Client Automation 内の DCS(Device Compliance Scanner)は、FDCC チェックリストへの準拠に関してターゲット コンピュータをスキャンします。 この章では、SCAP 標準の実装について説明します。
DCS は、セキュリティ設定共通化手順(SCAP)を中心に構築されます。 SCAP は、ソフトウェアの欠陥、セキュリティ関連の設定問題、および製品名を列挙する、選択されたオープン スタンダードのスイートです。 また、このスイートは、システムを測定して脆弱性の存在を判断するとともに、これらの測定結果をランク(スコア)付けして、検出されたセキュリティの問題に対する影響度を評価するメカニズムを提供します
Client Automation は、SCAP 標準(XCCDF、CCE、CVE、CPE、CVSS、および OVAL)で利用される XML 形式で記述された SCAP 1.1 データ ストリームのコンプライアンス チェックを実装しています。 DCS は、アセット管理インベントリ モジュールとして実装されます。 DCS は、すべてのエージェントに配布され、スケジュール時刻にコンプライアンス チェックを実行し、仕様によって必要とされる出力ファイルを作成します。 DCS スキャナは、XCCDF および OVAL 評価プロトコルを使用して、どの項目をチェックし、どのようにチェックするかを決定します。 また、スキャナは、CPE、CCE、CVSS、および CVE 参照プロトコルを使用して、すべてのルールが正確に、適切にシステムに反映されていることを確認します。 DCS スキャナは、検査、レポート作成、およびクエリのその結果を中央管理データベースにレポートします。 結果ファイルは、入力 SCAP データ ストリームの各ファイルに生成されます。また、検証用にエージェント コンピュータおよびドメイン マネージャ(設定されている場合)に保存されます。
共通脆弱性識別子(CVE)標準は、公に広く知られた情報セキュリティの脆弱性およびソフトウェアの欠陥に対して標準 ID を提供するリストまたはディクショナリです。 Client Automation によって作成されたコンプライアンス チェック結果には、チェックリストの定義自体に CVE ID 参照が含まれていれば、チェックされたすべてのルールの出力に関連する CVE ID 参照が含まれます。 CVE 情報は、スキャナによって生成されたパッチ結果 XML ファイルに保存され、検査と検証に関するエージェントの作業ディレクトリで使用可能です。
SCAP データ ストリームで、アプリケーション、パッチ、または脆弱性の検出用である OVAL コンテンツには、CVE ID 参照が含まれ、CVE リストの正確なエレメントを識別できます。 Windows XP および IE7 用の FDCC チェックリストには、この目的のために設けられている個別の OVAL ファイルが含まれ、また、CVE ID が追加されています。
これらの SCAP データ ストリームを処理する場合は、生成された OVAL 結果ファイルに、各 OVAL 定義の CVE ID 参照も追加されます。 また、DSM エクスプローラでターゲット システムに対して表示されたインベントリ データには、詳細パッチの結果グループが含まれます。ここでパッチまたは脆弱性を検出するための OVAL 定義は、いずれもそれ自体のサブグループを持っています。 OVAL 定義が SCAP データ ストリームで定義 された CVE 参照を持つ場合は常に、このサブグループには CVE 参照テーブルが含まれます。 各 CVE 参照には、CVE URL および NVD URL が含まれています。 DSM エクスプローラ を使用すると、これらの URL を直接参照できます。
CCE (Common Configuration Enumeration)は、システム設定問題に対して一意の ID を提供します。この ID を使用すると、複数の情報ソースおよびツールにわたっての設定データの相関を迅速に正確に把握できます。 たとえば、CCE ID は、設定の評価ツールのチェックと設定のベストプラクティス ドキュメントの記述を関連付けるために使用できます。
CCE ID を参照する SCAP データ ストリームでは、CCE ID は、XCCDF ファイルと OVAL ファイルのどちらにあってもかまいません。 XCCDF ファイルでは、CCE 参照は <ident> タグの形式を取ります。このタグにはリスト内の各ルールに関連付けられている CCE ID をリストします。 CCE ID が XCCDF ファイルに存在する場合、DCS はそれらの参照を各ルール結果に含めます。 この情報は、作成された XCCDF 結果ファイルとデータベースに送られるインベントリ データの両方で使用可能です。 DSM エクスプローラでは、CCE 参照情報は、[インベントリ]-[SCAP]- <チェックリスト名> -[Rule Results]- <ルール名> -[Idents]以下に表示されます。
OVAL ファイルは、各 OVAL 定義に関連付けられ、<reference> タグに含まれる CCE ID を含むことができます。 このような参照が存在する場合、CCE ID は、OVAL 定義が処理されて作成された OVAL 結果ファイルに含められます。
また、CCE 参照と結果は、<machine>-<checklist>-xccdf-CCE-result.txt という名前で、結果ファイルのセットで利用可能です。
Client Automation とともにパッケージ化されたすべての FDCC チェックリストには、CCE ID 参照が XCCDF ファイルと OVAL ファイルの両方に含まれます。 出力ファイルの名前および場所は、DSM エクスプローラで、[インベントリ]-[SCAP]- <チェックリスト インベントリ コンポーネント> -[Status]グループ以下に表示されます。
CPE(Common Platform Enumeration)は、情報テクノロジ システム、プラットフォーム、およびパッケージの命名スキーマです。 CPE には、URI(Uniform Resource Identifiers)の一般的な構文に基づいて、フォーマル名フォーマット、複雑なプラットフォームを記述する言語、システムに対して名前をチェックする方法、およびテキストとテストを名前にバインドする記述フォーマットが含まれます。
SCAP データ ストリームには、CPE 名を OVAL 定義にマップする CPE ディクショナリを含めるオプションがあります。この OVAL 定義を使用して、CPE 名で識別される OS またはアプリケーションの存在をテストします。 DCS は、データ ストリームからの XCCDF ファイルに <platform> タグが含まれるときに、このディクショナリを使用します。このタグは、XCCDF ファイルが指定した CPE 名の存在を要求していることを示しています。 すべてのパッケージ化された FDCC チェックリストには、CPE ディクショナリ ファイルおよび XCCDF ファイルで指定されたそれらの参照が含まれます。 XCCDF 結果ファイルに <platform> タグの CPE 名が含まれると、プラットフォーム テストがチェックリスト全体で成功したことを示します。 出力ファイルの名前および場所は、DSM エクスプローラで、[インベントリ]-[SCAP]- <チェックリスト インベントリ コンポーネント> -[Status]グループ以下に表示されます。
共通脆弱性評価システム(CVSS)標準は、IT 脆弱性の特性と影響を伝えるオープン フレームワークを提供します。 この計量モデルは、繰り返し可能で正確な計測を確保する一方で、スコアを生成するために使用した潜在的な脆弱性の特性を確認することができます。 したがって、CVSS は、正確で一貫性のある脆弱性の影響のスコアを必要とする、産業、組織、および政府にとって標準の計測システムとして適しています。 CVSS の 2 つの一般的な用途は、脆弱性の改善のための活動のプライオリティの表示と、システムで検出された脆弱性の重大度の算出です。 NVD(National Vulnerability Database)は、ほとんど知る限りの脆弱性の CVSS スコアを提供します。
すべてのパッチまたは脆弱性ごとに、CVE ID 参照が DSM エクスプローラで提供されています。 DSM エクスプローラは、CVE URL および NVD URL を含む詳細なパッチ結果も提供します。 この URL を使用して、NIST(National Institute of Standards and Technology)の Web ページで、NVD 内の対応する CVE ID のエントリを参照できます。 このデータベース エントリには、脆弱性に関する CVSS スコアおよび追加の情報が含まれています。 CVE 参照の詳細は、[インベントリ]-[SCAP]- <チェックリスト インベントリ コンポーネント> -[Detailed patch results]グループ以下に表示されます。
XCCDF(eXtensible Configuration Checklist Description Format)は、セキュリティ チェックリスト、ベンチマーク、および関連するドキュメントを記述するための言語仕様です。 XCCDF ドキュメントは、ターゲット システムのある集合のセキュリティ設定ルールの構造化されたコレクションを示します。 この仕様は情報交換、ドキュメント生成、組織および状況への適合、自動化されたコンプライアンス テスト、およびコンプライアンス スコアリングをサポートするように設計されています。
DCS は、XCCDF ファイルを読み込み、XCCDF ファイルで指定されたルールに基づいてターゲット コンピュータをスキャンできます。 スキャナは、XCCDF ファイル内の各ルールに関する結果が含まれるインベントリ ファイルを生成します。 XCCDF 出力ファイルは、各エージェント コンピュータのエージェントの作業ディレクトリに保存されます。 ルールの結果および最終的なスコアは、DSM エクスプローラの、[インベントリ]-[SCAP]- <チェックリスト インベントリ コンポーネント> -[Rule Results]以下に表示されます。
XCCDF ファイル、および処理済みの結果ファイルの名前と場所は、DSM エクスプローラの、[インベントリ]-[SCAP]- <チェックリスト インベントリ コンポーネント> -[Status]グループ以下に表示されます。
Client Automation は、セキュリティ検査言語(OVAL)標準を実装します。 OVAL は、オープンで公に利用可能なセキュリティ コンテンツの促進に使用される国際的な情報セキュリティ、コミュニティ標準です。 その目標は、セキュリティ ツールとサービスの全範囲にわたって、この情報の転送を標準化することです。
XCCDF ファイル内のチェックリスト ルール定義は通常、ターゲット コンピュータのルール準拠性をどのようにチェックするかを示す方法として OVAL ファイルの OVAL 定義を参照します。 同様に、CPE ディクショナリにリストされる CPE 名も、名前によって示されるソフトウェアの一部の存在をどのようにチェックするかを指定する方法として OVAL 定義を参照します。 これらの目的のために、バンドルされた DCS SCAP データ ストリームには、すべて、1 つ以上の OVAL ファイルが含まれています。
各評価済み OVAL ファイルの場合、OVAL インタープリタは、エージェントの作業ディレクトリに OVAL 結果ファイルを作成します。 すべての OVAL ファイル、および処理済みの結果ファイルの名前と場所は、DSM エクスプローラの、[インベントリ]-[SCAP]- <チェックリスト インベントリ コンポーネント> -[Status]グループ以下に表示されます。
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|