<CPEでIT資産を効率的に管理する>
はじめに、CISSPをお持ちの方はCPEと聞くと反応されるかもしれませんが、もちろんこの記事でのCPEは「あのCPE」とは別物です(;^_^A
さて、今回のCPEもCCEなどと同様に、「SCAPとそれを構成する6つの要素:https://blog.hatena.ne.jp/CyberSEALs/cyberseals.hatenablog.com/edit?entry=26006613543484687」で紹介している1つの要素となります!
今回も少々短めになりますが、このCPEについて紹介していきます!
・CPEとは?(Common Platform Enumeration)
→IT製品(HW、SW)の名前を機械が自動処理できるようにするための標準フォーマット。
分かりにくいと思いますが、ポイントは「機械によって読めるフォーマット」であるということです。イメージとしては、「俺、XX社のルーターだぜ!」を機械で判別してもらうための、フォーマット=記載のルールみたいな感じです(^^)/(少しはイメージできたでしょうか?)
で、です。そもそも、なんで機械によって読めるフォーマットにしなくちゃいけないのか?という点が疑問ですよね?(そうであってください!笑)
これは、SCAP及びSCAPを構成する他の要素とつながってくるのですが、
IT資産の管理、脆弱性情報の取集、脆弱性の対応状況、といったことを全て自動化しようというのがSCAPの目指すところであり、そうすることで、ヒューマンエラー・人的工数などの問題を解消するというのが目的です。
このCPEはその目的を達成するうえで、「IT資産の管理」の自動化を実現するために、わざわざ機械によって読めるフォーマットにしているというわけです!
(・・・納得^^)
そして、この流れでもう一つ覚えておいて頂きたいのが、CPEの構成についてです!ここは、ふ~~ん、そうなんだくらいでもOKです!
・CPEの構成
→cpe:/{種別}:{ベンダ名}:{製品名}:{バージョン}:{アップデート}:{エディション}:{言語}
なんとな~く、機械でも読めるような書き方になっている感じがしますね(笑)
ちなみにCPEには、CPE dictionaryというものがありますが、素人には正直少し使いにくいので、ご参考までに。
CPE dictionary:https://nvd.nist.gov/products/cpe
以上です。ありがとうございました!