATalerts.js"> </script> 表示サイズ:幅 190ピクセル 高さ 350ピクセル 重要な注意喚起については、オレンジの背景色で強調されます。 IPAの注意喚起情報と同期して自動更新します。 Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 104 最後に IPAでは、今後も共通基準/仕様の導入を進めながら、国際性(イ ンターネットにおける脆弱性対策情報の情報源)と地域性(日本国 内向けの脆弱性対策情報データベース)とを両立させたグローバル なJVN(世界に冠たるJVN)を実現していく予定です。 http://jvndb.jvn.jp/ http://jvndb.jvn.jp/apis/myjvn/ Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 105 Q&A Copyright © 2012 独立行政法人 情報処理推進機構 「脆弱性対策の標準仕様SCAPの仕組み」セミナー 106