＜CPEでIT資産を効率的に管理する＞

はじめに、CISSPをお持ちの方はCPEと聞くと反応されるかもしれませんが、もちろんこの記事でのCPEは「あのCPE」とは別物です(;^_^A

さて、今回のCPEもCCEなどと同様に、「SCAPとそれを構成する6つの要素：https://blog.hatena.ne.jp/CyberSEALs/cyberseals.hatenablog.com/edit?entry=26006613543484687」で紹介している1つの要素となります！

 今回も少々短めになりますが、このCPEについて紹介していきます！

 

・CPEとは？(Common Platform Enumeration)

→IT製品（HW、SW）の名前を機械が自動処理できるようにするための標準フォーマット。

分かりにくいと思いますが、ポイントは「機械によって読めるフォーマット」であるということです。イメージとしては、「俺、XX社のルーターだぜ！」を機械で判別してもらうための、フォーマット＝記載のルールみたいな感じです(^^)/（少しはイメージできたでしょうか？）

 

で、です。そもそも、なんで機械によって読めるフォーマットにしなくちゃいけないのか？という点が疑問ですよね？（そうであってください！笑）

 

これは、SCAP及びSCAPを構成する他の要素とつながってくるのですが、

IT資産の管理、脆弱性情報の取集、脆弱性の対応状況、といったことを全て自動化しようというのがSCAPの目指すところであり、そうすることで、ヒューマンエラー・人的工数などの問題を解消するというのが目的です。

このCPEはその目的を達成するうえで、「IT資産の管理」の自動化を実現するために、わざわざ機械によって読めるフォーマットにしているというわけです！

（・・・納得^^）

 

そして、この流れでもう一つ覚えておいて頂きたいのが、CPEの構成についてです！ここは、ふ～～ん、そうなんだくらいでもOKです！

・CPEの構成

→cpe：/{種別}：{ベンダ名}：{製品名}：{バージョン}：{アップデート}：{エディション}：{言語}

 

なんとな～く、機械でも読めるような書き方になっている感じがしますね(笑)

ちなみにCPEには、CPE dictionaryというものがありますが、素人には正直少し使いにくいので、ご参考までに。

CPE dictionary：https://nvd.nist.gov/products/cpe

 

以上です。ありがとうございました！