<SCAPを皆さんは知っていますか?>
みなさんはこの言葉をご存知でしたか?お恥ずかしながら、僕も何となくイメージできる程度です。
今回から数回に分けて、情報処理安全確保支援士資格維持の学習も兼ねさせて頂き、「SCAPとそれを構成する6つの要素」についてご紹介していこうと思います!
はじめに、そもそもSCAPとは何だ??という点についてご紹介します。
IPAのサイトでは「情報セキュリティ対策の自動化と標準化を実現する技術仕様」と題されています。
確かにその通りですが、これだけでは何のことやら僕にはわかりませんので、これから僕なりにご紹介致します!☺
・SCAPとは?(Security Content Automation Protocol:セキュリティ設定共通化手順)
→一言でいえば、米国のNISTが作成した「情報セキュリティ対策の標準化と自動化を目的とする、セキュリティ設定の共通化の手順」となります。
まあなんともイメージしにくいかと思いますが、このSCAPがそもそも何のために生まれたのかをご紹介しますので、ここでは一旦お付き合いください。
・SCAPが生まれた背景
→高まるサイバーセキュリティの脅威を背景に2002年、米国で*FISMAが施行されたことにより、米国の各省庁では様々な規定・ガイドラインから必要なセキュリティ要求事項を抽出し、自分たちの情報システムに対してセキュリティ要求事項を確実に反映しなくてはならなくなりました。
SP800やFIPSなど、単体でも非常に分かりにくい規定などを1つ1つチェックするなんて、誰がどう考えても面倒だし、不毛ですよね・・・
僕なら全くやる気になれません・・・(僕の個人的な気持ちは良いとしても)
実際に米国の各省庁でも「膨大な労力」「ヒューマンエラー」といった問題が発生したわけです。またある条文や規定をチェックする「人による解釈の違い」も問題なりました。
このような事情から、「だったら標準化して、自動化すれば良いじゃん!」といって生まれたのがSCAPというわけです。
なんとな~くイメージが膨らんできましたでしょうか?
イメージが膨らんだと信じることにして、最後にSCAPを構成する6つの要素についてご紹介して終わりにしようと思います!この6つの要素は次回以降で詳しく紹介していこうと思います(^^)(^^)/
・SCAPを構成する6つの要素
→今回は下記をなんとな~く覚えておいて頂ければ問題ありません!
-OVAL:セキュリティ設定の状況を機械的に確認させるための言語
-CCE:システムのセキュリティ設定を識別するスペシャリスト
-XCCDF:セキュリティ設定・対策を機械的に実施させるための言語
*FISMA(Federal Information Security Management Act:連邦情報セキュリティマネジメント法):米国の政府省庁の情報システムのセキュリティ強化を義務付けた法律